Pozostawianie imienia i nazwiska nieświadomie w dokumentach

1

Chcę tu poruszyć, jako, że zdarza się to często nawet wykształconym osobom, jak programiści, pozostawianie w dokumentach (*.doc, *.pdf i innych) swoich danych osobowych zaciągniętych z:

a) konta Windows
b) ustawień edytora tekstu, który je automatycznie pobrał z pozycja a).

Czy nie czas by firmowe komputery (oraz Wasze prywatne) nie zawierały nazwy komputera równej imię+nazwisko, lecz jakąś ksywę, pseudonim lub coś innego, co nie będzie powodować wycieku takich informacji na zewnątrz?

Dla niektórych osób to bardzo cenne informacje w jakim przedsiębiorstwie kogoś szukać, a cała sterta tych dokumentów jest dostępna na stronach firmy. Stąd można się dowiedzieć, kto gdzie pracuje, albo kto u kogo pracuje. Nie przeszkadza Wam to?

Widząc na stronie firmowej, że ktoś pięknie pisze dokumentację do programów lub ładnie wykonuje ulotki reklamowe - mam ochotę go podkupić konkurencji. To jeden z przykładów.

Inne możliwości typowo hackerskie, to pobrać te dane, utworzyć automatycznie adres e-mail składający się z imienia i nazwiska i podesłać tej osobie programik własnoręcznie napisany a więc nie wykrywalny przez AV i przeskanować mu sieć i zasoby...

Skąd taki napór na personalizację kont i maili w pracy? Przecież to zagraża nawet bankom.

0

Obecnie tego typu dane pozyskuje się raczej z mediów społecznościowych, poza imieniem i nazwiskiem masz też wydział/stanowisko (a to dość ważne przy tym o czym piszesz. Jak "na produkcję" fakturka pójdzie to się szybko połapią że coś z tym mailem jest mocno nie tak. Trzeba do księgowośći słać).

0

@sig Bije tu głównie właśnie w ten temat - nadmierna personalizacja kont w firmach - począwszy od Windowsów, przechodząc przez maile, a skończywszy na GitHub. Po prostu czasem chce się wymiotować [i to nie przez kłaczek].

Tak, jak najbardziej, przez portale społecznościowe Goldenline i Linkedin też się szuka takich kont, z aktualnymi danymi, ale bazę dopełniają dokumenty z metadanymi. Po co słać fakturkę? To mało opłacalne i łatwe później do namierzenia po numerze rachunku. Cenniejszą rzeczą jest wepchnąć komuś robala napisanego w JS lub PDF'a, który pobierze takiego robala, uruchomi, a ten wyciągnie wszystkie dostępne dane po woli, limitując połączenie, tak aby nie było podejrzanego ruchu.

Gdyby konta w firmie nie były personalizowane na imię i nazwisko lub 'pierwsza litera imienia i nazwisko` wtedy nie byłoby problemu, że ktoś się chwali na Linkedin czy Goldenline, że pracuje w danym JanuszSofcie. Nie byłoby kradzieży danych z firm na taką skalę i nie byłoby tyle fałszywych fakturek i robali. W końcu najprościej trafić przez osoby ze sfer słabszych w sprawach informatycznych. Tam gdzie jest duże ryzyko/szansa, że klikną w załącznik.

A przecież nie jest trudno i nie jest to inwazyjne nadać osobom maile ze zmienionym "nazwiskiem" lub nie prezentujące sobą żadnych danych osobowych.

0

to ktoś jeszcze wysyła w doc. a nie PDF?

0
xxx napisał(a):

to ktoś jeszcze wysyła w doc. a nie PDF?

PDF też zawiera te dane. Co więcej można nawet odczytać jakiego edytora i jakiej wersji używał. Ładnie widać, gdy ktoś ma Worda.

0

no i co ci to da że widzisz nazwę edytora i wersję?
czy nick z windowsa, czy w cv imię i nazwisko które i tak jest napisane w samym cv, a utworzyć maila i wysłać plik z załącznikiem którego i tak wykryje pakiet ochronny i zatrzyma to żadna sztuka, no chyba że piszesz o laikach
hakowanie przez najechanie na plik i wybranie "właściwości" wyższy poziom :)

0

A bank PKO wymaga przy wysyłaniu aplikacji rekrutacyjnej podania nr pesel

0
errors napisał(a):

czy nick z windowsa, czy w cv imię i nazwisko które i tak jest napisane w samym cv, a utworzyć maila i wysłać plik z załącznikiem którego i tak wykryje pakiet ochronny i zatrzyma to żadna sztuka, no chyba że piszesz o laikach

Jako programista nie umiesz samodzielnie przygotować trojana lub wykorzystać znanej, niezałatanej dziury bezpieczeństwa?
Potem pisze się fajne przekonujące maile.

Szanowny Panie Krzysztofie,

w nawiązaniu do rozmowy z dnia [... tu data sprzed miesiąca ...] przesyłam Panu dokument, o który Pan prosił. Wewnątrz załącznika wirus. Nikt po miesiącu nie będzie pamiętał z kim rozmawiał. Widać nie znasz mocy socjotechniki. A najsłabszym ogniwem jest zawsze człowiek.

hakowanie przez najechanie na plik i wybranie "właściwości" wyższy poziom :)

to nie hakowanie, ale zbieranie danych do ataków socjotechnicznych. Hakowanie jest później, jak zrobisz sobie adresy e-mail należące do tej firmy znając domenę, imię i nazwisko pracownika i zaczynasz wysyłać coś złośliwego..

0

za dużo Mr. Robot się naoglądałaś

0

Dobry temat, branża jest stosunkowo mała, wręcz wielu ludzi się zna nawzajem. Stąd wynika zaufanie do GoldenLine czy Linkedina, w sumie nawet wczoraj rozmawiałam z kimś kto 2-3 miesiące wcześniej był w mojej obecnej firmie w siedzibie także lekka wtopa.
Samych rekruterów się nie boję. Raczej nie wysyłają nic poza spamem, a nie pamiętam żeby ktokolwiek wysłał mi jakiś pdf. Oprócz tego przeciętny rekruter nie wie o tym że pdf jest formatem średnio bezpiecznym, ani raczej programował go nie będzie.
Jeśli chodzi o wysyłanie trojanów itd, tego też się zbytnio nie boję, dlatego że staram się nie otwierać podejrzanych formatów od tak, w sumie pdf dla mnie byłby mocno podejrzany.

0

Ciekawe, bo wszystkie Cv jakie wysłałam rekruterom zostały otwarte i oddzwaniali lub odpisywali. Wszystkie były w PDF, oddzwoniło lub odpisało 95% rekruterów. Do wysyłki by trafić wprost do rekruterów też używam GoldenLine i Linkedin, by zdobyć imię i nazwisko. Mail jest spersonalizowany, CV otwarte. Tak samo byłoby gdyby tam trafił trojan wcześniej przygotowany.

0

Z jednego bloga na temat bezpieczeństwa:

"Być może to zaskakujące dla osób, ale pracownicy sami dawali nam to,
czego chcieliśmy — konkretne dokumenty lub dane dostępowe do
firmowych systemów. W każdym z ataków wystarczyło wysłanie zaledwie
kilku e-maili o odpowiednio dopasowanej treści, do umiejętnie wybranych pracowników-ofiar. Tu warto jednak nadmienić, że konstruując
fałszywe e-maile i wybierając ofiary braliśmy pod uwagę wyniki
tygodniowego rekonesansu, czyli czasu, w którym nasi analitycy
zbierali dosłownie wszystko, czego można było się dowiedzieć na temat
firmy-ofiary z publicznych źródeł (struktura działów, dane pracowników, siatka kontrahentów). Dopiero na podstawie tych
informacji ustalaliśmy pod kogo się podszyjemy (kolegę, przełożonego,
czy klienta ofiary?). Ta żmudna i kosztowna praca zawsze się opłacała,
przynosząc liczone w dziesiątkach tysięcy procentów “zwroty na
inwestycji”. Mówiąc wprost, po takim ataku pozyskiwaliśmy nierzadko
kilkaset tysięcy złotych, a całkowita liczba wysłanych przez nas wiadomości nie przekraczała 5. W takich sytuacjach żartujemy, że
wysyłając jednego e-maila można zarobić kilkadziesiąt tysięcy złotych."

1 użytkowników online, w tym zalogowanych: 0, gości: 1