كيفية سرقة أسرار الشركة في 20 دقيقة: اسأل

تحتاج بعض الشركات في Fortune 500 إلى ترقية متصفحات الويب الخاصة بهم. وبينما هم في ذلك ، فإن التدريب الداخلي الصغير على الهندسة الاجتماعية لن يكون فكرة سيئة ، سواء.

المتسللين في مجال الهندسة الاجتماعية - الناس الذين يخدعون الموظفين ليقوموا بالأعمال ويقولون أشياء لا يجب عليهم - - أخذوا أفضل لقطة في Fortune 500 خلال مسابقة في Defcon Friday وأظهروا كم هو سهل جعل الناس يتحدثون ، فقط إذا أخبرتم الكذب الصحيح.

مؤتمرات الأمن Defcon و Black Hat تجري في Las فيغاس هذا الأسبوع.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

حصل المتسابقون على موظفي تكنولوجيا المعلومات في الشركات الكبرى ، بما في ذلك Microsoft و Cisco Systems و Apple و Shell ، للتخلي عن جميع أنواع المعلومات التي يمكن استخدامها في هجوم على جهاز الكمبيوتر ، بما في ذلك نوع المستعرض ورقم الإصدار الذي كانوا يستخدمونه (كانت الشركتان الأوليان اللتان استدعيتا الجمعة تستخدم IE6) ، وما هي البرامج التي تستخدمها لفتح مستندات pdf ، ونظام التشغيل ورقم حزمة الخدمة ، وبرنامج بريدهم ، برنامج مكافحة الفيروسات التي يستخدمونها ، وحتى اسم شبكتها اللاسلكية المحلية

جعل المتسابقان الأولان الأمر يبدو سهلاً.

كان واين ، وهو مستشار أمني من أستراليا لم يكشف عن اسمه الأخير ، قد وصل أولاً إلى صباح الجمعة. مهمته: الحصول على بيانات من شركة أمريكية كبرى. (اختارت IDG News Service عدم الإبلاغ عن الشركات التي تعرضت لهجمات بسبب مخاطر أمنية محتملة).

يجلس خلف مقصورة عازلة للصوت أمام جمهور ، وقد اتصل بمركز اتصال لتكنولوجيا المعلومات وحصل على موظف يدعى ليدوي يتحدث. تظاهر بأنه مستشار KPMG يقوم بمراجعة الحسابات تحت ضغط المهلة النهائية ، وقد جعله واين يلقي التفاصيل ، وقتًا كبيرًا.

تجاهل واين طلبًا للحصول على رقم موظف وأطلقه على الفور في قصة حول كيفية عمل رئيسه على ظهره ، كيف هو حقا بحاجة للحصول على هذه المراجعة الانتهاء. عمل سحر الأسترالي على العامل ، الذي كان فقط مع صاحب العمل الجديد لمدة شهر. في غضون دقائق ، بدا أنه كان على استعداد لإعطاء وين أي معلومات يريدها - في وقت من الأوقات زار حتى صفحة ويب KMPG مزيفة أنشأها واين.

أنهى المكالمة الواعدة لشراء الموظف بيرة

"ما هي البيرة التي تحبها؟"

"أنا الآن في ركلة القمر الأزرق."

في مقابلة بعد المكالمة ، لم يتمكن وين من تصديق حظه. "كنت أفكر أنهم شركة كبيرة جداً وأعرف أنهم قاموا بإجراء الكثير من عمليات التدقيق الأمنية الداخلية."

في وقت لاحق ، قال منظمو المسابقة إن جهوده كانت أفضل ما في اليوم. لكن كل من تم استهدافه استسلم للمعلومات. يعتقد كريس هيدناجي ، أحد مؤسسي المسابقة ، أن الضحايا كانوا سيعطون معلومات حساسة مثل كلمات المرور لو طُلب منهم ذلك. وقال: "كانوا سيعطون صور لعائلتهم إذا طلبوا ذلك". يحظر قواعد المسابقة طلب أي معلومات حساسة أو استهداف أنواع معينة من المنظمات مثل الحكومة أو المؤسسات المالية. ومع ذلك ، هزت المسابقة الأعصاب حتى قبل أن تبدأ. في الشهر الماضي ، تلقى Hadnagy مكالمة من مكتب التحقيقات الفيدرالي (FBI) يسأل عن المسابقة.

قال واين ، الذي قام بهذا النوع من الهندسة الاجتماعية لمدة 15 عامًا في عمله اليومي كمستشار أمني ، إنه قام بـ 20 ساعة من الاستطلاع قبل المسابقة. كان يعرف كيف يصل إلى مركز اتصال تكنولوجيا المعلومات وما هي الأسماء التي تسقط عندما يمر.

لقد اعترف بأنه قد حالفه الحظ بالحصول على مثل هذا الموظف الأخضر. لكن الموظفين الجدد يصنعون أفضل المصادر. وقال: "إذا اخترت شخصًا يتمتع بشخصية عالية في الشركة ، فلن تحصل على شيء". "لقد حصلت على الكثير لتخسره."

قرر المتسابق رقم اثنين ، شين ماكدوجال ، تخطي مركز الاتصال والذهاب الحق لموظفي الأمن في شركة أخرى معروفة. تولى مقاربة أكثر زررًا ، مدعيًا أنه يجري مسحًا لمجلة CSO.

كان أول شخص توصل إليه يعرف ما كان يفعله ، وأغلق MacDougall بحزم ولكن بأدب بعد رفض الإجابة على بعض الأسئلة ، قائلاً ، "هذه أسئلة محددة لا أشعر بالراحة عند الرد عليها."

تم منح المتسابقين فقط 25 دقيقة للعمل. لذلك مع مرور الوقت ، حسم ماكدوغال علامه التالي - موظف عقد في قسم هندسة الأمن الذي كان مع الشركة لمدة شهرين. بعد بضعة أسئلة حول الكرة اللينة عن الرضا الوظيفي ونوعية الطعام الكافيتيري ، ذهب للبيانات الصعبة.

العلامة المسلمة: نظام التشغيل: Windows XP ، حزمة الخدمة 3 ؛ antivirus: McAfee VirusScan 8.7؛ البريد الإلكتروني: Outlook 2003 ، حزمة الخدمة 3 ؛ المتصفح: IE 6.

ثم طلب منه MacDougall زيارة موقع ويب لجمع قسيمة استطلاع 25 دولار أمريكي ، وامتثل العامل.

تجري المسابقة في Defcon حتى يوم الأحد. يحصل الفائز على جهاز iPad.

يغطي روبرت مكميلان أخبار أمان الكمبيوتر والتقنية العامة العاجلة لـ The IDG News Service. اتبع روبرت على تويتر علىbobmcmillan. عنوان البريد الإلكتروني الخاص بـ Robert هو [email protected]