Pytanie:
Zalecane blokowanie całego ruchu do / z określonych adresów IP
upsidedowncreature
2018-09-10 19:43:39 UTC
view on stackexchange narkive permalink

Mój dyrektor finansowy otrzymał wiadomość e-mail od dyrektora instytucji finansowej z informacją, że cały ruch (przychodzący i wychodzący) z określonych adresów IP powinien być blokowany na zaporze. Dyrektorowi instytucji finansowej doradził dział IT, aby wysłał tę wiadomość. Lista adresów (około 40) znajdowała się w załączonym, chronionym hasłem pliku PDF. Hasło zostało wysłane do mojego dyrektora finansowego w wiadomości tekstowej.

Początkowo myślałem, że była to złośliwa próba nakłonienia naszego dyrektora finansowego do otwarcia zainfekowanego pliku PDF lub próba wyłudzenia informacji / wielorybów, ale wydaje się, że jest to uzasadnione. Rozmawialiśmy z działem IT w FI i mówią, że jest autentyczny, ale nie mogą (nie chcą) podać więcej informacji. Ze względu na charakter relacji między moją firmą a pośrednikiem, odmowa nie wchodzi w grę. Z tego, co widzę, większość adresów IP wydaje się należeć do firm technologicznych.

Czy takie podejście wydaje Ci się podejrzane? Czy zachodzi tu inżynieria społeczna? Jaka może być natura zagrożenia?

Myślę, że na to pytanie brakuje wystarczających szczegółów, aby udzielić dobrej odpowiedzi.Szczególnie brakuje mi więcej szczegółów na temat adresów IP, których dotyczy problem, podanych powodów blokady i oryginalnego źródła zaleceń (które prawdopodobnie nie jest katalogiem FI, który zwykle nie ma zbytniego pojęcia o bezpieczeństwie IT).Nierzadko jednak zdarza się, że niektóre informacje o potencjalnych zagrożeniach są przekazywane tylko wybranym firmom, na które mogą one mieć wpływ i nie są upubliczniane, aby nie przekazywać atakującym zbyt wielu informacji, o których są znani.To może wyjaśniać zaszyfrowany plik PDF.
Nie opisujesz również charakteru swojej relacji z FI, aby wiedzieć, czy jest to uzasadnione żądanie (uzasadnione czy nie).
Brakuje szczegółów, ponieważ nie mam żadnych szczegółów poza listą adresów IP.To, że prośba pochodziła od dyrektora instytucji finansowej, wydaje mi się podejrzane.Wiem, że taka osoba nie byłaby dobrze zorientowana w kwestiach bezpieczeństwa IT.Wiem, że to niejasne pytanie, coś po prostu nie pasuje.
Jaki jest tytuł reżysera?Jaka jest wielkość FI?Czy dyrektor jest Twoim zwykłym kontaktem?
@jcaron ostatecznie te 3 fakty nie mają znaczenia
@schroeder Ostatecznie nie.Ale: jeśli dział IT musiałby komunikować się ze wszystkimi „partnerami”, ponieważ byli świadomi określonego ryzyka (powiedzmy, Wannacry ++), mogliby udać się do „dyrektora ds. Partnerstw”, który faktycznie ma listę wszystkich partnerów z odpowiednim kontakteminfo.Może to usunąć jeden z elementów niepewności PO związanej ze sposobem, w jaki zostało to przekazane.OP, kiedy rozmawiałeś z działem IT na FI, oczywiście używałeś danych kontaktowych, które już posiadałeś, a nie numeru telefonu zawartego w e-mailu, oczywiście?
Czy może to mieć coś wspólnego z przestrzeganiem, np. Sankcjami, przeciwdziałaniem praniu pieniędzy, czarnymi listami terrorystów?
Warto zauważyć, że adresy IP mogą zostać sfałszowane, więc blokowanie 40 adresów (zakładając, że nie są to zakazy dotyczące zakresu adresów IP) wydaje się dość małe i arbitralne.
OK, sprawdziłem i najprawdopodobniej jest to problem ze zgodnością.WAŻNE: gdzie na świecie jesteś, a gdzie na świecie są te firmy?
Aby dowiedzieć się, jaka jest natura zagrożenia, możesz skonfigurować rejestrowanie honeypot / IP.
Biorąc pod uwagę najnowsze wiadomości i to, że lista wydaje się być firmami technologicznymi, zastanawiam się, skoro OP nie powiedział, czy lista bloków dotyczy usług P2P lub STUN obsługiwanych przez firmy technologiczne, które teoretycznie * mogłyby * pozwolić na połączenie z usługami CCTV, których niestety zbyt wieleczy pozostały instalacje techniczne z domyślną nazwą użytkownika / hasłami i włączonymi niepotrzebnymi usługami?W takim przypadku łatwiej jest właściwie zarządzać własną siecią i podłączonym sprzętem.Nie mogę wypowiedzieć się na temat projektu lub działania takich sieci P2P, ale można sobie wyobrazić, że po włączeniu na urządzeniach pozostawiają duże, szeroko otwarte możliwości dla firm technologicznych.
Domyślam się, że pochodzi on z kontrwywiadu FBI (lub podobnego źródła) i został oznaczony jako [TLP: AMBER] (https://www.us-cert.gov/tlp).Dystrybucja działania do partnerów podlegających ścisłej kontroli to wszystko, co mogą zrobić.Zapytanie, co należy zrobić, aby umieścić swoją firmę na liście dystrybucyjnej źródła, jest dobrym pomysłem, aby w przyszłości uzyskać więcej informacji.
Czy istnieje możliwość, że brak dostępu do tych adresów IP dałby przewagę konkurentowi?
czy adres IP to [węzły wyjściowe Tor'a] (https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1)?
Pięć odpowiedzi:
schroeder
2018-09-10 20:24:08 UTC
view on stackexchange narkive permalink

Jeśli rozmawiałeś z FI na osobnym kanale, w rzeczywistości rozmawiałeś z FI i oni o tym wiedzą, to z definicji nie jest to phish .

To, co wydaje mi się dziwne, to „ale nie mogą (nie) podać więcej informacji” oraz „odmowa tak naprawdę nie wchodzi w grę”. Te 2 fakty nie mogą współistnieć , jeśli jesteś odrębną jednostką od FI.

Twoja odmowa jest prosta: Twoja zasada zapory wymaga uzasadnionego powodu wraz z datą zakończenia , aby reguła została przejrzana / usunięta. Nie dodajesz reguł zapory tylko dlatego, że ktoś spoza organizacji Ci to nakazał. FI nie ma pojęcia, czy blokowanie tych adresów IP może wpłynąć na twoje operacje.

  • jaki efekt ma mieć ta reguła?
  • jak długo reguła musi istnieć?
  • kto (osoba nazwana) jest właścicielem tej reguły po stronie FI?
  • jakie środki zaradcze są oczekiwane, jeśli reguła ma negatywny wpływ na operacje?
  • jaki będzie skutek między twoimi firmami, jeśli reguła nie zostanie wdrożona dokładnie tak, jak żądano ?

Nie dodasz reguły zapory bez wiedzy o jej wpływie , pozytywnym lub negatywnym. Jeśli chcą mieć większą kontrolę nad Twoimi zaporami, mogą je dostarczyć i zarządzać nimi za Ciebie.

Z drugiej strony, jeśli są właścicielami Ciebie i ryzykują, podejmują ryzyko związane z tą zmianą, więc po prostu dodaj zasady.

Jeśli chodzi o dyrektor wysyłający to prośba, to nie jest takie dziwne. Kiedy potrzebujesz kogoś do zrobienia czegoś, masz osobę, która ma największe wpływy, aby o to poprosić. Dyrektor może nie mieć pojęcia, co to jest zapora, ale żądanie jest wysyłane w imieniu tej osoby. Ciekawi mnie też, dlaczego potrzebna jest tak duża siła oddziaływania. Wygląda na to, że chcą zmusić cię do zrobienia tego, nie musząc się tłumaczyć. Nie pozwól im dyktować Twojej polityki i tego, jak najlepiej chronić swoją firmę.

„Nie pozwól im dyktować Twojej polityki i tego, jak najlepiej chronić swoją firmę”, chyba że z powodów politycznych odmowa nie wchodzi w grę.
@DonQuiKong to jeśli polityka jest ważniejsza od właściwego zarządzania bezpieczeństwem i ryzykiem, to taka jest Twoja polityka
To znaczy, ogólnie podoba mi się twoja odpowiedź, ale op mówi: * Nie mogę odmówić, jakie problemy może to przynieść? *, A ty mówisz * cokolwiek, po prostu odmów *.To naprawdę nie jest odpowiedź.Można to nazwać wyzwaniem związanym z klatką, ale brzmi to bardziej jak całkowite zniszczenie klatki.
Przeczytaj ponownie moją odpowiedź.Nie powiedziałem „po prostu odmów”, powiedziałem, że odrzuć konkretne prośby o informacje.
Nie mogę sobie wyobrazić żadnego scenariusza, w którym polityka przeważa nad zobowiązaniami, na które narażone są * obie * firmy, przez to, że jedna dyktuje drugiej zasady firewalla.Jeśli FI chce naciskać, musi również wziąć na siebie zobowiązania, co należy wyjaśnić.
„Nie zrobię tego, chyba że…” to swego rodzaju odmowa.Ale masz też rację, jest to również warunkowe tak.Chodzi mi o to, pytanie OPS brzmi * to pachnie podejrzanie, gdzie może być ryba *.Twoja odpowiedź brzmi: * nie rób tego *.Masz rację, ale nie odpowiadasz na pytanie.(Ale Imho nie można odpowiedzieć, więc ...)
To wszystko jest opisane w mojej pierwszej linii.Reszta prawdopodobnie odkryje „rybę”.
Zawsze możesz udawać, że mówisz tak.Na przykład: „Jasne, możemy je dodać. Oto standardowy formularz żądania nowych reguł zapory sieciowej. Wypełnij go i odeślij do czwartku”.Formularz zawiera następnie prośbę o podanie dowolnych informacji.
@Kevin, jeśli firma „nie może odmówić”, oszustwo tylko zwiększa odpowiedzialność firmy.Wszystkie zaangażowane osoby powinny profesjonalnie podchodzić do sytuacji i wzajemnie szanować swoją wolę i obowiązki.
Myślę, że punkt @Kevin's to nie tyle oszustwo (pomimo tego, że opowiadamy się za nim po wartości nominalnej), ale to, że można na żądanie postawić przyjazną minę.Zamiast wyrażać prośbę jako żądanie informacji, podkreśl swoją otwartość na spełnienie prośby, o ile przestrzegane są rozsądne zasady: „Dziękujemy za tę sugestię. Zgodnie z naszą polityką musimy zarejestrować więcej informacji, zanim będziemy mogli ją wprowadzić. Musimy również lepiej zrozumieć, jaki jest zamierzony wpływ, abyśmy mogli ocenić regułę w świetle pozostałych naszych zasad / zasad oraz tego, czy nam się udało, czy nie ”.Lub podobne.
Rozumiem, że nie jesteś zwolennikiem udawania zrzędliwej, agresywnej osoby w rodzaju „Nie zadzieraj z MOJĄ siecią”, ale twoja odpowiedź brzmi szorstko.Myślę, że jest to całkowicie uzasadnione, ale wskazanie, że możesz być taktowny, jeśli chodzi o popyt, nie jest również złą rzeczą.
@jpmc26 Czyta się szorstko i nie opowiadam się za zrzędą, ale za bardzo jasnymi liniami odpowiedzialności.Każda prośba strony zewnętrznej o skonfigurowanie firewalla i niepodawanie informacji, gdy zostaniesz o to poproszony („ale nie mogą (nie mogą) podać więcej informacji”), musi zostać odrzucona.To nie jest czas na „przyjazną twarz”.A fakt, że jedna z zaangażowanych osób musi poprosić o pomoc, oznacza, że osoba ta potrzebuje pozwolenia na przyjęcie twardej postawy.
Doomgoose
2018-09-10 20:55:36 UTC
view on stackexchange narkive permalink

Odwróciłbym się od tego, jako próby inżynierii społecznej, a bardziej do równorzędnego FI, który jest nadmiernie ostrożny w zakresie ujawniania informacji - mogli mieć jakiś incydent związany z tymi adresami IP i nie są na etapie, na którym chcą ujawnić cokolwiek dalej.

Spójrz na to w ten sposób: co tak naprawdę musiałby na tym zyskać aktor pozornego zagrożenia?

Wspomniałeś, że wiele adresów IP są powiązane z firmami technologicznymi.

  • Czy te firmy zapewniają hosting stron internetowych, który mógłby zostać wykorzystany jako złośliwa infrastruktura?
  • Czy te firmy zapewniają usługi proxy, które mogą być nadużywane?
  • Czy te firmy zapewniają oprogramowanie do testowania bezpieczeństwa, które mogłoby zostać użyte złośliwie?

Chociaż same organizacje mogą być legalne, można je jednak wykorzystać, ale bez dalszej informacji z tego FI, nie podjąłbym żadnych działań: ciężar dowodu spoczywa na nadawcy tej listy.

Jest to faktycznie niskie inteligencja zagrożeń lity - nie dostarcza dowodów na to, że wskaźniki są warte zachodu.

A na marginesie, czy w międzyczasie można w jakiś sposób skonfigurować monitorowanie tych adresów IP? Pewne śledztwo po twojej stronie może dostarczyć informacji potrzebnych do ustalenia, dlaczego rzekomo warto je zablokować (niektóre kopania OSINT mogą również być owocne).

Czy żądania z tych adresów IP mogą być wysyłane na oddzielny serwer (być może w sieci lokalnej łącza) i poddawane kwarantannie w celu analizy?
Dwie dobre opcje w tej przestrzeni;możesz je przekierować (np. link local) lub pozwolić i przeanalizować je „w locie”, ale upuść je dalej w dół linii, jeśli nadal istnieją obawy.
„Co tak naprawdę musiałby na tym zyskać pozorny aktor groźny?”Jakiś rodzaj odmowy usługi dla jednej z zablokowanych stron.Zagrożenie niekoniecznie musi dotyczyć bezpośrednio firmy OP, chociaż w jej interesie leży zapewnienie zaspokojenia potrzeb klienta.
@jpmc26 - Absolutnie poprawne, że jest taka możliwość, jednak wydaje mi się, że byłoby to mało prawdopodobne: nie jest to taktyka, z którą się zetknąłem lub o której słyszałem przeciwko jakiejś organizacji. Biorąc pod uwagę, że ten przeciwnik musiałby nie tylko znać właściwy zespół do skontaktowania się i nadawcę do sfałszowania, a blokowanie tych adresów IP doprowadziłoby do degradacji usług dla celu, nie sądzę, aby w tym przypadku była to prawdopodobna droga ataku.
„co miałby na tym zyskać pozorny aktor” - mogliby budować pierwszeństwo.Tym razem blokuje listę adresów IP w zaporze.Zrobią podobną prośbę jeszcze kilka razy, a przejście przez biurokrację stanie się łatwiejsze i łatwiejsze, aż stanie się prawie normalne.Wtedy jedno żądanie będzie zawierało pewne reguły z białej listy i nikt o tym nie myśli, ponieważ został przeszkolony, aby się nie martwić
„Co tak naprawdę musiałby na tym zyskać pozorny aktor groźny?”Blokowanie serwerów aktualizacji związanych z Twoim stosem odpowiadałoby IPS firmom technologicznym i mogłoby być po prostu paranoiczne (musisz zweryfikować aktualizacje) ze strony legalnego aktora lub złośliwe ze strony nielegalnego (potrzebujemy kilku dni, aby się dostać).brak wiedzy, czy to właśnie robisz, jest zaniedbaniem.
Ivan
2018-09-11 04:07:41 UTC
view on stackexchange narkive permalink

Mój dyrektor finansowy otrzymał wiadomość e-mail od dyrektora instytucji finansowej z informacją, że cały ruch (przychodzący i wychodzący) z określonych adresów IP powinien być blokowany na zaporze. Dyrektorowi instytucji finansowej doradził dział IT, aby wysłał tę wiadomość. Lista adresów (około 40) znajdowała się w załączonym, chronionym hasłem pliku PDF. Hasło zostało wysłane do mojego dyrektora finansowego SMS-em.

Jedyną częścią, która wydaje mi się dziwna, jest to, że C F O jest w to w ogóle zaangażowany . CTO (lub podwładni) rutynowo zajmują się cyberwywiadem i wymianą informacji między instytucjami i krajowymi agencjami wywiadowczymi (FBI, CERT itp.).

Początkowo myślałem, że to złośliwa próba nakłonienia naszego dyrektora finansowego do otworzyć zainfekowany plik PDF lub próbę phishingu / wielorybnictwa, ale wydaje się, że jest to uzasadnione. Rozmawialiśmy z działem IT w FI i mówią, że jest autentyczny, ale nie mogą (nie chcą) podać więcej informacji. Ze względu na charakter relacji między moją firmą a pośrednikiem, odmowa nie wchodzi w grę. Z tego, co widzę, większość adresów IP wydaje się należeć do firm technologicznych.

Twoja staranność jest warta braw; to jest prawdopodobny wektor.

Nie określasz, czym są te „firmy technologiczne”, ale jeśli są to takie rzeczy jak AWS, DigitalOcean, Linode, Vultr, Choopa, Hetzner, OVH, Velia i in. wtedy powinieneś wiedzieć, że te firmy technologiczne (i wiele innych mniejszych, w tym seedboxy torrentów) są rutynowo zamieszane w botnety, złośliwe oprogramowanie i oszustwa finansowe. Wszystko, co oferuje hosting współdzielony lub usługi VPS, jest możliwą platformą do przeprowadzania ataków. Mogę powiedzieć z bezpośredniego doświadczenia, że ​​wiele z HSA, W2, oszustw podatkowych i innych oszustw dziennikarzy, takich jak Krebs, jest uruchamianych z tanich usług VPS, takich jak te.

Czy takie podejście cię uderza jako podejrzane? Czy zachodzi tu inżynieria społeczna?

Informacje o bieżących incydentach można udostępniać formalnie (poprzez publikację na listach mailingowych US-CERT, wśród instytucji w DIBNET, FS-ISAC itp.) lub za pośrednictwem dziwnych schematów udostępniania plików PDF między kierownictwem, nieujawniana, niepowiązana wskazówka FBI. Zdarza się.

Kiedy źródłem jest FBI, zazwyczaj nie podają one żadnych szczegółów ani kontekstu, więc potrząsanie drzewem i odmowa podjęcia działań bez dalszych informacji mogą nie zostać dobrze odebrane przez przełożonych. Trzymaj się dalej, a skończysz jak łobuz w Equifax, który opóźnił łatanie Strutsa przed włamaniem; był pierwszą osobą, która została wrzucona pod autobus. Najwyraźniej masz umowę biznesową zobowiązującą do wdrożenia niektórych blokad IP na podstawie otrzymanych informacji o zagrożeniach. Po prostu zrób to.

Ponownie, jedyną podejrzaną częścią jest to, że odbiorcą był dyrektor finansowy. Ale może to być spowodowane naturą istniejącej relacji między nim a tym dyrektorem.

Jest całkowicie możliwe, że ktoś próbuje wywołać chaos, blokując adresy IP firm, z którymi prowadzisz interesy, ale to wydaje się naciągany - wymaga dużej wiedzy wewnętrznej i wysiłku, aby dokonać niewielkiej przerwy w najgorszym przypadku.

Jaka może być natura zagrożenia?

Dyrektor instytucji finansowej X został powiadomiony o incydencie. Prawdopodobnie zostały przejęte przez co najmniej jeden z tych 40 adresów IP lub zostały poinformowane o zagrożeniu z zewnętrznego źródła. Być może zauważyli dowody na to, że Twoja firma również może być potencjalnym celem, czy to poprzez poświadczenia, których próbowali użyć, żądane punkty końcowe lub dane eksfiltrowane. Uznali za stosowne udostępnienie tych informacji Twojej firmie, abyś mógł podjąć aktywne działania.

Między tobą a mną, nie przejmuję się tym scenariuszem. Właśnie takie rzeczy przychodzą do mojej skrzynki pocztowej w każdy poniedziałek (a zwłaszcza w dni po świętach państwowych - zagraniczni napastnicy uwielbiają czekać, aż dowiedzą się, że nikt nie będzie w biurze przez kilka dni. tydzień ...).

To, co osobiście robię z tymi listami przed wdrożeniem bloków, to przeglądanie ich w naszych własnych dziennikach i sprawdzanie, jakie działania podejmowali ci sami aktorzy w naszych systemach. Poszukaj aktywności wszystkich adresów IP w tych samych podsieciach; podane adresy IP mogły nie być tymi samymi, które mogły być już skierowane do Ciebie. Czasami odkrywa dowody kompromisu, które nie były objęte zakresem dostarczonej informacji.

Tak naprawdę nie radziłbym nikomu blokować listy jednorazowych dropletów DigitalOcean na zasadzie per-IP (v4?) Bez tworzenia procesu utrzymywania tych czarnych list.Uwaga: samo DO ma [setki tysięcy, jeśli nie miliony] (https://bgp.he.net/search?search%5Bsearch%5D=digitalocean&commit=Search) adresy IPv4, między którymi osoba atakująca może się poruszać w ciągu może minut.Powiedzmy, że AWS wdraża dużo, dużo więcej.
Ponadto AWS to nie tylko hoster botnetów, to popularny dostawca wygodnych funkcji typu „cokolwiek aaS”, często używanych przez przedsiębiorstwa.A jeśli któryś z Twoich klientów lub partnerów również korzysta z AWS?Co się stanie, jeśli od czasu do czasu migrują na jeden z zablokowanych adresów IP po usunięciu z nich złośliwej aplikacji przez zespół bezpieczeństwa Amazon?Nie, to tylko prośba o kłopoty.
Zaangażowanie dyrektora finansowego sugeruje, że może to być kwestia zgodności, a nie kwestia bezpieczeństwa.
Nie rozumiem, co jest podejrzane ... kontakt * finansowej * instytucji z Twoją firmą to najprawdopodobniej dyrektor finansowy lub ktoś pod jego dowództwem.Gdyby skontaktowali się z CTO, nastąpiłoby dłuższe opóźnienie, ponieważ CTO próbowałby potwierdzić pochodzenie wiadomości.Jeśli dyrektor finansowy skontaktował się z Tobą bezpośrednio i zgłosisz się do CTO lub CIO, to tak, uzyskaj potwierdzenie od swojego przełożonego, ale jeśli coś pójdzie nie tak, po prostu odrzucasz to, ponieważ wydawało się to dziwne, jesteś tym, któryzostanie powieszony do wyschnięcia.Może warto uzyskać politykę, w której CxO jest „potwierdź później”, a nie „potwierdź najpierw”.
@ximaera Nie robienie niczego w obliczu stwierdzonego zagrożenia (CVE) doprowadziło do naruszenia Equifax.Pod rządami (byłego) dyrektora generalnego dominowała mentalność „waaah, nie możemy zrobić nic, co wpłynie na produkcję”.Spójrz, skąd ich to wzięło.Przypadkowe zablokowanie segmentu infrastruktury klienta / partnera (* jeśli ma to zastosowanie nawet w tym przypadku *) jest w najgorszym przypadku błędem technicznym, którego rozwiązanie regulują kontrakty i umowy SLA, a konsekwencje których są znacznie mniejsze niż całkowite uzyskanie pw.
@Ivan Niekoniecznie uważam, że kontakt z dyrektorem finansowym musi być podejrzany.Oprócz komentarza Joe istnieją również firmy z listy Fortune 500, które nie mają lidera C-Suite działu IT.W niektórych z tych sytuacji dyrektor IT / wiceprezes / menedżer będzie podlegał bezpośrednio dyrektorowi finansowemu lub dyrektorowi operacyjnemu.Więc dyrektor finansowy może być ostatecznym szefem działu IT.
Sentinel
2018-09-11 09:52:58 UTC
view on stackexchange narkive permalink

Fakt, że dział IT nie zna powodów blokowania adresów IP oraz fakt, że dyrektorzy FI współpracują z CFO, a nie z CTO, sugeruje, że jest to kwestia zgodności.

Może grozić Ci wprowadzenie sankcji, przeciwdziałania praniu pieniędzy lub czarnych list antyterrorystycznych. Możliwy audyt PCI.

Pracowałem w bankach i procedury zgodności mogą być dość dziwaczne i trudne do wdrożenia. Możesz poprosić Compliance o zatwierdzenie samego środka.

NotMe
2018-09-11 02:11:18 UTC
view on stackexchange narkive permalink

Czy takie podejście wydaje Ci się podejrzane?

Powiedziałeś: „ Ze względu na charakter relacji między moją firmą a FI odmowa nie naprawdę opcja.

To bardzo interesujące stwierdzenie. Ostatecznie, bez ujawniania szczegółów tego związku, nie sądzę, aby ktokolwiek mógł powiedzieć, czy to podejście jest podejrzane, czy nie. Z pewnością brzmi to tak, jakby ustalenia umowne między obiema firmami obejmowały ten scenariusz. Jeśli to prawda, to nie, nie jest to podejrzane.

Czy dzieje się tu jakaś inżynieria społeczna?

Nie brzmi na to. Jeśli ustnie potwierdziłeś, że dział IT drugiej firmy faktycznie wysłał to żądanie / zamówienie, to nie, nie jest to problem inżynierii społecznej.

Jaka może być natura zagrożenia?

Być może inna firma ma dowód, że te firmy technologiczne zostały zinfiltrowane. Być może druga firma po prostu obawia się, że jej własność intelektualna może zostać skradziona przez te firmy. Nie wiedząc, kto jest zaangażowany, nie można odgadnąć.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...