Как украсть корпоративные секреты за 20 минут: Спросить

Несколько компаний в Fortune 500 нуждаются в обновлении своих веб-браузеров. И в то время как они при этом, небольшая внутренняя подготовка по социальной инженерии тоже не будет плохой идеей.

Хакеры социальной инженерии - люди, которые обманывают сотрудников и делают то, что им не нужно, - сделал свой лучший выстрел в Fortune 500 во время соревнований в Defcon Friday и показал, как легко заставить людей говорить, если только вы скажете правильную ложь.

Конференции по безопасности Defcon и Black Hat проходят в Лас Vegas на этой неделе.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Конкурсанты получили ИТ-специалистов в крупных корпорациях, включая Microsoft, Cisco Systems, Apple и Shell, чтобы отказаться от всякой информации, которая могут использоваться в компьютерной атаке, включая браузер и номер версии, которые они использовали (первые две компании, названные в пятницу, использовали IE6), какое программное обеспечение они используют для открытия pdf-документов, их операционной системы и номера пакета обновления, их почтового клиента, антивирусное программное обеспечение, которое они используют, и даже название их локальная беспроводная сеть.

Первые два участника сделали его легким.

Уэйн, консультант по безопасности из Австралии, который не дал свою фамилию, был в первой половине дня в пятницу. Его миссия: получить данные от крупной компании США. (Служба новостей IDG выбрала не сообщать, какие компании упали, из-за возможных атак из-за возможных рисков безопасности.)

Сидя за звукоизоляционной кабиной перед аудиторией, он связался с ИТ-центром и получил сотрудника по имени Ледо, Предполагая, что консультант KPMG проводит аудит под давлением сроков, Уэйн заставил его разлить детали, большое время. Уэйн проигнорировал запрос на номер сотрудника и сразу же запустил рассказ о том, как его босс был на спине, и как ему действительно нужно было завершить этот аудит. Он работал на австралийский шарм на работника, который был всего лишь с новым работодателем в течение месяца. В течение нескольких минут казалось, что он готов дать Уэйну почти любую информацию, которую он хотел - однажды он даже посетил поддельную веб-страницу KMPG, которую Уэйн создал.

Он закончил разговор, обещающий купить работнику пиво.

«Какое пиво тебе нравится?»

«Сейчас я нахожусь на синем Луне».

В интервью после разговора Уэйн не мог поверить в его удачу. «Я думал, что они довольно крупная компания, и я знаю, что они провели много проверок в сфере безопасности».

Позже организаторы конкурса заявили, что его усилия были лучшими в тот день. Но все, кто был нацелен, отказались от информации. Крис Хаднаги, один из основателей конкурса, считает, что жертвы выдали бы секретную информацию, такую ​​как пароли, если бы их попросили. «Они бы дали фотографии своей семьи, если бы попросили об этом», - сказал он.

Правила конкурса запрещают запрашивать какую-либо конфиденциальную информацию или нацеливаться на определенные типы организаций, таких как государственные или финансовые учреждения. Несмотря на это, конкурс сотрясал нервы еще до его начала. В прошлом месяце Хаднаги получил звонок от ФБР, спрашивающего о конкурсе.

Уэйн, который в течение 15 лет выполнял этот вид социальной инженерии в качестве консультанта по вопросам безопасности, сказал, что он провел около 20 часов разведки в преддверии Конкурс. Он знал, как добраться до ИТ-центра обработки вызовов и какие имена упадет, когда он прошел.

Он признал, что ему повезло, получив такого зеленого сотрудника. Но новые сотрудники делают лучшие источники. «Если вы выберете кого-то, кто является высокопоставленным человеком в компании, вы ничего не получите», - сказал он. «У них есть много, чтобы проиграть».

Конкурсант номер два, Шейн Макдугалл, решил пропустить колл-центр и пойти вправо для сотрудников службы безопасности другой известной компании. Он взял более застегнутый подход, заявив, что проводит опрос для журнала CSO.

Первый человек, которого он достиг, знал, что он делает, и твердо, но вежливо закрыл Макдугалла, отказавшись ответить на несколько вопросов, сказав: «Это конкретные вопросы, на которые мне не очень удобно отвечать».

Конкурсантам дали только 25 минут на работу. Таким образом, с часами, MacDougall повезло на свой следующий знак - контрактник в отделе безопасности, который был с компанией в течение двух месяцев. После нескольких вопросов софтбола об удовлетворенности работой и качестве еды в кафетериях он отправился за жесткими данными.

Значок поставляется: операционная система: Windows XP, пакет обновления 3; антивирус: McAfee VirusScan 8.7; e-mail: Outlook 2003, пакет обновления 3; браузер: IE 6.

MacDougall затем попросил его посетить веб-сайт, чтобы собрать его опросный купон на сумму 25 долларов США, и рабочий выполнил.

Конкурс проходит в Defcon через воскресенье. Победитель получает iPad.

Роберт Макмиллан покрывает компьютерную безопасность и общую технологию, ломая новости для службы новостей IDG. Следуйте за Робертом в Твиттере в @bobmcmillan. Адрес электронной почты Роберта: [email protected]