Fortune 500の企業は、Webブラウザをアップグレードする必要があります。ソーシャルエンジニアリングのハッカー - 従業員を騙してはならないことを言い張っている人たち - 社会工学のハッカーは、 - Defcon金曜日のコンテストでフォーチュン500でベストショットを撮り、あなただけが正しい嘘を言うならば、人々に話をさせるのがいかに簡単かを示した。
DefconとBlack Hatのセキュリティ会議はLas
[その他の情報:Windows PCからマルウェアを削除する方法]
Microsoft、Cisco Systems、Apple、およびShellを含む主要企業のITスタッフが、彼らが使用していたブラウザとバージョン番号(金曜日に呼び出された最初の2社はIE6を使用していた)、彼らがPDF文書を開くために使用するソフトウェア、オペレーティングシステムとサービスパック番号、メールクライアント、彼らが使用するウイルス対策ソフトウェア、さらには最初の2人の選手が見やすくなりました。
ウェインは、金曜日の朝、初めて姓をつけないオーストラリアのセキュリティコンサルタントです。彼の使命:米国の大手企業からデータを入手する。 (IDG News Serviceは、セキュリティリスクのためにどの企業がどのような攻撃を受けたのかを報告しないことを選択しました)。
ウェインは従業員番号の要求を無視し、上司の背中の話どのように彼は本当にこの監査を終了する必要がありました。彼はオーストラリア人の魅力を働かせてくれました。彼女は新しい雇用主と1ヶ月しかいませんでした。数分のうちに、ウェインが望んでいた情報を手に入れたいと思っていたようだ。ウェインが設立した偽のKMPG Webページを訪問したこともある。
彼は従業員にビールを買うと約束した
「あなたはどんなビールが好きですか?」
「今、私はブルームーンのキックです。」
コール後のインタビューで、ウェインは彼の運を信じられませんでした。 「彼らはかなり大きな会社だと思っていて、社内のセキュリティ監査を多くしていることは分かっています」。
その後、コンテストの主催者は、彼の努力が今日の最高のものだと言いました。しかし、標的にされたすべての人は情報をあきらめました。コンテストの創設者の一人であるChris Hadnagyは、犠牲者がパスワードなどの機密情報を盗んだと考えていた。
重要な情報を求めたり、政府機関や金融機関など特定の種類の組織を対象としたコンテストの規則は禁止されています。それでも、コンテストは始まる前から神経を揺らしていました。先月、HadnagyはFBIからコンテストについての電話を受けた。
セキュリティーコンサルタントとしてこのタイプのソーシャルエンジニアリングを15年間務めてきたWayneは、彼が先に約20時間の偵察を行ったコンテスト。彼はITコールセンターに通う方法を知っていて、通ったときにどのような名前を落とすべきかを知っていました。彼はこのような緑の従業員を得ることによって幸運になると認めました。しかし、新しい従業員が最良の情報源を作ります。 「会社内で高額の人を選ぶと、何も得られないだろう」と彼は語った。 「彼らは失うことがたくさんある」と話した。
2番手のシェーン・マクドゥガールは、コールセンターをスキップして、有名な別の会社のセキュリティスタッフに向かうことにした。彼はCSO Magazineの調査を主張していると主張しています。
最初の人は彼が何をしているかを知っていて、MacDougallはいくつかの質問に答えることを拒否してしっかりと丁寧に閉ざされていた。「これは私が快適に答えることができない具体的な質問だ」
25分で作業できます。 MacDougall氏は時計の刻々として、2ヶ月間同社と一緒にいたセキュリティエンジニアリング部門の契約社員である次のマークに腹を立てました。
提供されたマーク:オペレーティングシステム:Windows XP、Service Pack 3、およびオペレーティングシステム:Windows XP、Service Pack 3。ウイルス対策:McAfee VirusScan 8.7;電子メール:Outlook 2003、Service Pack 3;ブラウザー:IE 6.
MacDougallはウェブサイトを訪問して25米ドルの調査クーポンを集め、従業員が遵守したと伝えた。
日曜日までデフコンでコンテストが行われる。
Robert McMillanは、IDG News Serviceのコンピュータセキュリティと一般的なテクノロジーの最新情報をカバーしています。 @bobmcmillanのTwitterでRobertに従ってください。ロバートの電子メールアドレスは[email protected]です。