Πώς να κλέψετε τα εταιρικά μυστικά σε 20 λεπτά: Ρωτήστε

Μερικές εταιρείες στο Fortune 500 πρέπει να αναβαθμίσουν τους φυλλομετρητές ιστού. Και ενώ είναι σε αυτό, μια μικρή ενδοεπιχειρησιακή εκπαίδευση στην κοινωνική μηχανική δεν θα ήταν κακή ιδέα.

Οι χάκερ κοινωνικής μηχανικής - οι άνθρωποι που παραπλανούν τους υπαλλήλους να κάνουν και να λένε πράγματα που δεν πρέπει - - πήραν τον καλύτερο τους πυροβολισμό στο Fortune 500 κατά τη διάρκεια ενός διαγωνισμού στο Defcon Friday και έδειξαν πόσο εύκολο είναι να κάνεις τους ανθρώπους να μιλήσουν, αν μόνο λέτε το σωστό ψέμα.

Τα συνέδρια ασφαλείας Defcon και Black Hat λαμβάνουν χώρα στο Las

Οι διαγωνιζόμενοι έκαναν στελέχη πληροφορικής σε μεγάλες εταιρείες, όπως η Microsoft, η Cisco Systems, η Apple και η Shell, να εγκαταλείψουν όλες τις πληροφορίες που θα μπορούσε να χρησιμοποιηθεί σε μια επίθεση στον υπολογιστή, συμπεριλαμβανομένου του αριθμού περιηγητών και εκδόσεων που χρησιμοποιούσαν (οι δύο πρώτες εταιρείες που χρησιμοποίησαν την Παρασκευή χρησιμοποιούν το IE6), το λογισμικό που χρησιμοποιούν για να ανοίξουν τα έγγραφα pdf, το λειτουργικό τους σύστημα και τον αριθμό του πακέτου υπηρεσιών, το λογισμικό προστασίας από ιούς που χρησιμοποιούν, και ακόμη και το όνομα του

Οι πρώτοι δύο διαγωνιζόμενοι το κατέστησαν εύκολο.

Ο Wayne, ένας σύμβουλος ασφαλείας από την Αυστραλία, που δεν θα έδινε το επώνυμό του, ήταν ο πρώτος μέχρι την Παρασκευή το πρωί. Αποστολή του: Λάβετε στοιχεία από μια μεγάλη αμερικανική εταιρεία. (Η υπηρεσία ειδήσεων IDG επέλεξε να μην αναφέρει ποιες εταιρείες έπεσαν για τις οποίες οι επιθέσεις εξαιτίας πιθανών κινδύνων ασφαλείας.)

Κάθισε πίσω από ένα ηχομονωμένο περίπτερο μπροστά σε ένα ακροατήριο, συνδέθηκε με ένα τηλεφωνικό κέντρο πληροφορικής και πήρε έναν υπάλληλο,. Υποστηρίζοντας ότι είναι ένας σύμβουλος της KPMG που κάνει έναν έλεγχο κάτω από την προθεσμία, ο Wayne τον πήρε να πετάξει λεπτομέρειες, μεγάλο χρονικό διάστημα.

Ο Wayne αγνόησε το αίτημα για αριθμό υπαλλήλου και ξεκίνησε αμέσως σε μια ιστορία για το πώς ο προϊστάμενός του ήταν στην πλάτη του, και πώς πραγματικά χρειαζόταν να τελειώσει ο έλεγχος αυτός. Δούλεψε τη γοητεία του Aussie στον εργαζόμενο, ο οποίος ήταν μόνο με τον νέο εργοδότη του για ένα μήνα. Μέσα σε λίγα λεπτά, φάνηκε ότι ήταν πρόθυμος να δώσει στον Wayne σχεδόν όλες τις πληροφορίες που ήθελε - σε κάποιο σημείο επισκέφτηκε μάλιστα μια ψεύτικη ιστοσελίδα του KMPG που ο Wayne είχε εγκαταστήσει.

Τελείωσε την κλήση υπόσχεται να αγοράσει τον υπάλληλο μια μπύρα

"Ποια μπύρα σας αρέσει;"

"Αυτή τη στιγμή είμαι σε ένα λάκτισμα μπλε φεγγαριού."

Σε μια συνέντευξη μετά την κλήση, ο Wayne δεν κατάφερε να πιστέψει την τύχη του. "Σκέφτηκα ότι είναι μια αρκετά μεγάλη εταιρεία και ξέρω ότι πραγματοποίησαν πολλούς εσωτερικούς ελέγχους ασφαλείας."

Αργότερα, οι διοργανωτές του διαγωνισμού δήλωσαν ότι η προσπάθεια του ήταν το καλύτερο της ημέρας. Όμως όλοι όσοι στόχευαν εγκατέλειψαν πληροφορίες. Ο Chris Hadnagy, ένας από τους ιδρυτές του διαγωνισμού, πιστεύει ότι τα θύματα θα έχουν δώσει μακριά ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης, εάν τους ζητηθεί. «Θα είχαν δώσει φωτογραφίες από την οικογένειά τους αν το είχαν ζητήσει», δήλωσε.

Οι κανόνες του διαγωνισμού απαγόρευσαν να ζητούν ευαίσθητες πληροφορίες ή να απευθύνονται σε συγκεκριμένους τύπους οργανισμών, όπως κυβερνητικά ή χρηματοπιστωτικά ιδρύματα. Ακόμα κι έτσι, ο διαγωνισμός χτύπησε τα νεύρα ακόμα και πριν ξεκινήσει. Τον περασμένο μήνα, Hadnagy έλαβε μια πρόσκληση από το FBI που ρωτά για το διαγωνισμό.

Ο Wayne, ο οποίος έχει κάνει αυτό το είδος κοινωνικής μηχανικής για 15 χρόνια στην καθημερινή του θέση ως σύμβουλος ασφαλείας, δήλωσε ότι έκανε περίπου 20 ώρες αναγνώρισης μπροστά ο διαγωνισμός. Ήξερε πώς να φτάσει στο τηλεφωνικό κέντρο πληροφορικής και ποια ονόματα έπρεπε να πέσει όταν πέρασε.

Παραδέχτηκε ότι είχε χάσει τη ζωή του, παίρνοντας έναν τόσο πράσινο υπάλληλο. Αλλά οι νέοι υπάλληλοι κάνουν τις καλύτερες πηγές. "Αν επιλέξετε κάποιον που είναι υψηλός άνθρωπος στην εταιρεία, δεν θα πάρετε τίποτα", είπε. "Έχουν πολλά να χάσουν."

Ο διαγωνιζόμενος αριθμός δύο, Shane MacDougall, αποφάσισε να παραλείψει το τηλεφωνικό κέντρο και να πάει δεξιά για το προσωπικό ασφαλείας σε μια άλλη γνωστή εταιρεία. Έκανε μια πιο κουμπωμένη προσέγγιση, ισχυριζόμενος ότι διεξήγαγε έρευνα για το περιοδικό CSO.

Ο πρώτος άνθρωπος που έφτασε γνώριζε τι έκανε και σταθερά αλλά ευγενικά έκλεισε τον MacDougall, αφού αρνήθηκε να απαντήσει σε μερικές ερωτήσεις, λέγοντας: "Αυτές είναι συγκεκριμένες ερωτήσεις που δεν αισθάνομαι άνετα να απαντήσω."

Οι διαγωνιζόμενοι δόθηκαν μόνο 25 λεπτά για να εργαστείς. Έτσι, με το ρολόι που χτυπάει, ο MacDougall κέρδισε το επόμενο σήμα του - έναν υπάλληλο συμβόλαιο στο τμήμα τεχνικής ασφαλείας που είχε με την εταιρεία για δύο μήνες. Μετά από μερικές ερωτήσεις σχετικά με την ικανοποίηση από την εργασία και την ποιότητα της τροφής της καφετέριας, πήγε για τα σκληρά δεδομένα.

Το σήμα που παραδόθηκε: λειτουργικό σύστημα: Windows XP, service pack 3; antivirus: McAfee VirusScan 8.7; Ηλεκτρονικό ταχυδρομείο: Outlook 2003, Service Pack 3. browser: IE 6.

Ο MacDougall του είπε τότε να επισκεφτεί έναν ιστότοπο για να συγκεντρώσει το κουπόνι έρευνας των 25 δολαρίων και ο εργαζόμενος συμμορφώθηκε.

Ο διαγωνισμός διεξάγεται στο Defcon μέχρι την Κυριακή. Ο νικητής παίρνει ένα iPad.

Ο Robert McMillan καλύπτει την ασφάλεια των υπολογιστών και τη γενική τεχνολογία που σπάζει νέα για την υπηρεσία ειδήσεων IDG. Ακολουθήστε τον Robert στο Twitter στο @bobmcmillan. Η διεύθυνση ηλεκτρονικού ταχυδρομείου του Robert είναι [email protected]