Запросы на проверку безопасности Федеральное предупреждение о мошенничестве

Проверенный тест безопасности банка компьютерные системы имели некоторые неожиданные последствия на этой неделе, что привело к тому, что федеральное агентство, которое контролирует кредитные союзы США, выдает предупреждение о мошенничестве.

Во вторник Национальная администрация кредитных союзов (NCUA) предупредила все кредитно-кредитные союзы, финансируемые из федерального бюджета, неназванный кредитный союз получил вместе с двумя компакт-дисками. В фиктивном письме утверждалось, что на компакт-дисках содержатся учебные материалы по борьбе с мошенничеством NCUA, но в своем предупреждении о мошенничестве NCUA предупредил, что запуск компакт-дисков «может привести к возможному нарушению безопасности вашей компьютерной системы или иметь другие неблагоприятные последствия».

Только оказалось, что компакт-диски не были отправлены мошенниками. Они были отправлены сотрудниками MicroSolved, Columbus, Ohio, компанией по тестированию безопасности. «Это было частью какой-то социальной инженерии, которую мы проводили в полностью санкционированном испытании на проникновение, - сказал генеральный директор MicroSolved Брент Хьюстон в сообщении электронной почты.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Компании, такие как MicroSolved, регулярно нанимаются для независимой проверки безопасности корпораций и правительственных учреждений.

Тестеры проникновения часто используют так называемые методы социальной инженерии в рамках своей работы по оценке безопасности. С помощью социальной инженерии злоумышленник обычно претендует на роль законного партнера или коллеги, чтобы обмануть сотрудников в ущерб их компьютерным системам или разглашение конфиденциальной информации. «Социальные инженерные упражнения являются частью большинства наших оценок», - сказал Хьюстон.

Пресс-секретарь NCUA Джон МакКехни не успел сказать о готовности своей организации. В коротком электронном письме в четверг он написал: «В этот момент кажется, что это изолированное событие».

Даже если угроза, вызвавшая предупреждение NCUA, не была основана на реальной атаке, предупреждение содержит хорошую информацию, по словам Йоханнеса Ульриха, главного научного сотрудника Института SANS, группы по обучению безопасности. «Это хороший урок», - сказал он. По его словам, все стороны в учении действовали в значительной степени, как и следовало ожидать. Банк «сообщил об этом своему контролирующему агентству, который затем опубликовал это предупреждение на его основе».

Директор по исследованиям и информации Калифорнийского кредитного союза Рита Филлингейн заявила, что предупреждение по-прежнему полезно, даже если оно не было основанный на фактическом преступном акте. «В будущем что-то подобное может спуститься с щуки», - сказала она.

Тем не менее, Ульрих сказал, что ему не известны случаи, когда фиктивные компакт-диски были фактически использованы для компрометации компьютерной сети.

Он сказал, что изначально ему было очень интересно, когда он увидел начальное предупреждение NCUA. «Я подумал:« Наконец, это дико, потому что я видел это раньше в тестах на перо ».