Hе все то золото, что плохо лежит…
Признаться, давно так не смеялся, НО, прекрасный кейс для разбора...
Итак, это, в принципе НЕ горит, но буду рад Вашему анализу данного кейса – на предмет – почему коммерческая разведка такими методами НЕ работает (точки уязвимости и засветки, возможности получения ДЕЙСТВИТЕЛЬНО актуальных сведений), а также, как получить требуемую информацию безопасно и НЕ проявляя своей активности... Пошевелите мозгами... ;-)
Долго прождав, но дождавшись замечаний и предложений ЛИШЬ ОДНОГО из слушателей ШКОЛЫ… разберу предложенный пример… хотя, может статься, ЭТО – никому и НЕ нужно… в смысле практически никого НЕ интересует… ;-(
Вначале к замечаниям слушателя:
Замечание слушателя:
Так как мы обучаемся в школе коммерческой разведки, то свои мысли буду подкреплять материалом из пройденных лекций
1. По роду деятельности – КОММЕРЧЕСКАЯ РАЗВЕДКА является – видом специальных исследований рынка, изучающим отдельные параметры внешней рыночной среды, представляющие риски/возможности для бизнеса компании и влияющие на ее фактическую конкурентоспособность.
2. Существует – «ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ». А коммерческая разведка работает только законными методами.
3. «Молодца» дама могла бы просто попросить прислать через емейл, месенждер какой либо файл и определить айпи адрес клиента, ну и дальше уже мысли можно направить. Под легендой не вступая в личное знакомство, так же через «молодца» выйти на нужный объект исследования и провести сбор и анализ информации уже проявляя свою активность, обходя точки уязвимости и засветки, сидя на пятой точке.(пойдет уже составление своей базы данных).
4. Получение «базы данных» это уже вопрос, если он уже АКТУАЛЕН, может быть поставлен как задача для соответствующих служб для реализации, методы которых мы тут не рассматриваем.
Вот такие мои мысли на вскидку, а девушка я думаю задание выполнила и нехитрой легендой ПРИВИНТИЛА директора к мониторингу :)
Разберем по некоторым пунктам, требующим пояснения:
По п.2. Коммерческая разведка, действительно НЕ нарушает законов, работая в правовом поле, ограниченном рамками существующего законодательства, а также возможностями – которые законами НЕ регламентируются вовсе. Напомню, также, что разведывательная информация – это информация предназначенная ИСКЛЮЧИТЕЛЬНО!!! – для ВНУТРЕННЕГО использования!!! Она НЕ может быть использована для обнародования или, к примеру, доказательств в судах! Вот, почему, разведка может СОВЕРШЕННО безбоязненно – собирать, к примеру, персональные данные – ведь, об ЭТОМ (при правильной организации разведывательной деятельности) – НИКТО и НИКОГДА – НЕ узнает!!! Полученные же знания могут быть использованы ТОЛЬКО для достижения конкретных целей.
По п.4. как выясняется в конце представленного ролика (6мин. 34 секунда ролика), в данном случае речь идет о достаточно странной базе данных – базе данных о работающих в этой компании сотрудников… Мне, признаюсь, довольно тяжело даже представить для каких целей коммерческой разведки такая база была бы пригодна… Что касается иных баз данных, то их получение НЕ является такой уж неразрешимой задачей…
Теперь, непосредственно к ролику.
Итак, нам предложен ролик рассматривающий – основные схемы ВОЗДЕЙСТВИЯ «социальных инженеров»…
В подавляющем большинстве случаев ЦЕЛЬ разведки (в отличие от социальных инженеров), вовсе – НЕ воздействовать на ОБЪЕКТ разведывательного интереса – а хорошо изучив сильные и слабые места в его деловой активности – использовать эти знания на пользу бизнеса собственной компании.
(ИСКЛЮЧЕНИЯ, конечно, случаются, однако, даже в рамках нелинейного менеджмента разведка воздействует – НЕ непосредственно на ОБЪЕКТ влияния – НО на окружающую объект среду, прежде всего, конечно – информационную среду. Это позволяет добиваться изменения/коррекции деятельности объекта (в нужную нам сторону), однако, САМ объект, в этом случае, действует ИСКЛЮЧИТЕЛЬНО – САМ, БЕЗ какого либо (во всяком случае – видимого) понуждения/принуждения извне.)
Таким образом, и ЛИШЬ при наличии необходимости, разведка способна оказать ВОЗДЕЙСТВИЕ на интересующий объект – НО дистантно/бесконтактно и НЕ вступая в ПРЯМОЕ и НЕПОСРЕДСТВЕННОЕ ВЗАИМОДЕЙСТВИЕ с объектом влияния или элементами этого объекта.
Это позволяет разведке осуществлять скрытое информационное воздействие на объект – НЕ раскрывая и НЕ «засвечивая» своей активности и своего присутствия. В то же время, любые действия совершаемые объектом влияния – он совершает САМ – по СОБСТВЕННОМУ волеизъявлению и без какого-либо понуждения.
В то время, как, судя по ролику, «социальные инженеры» в операциях ВОЗДЕЙСТВИЯ подразумевают фактически прямое и непосредственное воздействие (взаимодействие) с объектом влияния.
Теперь, собственно, к примеру «социального инженера» (49 секунда ролика) – получить базу данных компании «X» – за неделю!!! (из ПЕРВИЧНО поставленной задачи, правда – НЕ совсем понятно, какая именно база данных имеется в виду: база данных сделок?; база данных ключевых клиентов?; что-то еще???)
К методам сбора первичных сведений, указанных в ролике, особых претензий нет, за исключением возможностей и необходимости НЕПОСРЕДСТВЕННОГО проникновения в офис компании-объекта (с 1м. 37 сек. ролика – до 2м. 10 сек.) с заглядыванием в компьютеры сотрудников для сбора сведений… Вероятно, имеются в виду компании, не имеющие соответствующих служб СБ и свободно допускающих посторонних в различные линейные отделы и подразделения…
Однако, САМОЕ замечательное, начинается с 3 пункта – «анализа информации и идентификации непосредственных мишеней воздействия» (с 2м. 15 сек. ролика – до 2м. 55 сек.). Итак, в результате работы «социального инженера» объектом воздействия (кстати, не совсем понятно почему) избран условный сын, условного директора компании…
Начиная с 4 пункта – «создания условий» (с с 2м. 55 сек. ролика – до 3м. 49 сек.) количество сопутствующих обстоятельств начинает нарастать, как снежный ком, усложняясь по мере приближения, собственно, к самой акции ВОЗДЕЙСТВИЯ…
(Найти подходящую по фактуре девушку (а вдруг – она НЕ понравится объекту), заставить объект войти в эффективную коммуникацию, предполагающую доверительное (и, возможно, даже более) общение, обмен информацией и приглашения в жилище/убежище объекта (а, если он проживает отдельно – от отца??? – надо искать дополнительные поводы для проникновения) и т.д.)
5-й пункт – в «принуждение к действию» (с 3м. 50 сек. ролика – до 6м. 12 сек.) – как утверждает «социальный инженер» (правда, при условии, что папа и сын используют один общий домашний комп для работы, не имеющий антивирусной защиты, а также при дополнительных условиях работы отца на компе, после окончания работы в офисе) – данный метод позволяет «Совершенно просто завладеть информацией»© (5мин. 55 секунда ролика). Поверим???
Наконец, практически к концу ролика выясняется – КАКАЯ именно база данных требовалась «социальному инженеру»… ЭТО – база данных работающих в этой компании сотрудников (6мин. 34 секунда ролика) и… возможно, список клиентов этой компании…
ВОТ!!! Собственно, и все решение задачки представленными методами социальной инженерии…
Возможно, «социальные инженеры» работают именно так… «легко и просто»…
Однако, методы коммерческой разведки предполагают, прежде всего дистантные и бесконтактные приемы исследований объектов разведывательной разработки, НЕ допускающие «засветки» разведывательной активности…
Делая, по приведенному примеру, логическое предположение, что объект «воздействия» является рыночным конкурентом компании (осуществляющей разведку), иначе, с чего бы нам/нашей компании проявлять интерес к данному объекту, рискнул бы предложить совершенно иной порядок действий, позволяющий получить те же искомые данные, НО:
– в более сжатые сроки;
– избегая различных случайностей непосредственной коммуникации с сотрудниками/руководителями компании или их родственниками;
– НЕ вовлекая «посторонних» (девушек, юношей и т.п.) в процесс получения сведений;
– НЕ прибегая к операциям ТФП (тайного физического проникновения);
– НЕ «засвечивая» собственного интереса и разведывательной активности…
Какие именно? Трудно сказать НЕ представляя конкретный объект разработки, но, без сомнения, что-то из этого арсенала и не забывая о зонах «ТАБУ» и ограничений…
Комментариев нет:
Отправить комментарий