Scenarie: Du arbejder i et virksomhedsmiljø, hvor du er, i det mindste delvis, er ansvarlig for netværkssikkerhed. Du har gennemført en firewall, virus og spyware beskyttelse, og dine computere er alle ajour med patches og sikkerhedsrettelser. Du sidder der og tænke på den dejlige job, du har gjort for at sikre, at du ikke bliver hacket. Du har gjort, hvad de fleste mennesker tror, er de store skridt i retning af et sikkert netværk. Dette er delvist korrekt.
Hvad med de andre faktorer? Har du tænkt på en social engineering angreb? Hvad med de brugere, der bruger dit netværk på daglig basis? Er du forberedt på at håndtere angreb fra disse mennesker? Tro det eller ej, det svageste led i din sikkerhed plan er de mennesker, der bruger dit netværk. For det meste, er brugerne uuddannede om de procedurer til at identificere og neutralisere en social engineering angreb.
Hvad kommer til at stoppe en bruger fra at finde en cd eller dvd i frokoststuen og tager det til deres arbejdsplads og åbne filer? Denne disk kan indeholde et regneark eller tekstbehandlingsprogram dokument, der har en skadelig makro indlejret i den. Den næste ting du ved, er dit netværk kompromitteret. Dette problem eksisterer især i et miljø, hvor en helpdesk personale nulstille kodeord over telefonen. Der er intet at stoppe en person opsat på at bryde ind i dit netværk fra at kalde helpdesk, foregiver at være en medarbejder, og beder om at få en nulstilling af adgangskode.
De fleste organisationer bruger et system til at generere brugernavne, så det er ikke meget vanskeligt at regne dem ud. Din organisation skal have strenge politikker på plads til at kontrollere identiteten af en bruger, før en nulstilling af adgangskoden kan gøres. En enkel ting at gøre, er at have brugeren gå til helpdesk i person. Den anden metode, som fungerer godt, hvis dine kontorer er geografisk langt væk, er at udpege en kontaktperson på kontoret, der kan ringe efter en nulstilling af adgangskoden.
Denne måde alle, der arbejder på help desk kan genkende stemmen af denne person, og ved, at han eller hun er, hvem de siger de er.
Hvorfor skulle en hacker gå til dit kontor eller foretage et telefonopkald til helpdesk? Enkel, er det som regel stien mindst modstand. Der er ingen grund til at bruge timer på at forsøge at bryde ind i et elektronisk system, når det fysiske system er lettere at udnytte.
Næste gang du ser nogen gå gennem døren bag dig, og ikke anerkender dem, stoppe og spørge, hvem de er, og h