Прогулянка по вулицях ділового та фінансового району Лондона дає чітке розуміння того, що багато фірм навіть не здогадуються про свою фізичну незахищеність, - про це розповідає компанія AppRiver, що спеціалізується на безпеці електронної пошти та інтернет-ресурсів.
У процесі дослідження, що спонсорується компанією AppRiver, було виявлено, що практично на кожній вулиці Лондонського Сіті (відомого також як «квадратна миля»), де розташовано безліч підприємств, є принаймні одне вікно на другому поверсі, через яке видно екран користувача. Справді, на деяких з навколишніх Чипсайду вулицях мало того що видно монітори на других поверхах, а й цілі їхні ряди на перших поверхах. У двох банках під кутом, що примикають один до одного, на першому поверсі знаходиться більше 150 екранів, повернених лицем до вулиці і розташованих в декількох метрах від вікна. На половині всіх робочих столів стоять таблички з іменами працівників. Така практика робить організації вразливими для крадіжки даних.
Опитування показало, що стороннім особам можуть бути видні облікові дані, повідомлення електронної пошти, дані для входу в корпоративну базу даних і численні документи співробітників фірм. Хоча конфіденційні дані в рамках цього дослідження не були отримані, воно показало, що людина з недобрими намірами, часом і трансфокаторним об'єктивом, теоретично, може зібрати воєдино інформацію, необхідну щоб почати атаку проти будь-якої з цих фінансових компаній.
Девід Лібератор, старший директор з управління технічними продуктами AppRiver, каже: "Раніше, якщо ви хотіли пограбувати банк, потрібно було йти до відділення і погрожувати персоналу. Але з розвитком технологій, гроші перемістилися в Інтернет, а злочинці просто пішли за ними. В результаті, з постійним вдосконаленням і зміцненням систем безпеки інформаційних технологій, багато з них систематично зламуються злочинцями, які шукають нові шляхи здійснення віртуальних крадіжок. А що може бути краще, ніж отримувати потрібну інформацію, просто дивлячись у вікна фірм".
Один із прикладів того, як може відбуватися шахрайство. За працівником деякий час ведеться спостереження, шахрай отримує досить докладну інформацію про життя людини, щоб зав'язати неформальну розмову в будь-якому, не пов'язаному з роботою, місці - барі або кав'ярні. Знаючи ім'я людини і назву компанії де він працює, а також деталі, отримані з побачених листів або документів, зловмисник може легко втертися в довіру. В кінцевому підсумку, людина розповість ту інформацію, яка потрібна шахраєві.
Інший метод схожий на "мистецтво ілюзії". Зловмисник переглядає, а потім дублює листи, які отримують співробітники фірми. Потім шахрай починає цілеспрямовану фішинг кампанію, розсилаючи підроблені листи, в яких "жертві" необхідно дотримуватися певної інструкції, в результаті чого будуть виманювати персональні дані, паролі і т.д. Сумнозвісний злом RSA є свідченням сили цього методу атаки, - вважають в AppRiver.
Девід Лібератор додає: "Ми знаємо що злочинці збирають інформацію з соціальних мереж, таких як Facebook і LinkedIn, після чого запускають цільові атаки. Організації, які наражаються на небезпеку витоку їх корпоративної інформації прямо через відкрите вікно, можливо, навіть більш уразливі, ніж в разі установки на їх пристрої кейлогерів для перехоплення інформації яка вводиться з клавіатури. Багато організацій настільки зосередилися на своїй віртуальній безпеці, що заходи по забезпеченню безпеки на фізичному рівні просто ігноруються. А це означає, що вся інформація, яку вони намагаються захистити, може бути вкрадена просто проходячою повз людиною. Цю ситуацію необхідно виправити".
