Co je to dumpster diving
Dumpster diving, doslova potápění se v odpadcích, patří mezi nejjednodušší způsob jak získat citlivé informace.
A nemusí to být ani nic nepříjemného, jak by se mohlo na první pohled zdát. Dokonce se může jednat i o poměrně čistou práci. Obzvlášť ve firmách, které se chovají odpovědně a svědomitě třídí odpad.
V odpadkových koších a kontejnerech se mohou ukrývat velice zajímavé informace. Dokonce i informace, kterou jsou v souladu s bezpečnostní politikou klasifikovány jako interní, a které nejsou skartovány, jsou pro útočníka velice přínosné.
Obvykle se jedná o firemní časopisy, kde jsou medailonky manažerů a zaměstnanců včetně jejich fotografií ve vysokém rozlišení, dosažených obchodních výsledků, plánovaných osobních a profesních cílů a jejich pracovního zařazení.
Další velice zajímavou informací, kterou lze z těchto časopisů načerpat, je použitý jazyk, ustálené obraty a vůbec firemní žargon a způsob komunikace, který je v každé firmě trochu jiný, a který je pro nezainteresovaného asi nejobtížnější napodobit a rozlišuje pak kvalitní spear phishing od toho průměrného a podprůměrného.
Tyto informace pak spolu s informacemi na oficiálních webových stránkách a sociálních sítích umožní útočníkovi vytvořit dokonalý spear phishing e-mail, ve kterém dokáže útočník danou osobu správně oslovit, mluvit o tématu, které je dané osobě blízké, používat v dané firmě běžné obraty a fráze a navodit tak pocit důvěry a příjemce udělá přesně to, co útočník potřebuje. Bez stínu nejmenší pochybnosti.
U menších firem stačí prohledat kontejner, který se zpravidla nachází někde před budovou, a kde osoba na první pohled vypadající jako vagabund a prohledávající kontejner a odnášející si z něj papíry, budí akorát veřejné pohoršení nebo je terčem nemístných vtípků a posměchu. Ovšem smát se nakonec bude někdo zcela jiný.
Pokud se kontejner nachází v uzavřených prostorách, tak ani to zpravidla nebývá problém. Útočníkovi stačí se ucházet o práci a přijít na pohovor anebo do dané společnosti zavítat jako klient mající zájem o koupi produktu, který daná společnost nabízí. Po obhlédnutí terénu se pak útočník může nechat zaměstnat jako uklízeč či jiný zaměstnanec a pak prohledat všechny vyhozené dokumenty.
Přičemž v takovém případě se nemusí omezovat jen na dokumenty v koši, ale může se podívat i do dokumentů položených na stole, v zásuvce anebo ve skříni. Ve speciálních kontejnerech pak lze nalézt i informace klasifikované jako citlivé. A když to takhle bude dělat po pracovní době, nikdo si jej ani nevšimne. I proto má zásadu čistého stolu stále smysl dodržovat.
Co s tím? Tady je každá rada drahá. Obecně se doporučuje klasifikovat data, omezit tisk a objem papírových dokumentů, citlivé dokumenty nenechávat na stole, uzamykat je, nepotřebné dokumenty pak ihned skartovat anebo je umístit do kontejneru pod kamerovým dohledem. Tím by se mělo omezit množství papírových dokumentů, ke kterým se může neoprávněná osoba dostat.
Dále je pak vhodné počítat s tím, že i přes výše uvedená opatření se k nim neoprávněná osoba dostane a informace v nich uvedené zneužije. Za tímto účelem je vhodné realizovat i odpovídající bezpečnostní školení, aby zaměstnanci data klasifikovali, dodržovali zásady bezpečné práce a byli si vědomi, že se mohou stát obětí sociálního inženýrství a útočník může do objektu projít spolu s nimi a byli v tomto směru vhodně trénováni a testováni.
ČERMÁK, Miroslav, 2020. Co je to dumpster diving. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/co-je-to-dumpster-diving/. [citováno 08.12.2024].
K článku “Co je to dumpster diving” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.