При подготовке целевой атаки на компанию злоумышленники периодически прибегают к тактике Dumpster Diving. Проще говоря — они роются в мусорных контейнерах в надежде найти информацию, которая поможет им достичь своей цели. Подробно этот способ показан в фильме «Хакеры», где главные герои перед атакой на корпорацию залезают в ее мусорный бак. Конечно, в реальности найти в отходах 50 паролей не получится, но кое-какие данные, которые могут оказаться полезными атакующим, — вполне.
Чего не стоит выкидывать в мусорный бак
Разумеется, мало кому придет в голову искать среди отходов документы с грифом «совершенно секретно» или «конфиденциально». Однако для дискредитации компании или организации целевой атаки это и не обязательно. В первом случае злоумышленники ищут компромат, а во втором — пытаются найти информацию, которая поможет им воспользоваться методами социальной инженерии, чтобы обмануть кого-то из сотрудников.
Какой мусор позволит скомпрометировать компанию
Какая информация в мусорном ящике может скомпрометировать компанию? Если предположить, что вы не выкидываете записи о ведении черной бухгалтерии или отчеты о том, как ваша деятельность вредит экологии, то основную опасность для компании представляют оказавшиеся в урне персональные данные клиентов или сотрудников. В наше время такая находка гарантирует проблемы с регуляторами и внушительные штрафы практически во всех регионах, где работает ваша компания.
Между тем случаи, когда персональные данные оказываются на помойке, продолжают встречаться. До сих пор не все сотрудники понимают, что даже список адресов доставки пиццы, напечатанный для курьера, — это тоже конфиденциальная информация. Но выкидывают и более опасные документы: медицинские записи с номерами социального страхования, счета об оплате вместе с данными банковских карт, сканы документов, удостоверяющих личность.
Что может помочь злоумышленникам организовать атаку
С информацией, которую кто-то может использовать для атаки с применением методов социальной инженерии, все еще сложнее. Превратить в оружие можно любую неосторожно выкинутую рабочую бумагу, конверт или цифровой носитель информации.
Рабочие документы, даже не содержащие секретных данных, могут рассказать о том, чем конкретно занимаются сотрудники, какую терминологию они используют, какие процессы выстроены в компании. Имея такую информацию, злоумышленник может выдать себя за участника рабочего процесса в переписке или же в телефонном разговоре. Это позволит ему выведать дополнительные сведения или организовать убедительную BEC-атаку.
Конверты от деловых писем обязательно снабжаются указанием адресата и отправителя. Зная, что сотрудник компании «М» получает бумажные послания от представителей компании «N», преступник также может связаться с получателем для уточнения каких-либо деталей или, например, прислать вредоносную ссылку якобы для подтверждения получения бумажного письма.
Цифровые носители вообще могут оказаться кладезем информации. Например, даже из сломанного телефона можно добыть список контактов и сообщений, что позволит имитировать бывшего владельца аппарата в переписке. Не говоря уже о тех же рабочих документах и персональных данных, которые могут оказаться в файлах на выкинутом жестком диске или флешке.
По большому счету, даже пакетом от заказанного в офис обеда, на котором написано имя получателя, могут воспользоваться злоумышленники. Пришлют, например, сотруднику ссылку на приложение для участников программы лояльности как постоянному клиенту. Это, конечно, не самая распространенная схема, но нельзя сказать, что совсем нереальная.
Как правильно выкидывать мусор
Первым делом мы бы рекомендовали отказаться от использования бумаги в качестве носителя информации. Или по крайней мере минимизировать количество бумажных документов. Это не только сбережет деревья, необходимые для производства целлюлозы, но и избавит от лишних проблем с их утилизацией.
Все бумаги, так или иначе связанные с работой компании, должны уничтожаться. Еще раз: не только те, на которых имеются персональные данные, а вообще все. В идеале — измельчаться при помощи шредера. Туда же следует отправлять и конверты от деловых (да и личных) посланий.
Цифровые носители (жесткие диски, флешки) вообще не должны оказываться в помойке. Их следует механически приводить в негодность и сдавать в специальные пункты для утилизации электроники. Диски и флешки можно ломать плоскогубцами. Для жестких дисков — использовать электродрель или молоток. Не забывайте, что внутри каждого телефона имеется флеш-накопитель, а внутри каждого компьютера — жесткий диск. Так что если вы решите выкинуть их, сначала приведите в негодность носители информации. Если же вы планируете использовать бывшее в употреблении оборудование как-то иначе (например, перепродать), то информацию следует правильно удалить, но это тема для отдельного поста.
Прежде чем выбрасывать коробки от посылок или пакеты от доставки еды, сорвите с них наклейки с фамилией или адресом получателя и уничтожьте отдельно.
Ну и самое главное — безопасность вашего бизнеса напрямую зависит от того, понимают ли эти правила все сотрудники компании. Обычно принято заканчивать такую фразу словами «от директора до уборщиков», но в данном случае — пожалуй, наоборот, логично поставить уборщиков на первое место: именно они работают непосредственно с мусором и могут заметить и исправить ошибку другого сотрудника. Так что базовые знания о том, какая информация может навредить компании, должны иметь все.