Zadzwoń do call center wybranej firmy, podaj się za pracownika przeprowadzającego audyt i bądź przekonujący - to recepta na skuteczne zdobycie korporacyjnych informacji.
"Inżynieria społeczna w praktyce" - na to miano w pełni zasługuje jeden z ciekawszych pokazów, jaki odbył się w trakcie konferencji Defcon, poświęconej bezpieczeństwu IT. Celem konkursu były tak znane korporacje, jak Microsoft, Cisco Systems, Apple i Shell, a zadaniem uczestników - nakłonienie pracowników tych firm do przekazania określonych informacji.
Uczestnicy konkursu z łatwością zdobywali takie dane, jak nazwa i wersja przeglądarki internetowej wykorzystywanej przez pracowników danej firmy, nazwa programu do przeglądania dokumentów PDF, nazwa systemu operacyjnego (i ewentualnie - numer Service Packa), klient poczty elektronicznej, oprogramowanie antywirusowe, a nawet nazwa lokalnej sieci bezprzewodowej.
Metoda "na ankietera"
Pierwszy z uczestników konkursu, Australijczyk o imieniu Wayne (nazwiska wolał nie podawać do publicznej wiadomości) połączył się z call center jednej z dużych amerykańskich korporacji i przedstawił się jako ankieter firmy przeprowadzającej audyty. Poproszony o podanie danych identyfikacyjnych (numer pracownika) nie tylko zignorował tę prośbę, ale zasypał pracownika call center masą informacji, np. że musi szybko ukończyć audyt, bo szef nie daje mu spokoju.
W pewnym momencie skłonił nawet rozmówcę do wejścia na spreparowaną przez siebie stronę firmy, dla której rzekomo przeprowadzał audyt. Na koniec obiecał postawić pracownikowi call center piwo za udzieloną pomoc.
Australijczyk jest konsultantem ds. bezpieczeństwa, wyspecjalizowanym w inżynierii społecznej. Wieloletnie doświadczenie oraz fakt, że trafił na świeżego pracownika call center, znacznie ułatwiły mu zadanie.
Kolejny z uczestników konkursu, Shane MacDougall, zdecydował się ominąć call center i skontaktować się bezpośrednio z administratorami obranej za cel firmy. Podał się za ankietera przeprowadzającego badanie dla magazynu CSO.
Za pierwszym razem nie powiodło mu się - osoba, z którą rozmawiał, odmówiła podania informacji, o jakie prosił. Potem miał więcej szczęścia, ponieważ trafił na pracownika kontraktowego, zatrudnionego w koncernie od dwóch miesięcy. Najpierw "zmiękczył" go pytaniami o ogólne zadowolenie z pracy i jakość pożywienia w firmowej stołówce, po czym przypuścił atak.
Rezultat? Windows XP Service Pack 3, McAfee VirusScan 8.7, Outlook 2003, Internet Explorer 6 - programy używane w firmie, do której zadzwonił.
FBI zainteresowane konkursem
Uczestnicy pokazu, posadzeni w dźwiękoszczelnej kabinie, mieli 25 minut na wydobycie interesujących ich informacji. Zasady konkursu zabraniały uczestnikom wyłudzania wrażliwych informacji lub "atakowania" wybranych organizacji (m.in. urzędów administracji publicznej i instytucji finansowych). Mimo to, pokaz i tak wywołał sporo kontrowersji, nawet zanim jeszcze się rozpoczął. Z jednym z organizatorów skontaktowało się nawet Federalne Biuro Śledcze, domagając się informacji, co tak naprawdę jest celem konkursu.
Czy można rozpoznać atak socjotechniczny?
Odpowiedź brzmi "tak", ale nie jest to wcale takie łatwe, nawet dla doświadczonych użytkowników czy pracowników działów IT. Inżynieria społeczna to jedna z najskuteczniejszych metod ataków przypuszczanych na firmy i osoby prywatne - jej efektywność musi się więc skądś brać.
Mnie wczoraj nagabywał podobny falszywy "konsultant" - podobno z naszego Orange, obiecujac ze mi wlaczy jakis dodatkowy pakiet darmowych minut, ale musze mu podac login, haslo i kod abonencki. Juz wczesniej chcialem go pogonic bo dzwonil z telefonu zastrzezonego ale podziekowalem mu dopiero jak doszedl do konca swojej "oferty", mowiac ze sam sobie wlacze taki pakiet jak mi sie spodoba, a wrażliwych zadnych danych z sadady nie podaję, tym bardziej anonimom :-)
ocena:
brak oceny
IP: 77.254.190.118
03-08-2010, 23:24
"W Polsce by tak łatwo nie było bo nasza kadra jest troszkę mądrzejsza od typowego Amerykanina po studiach." no ba! w koncu od kilku stuleci dajemy du.. y wszyscy robia nas w chu.. nic tylko mowic ze wszyscy naokolo sa glupi
Nie zapominajcie że u nas nie przejdzie taki atak bo nie ma komputerów, dopiero co maszyny do pisania zaczynamy wywalać, a z resztą spróbujcie dodzwonić się do jakiegokolwiek urzędu jak odbiorą telefon to już będzie sukces a z wyszkoleniem personelu jest podobnie jak z komputerami w państwówkach. Wy mówicie o serwerach przecież u nas nie można jednej scentralizowanej bazy pacjentów założyć ZUS dalej na papierze liczy więc o jakich serwerach mówimy. Banki przecież tak siedzą głównie osoby które już przez zasiedzenie tam są i nie są w stanie sprawdzić takowych żeczy jak service pack czy wersja przeglądarki, taki włamywacz cierpliwość by stracił jak miał by wytłumaczyć takiemu pracownikowi co to jest prawy klawisz myszy czy jak najechać na plik. Reasumując głównie z tego powodu nie ma u nas takich ataków.
Ależ tak jest od wielu lat. Włąmywanie się na poprawnie skonfigurowane serwer, w tym serwery od Microsoftu, jest praktycznie nieopłacalne. Znacznie łatwiej (i wciąż opłacalnie i nawet coraz łątwiej z powodu postępującego dogrupiania szaraczków przez interesy możnych) jest zmanipulować zatrudnionych idiotów z uprawnieniami lub choćby potrafiących przeczytać co widzą na ekranie (lub co im "doradzono" wyświetlić).
Yeti: nasza kadra w istytucjach państwowych, samorządowych i z nimi powiązanych jest leniwsza i bardziej biurokratyczna. Nastawiona nie na pomoc petentowi a na zbycie aby nie utrudniał pisanie raprtów sprawozdań i zestawień dla przełożonych i podwładnych oraz na spotkanie które będzie za godzinę i na audyt w przyszłym tygodniu. Dlatego u nas nie ma wielkich szans na otrzymanie nienamiastkowych informacji a juz zupełnie znikome na otrzymanie danych prawdziwych - bo kto by się tam wyznawał w tych komputerach od informatyków z piwnicy czy poddasza jak trzeba szybko reagować na kolejne wrzucone pismo i kolejne zebranie w sprawie zgodności z wytycznymi.
Wyłudzanie takich informacji w USA widać jest łatwiejsze niż pisanie zaawansowanych trojanów. W Polsce by tak łatwo nie było bo nasza kadra jest troszkę mądrzejsza od typowego Amerykanina po studiach.
Konfiguracja zapisu punktów przywracania w Windows 7 (04.11.2011 19:29) Zapis punktów przywracania to jeden ze sposobów zabezpieczenia się przed awarią systemu i oprogramowania. Warto wiedzieć, jak konfigurować zajmowane przez nie miejsce, usuwać stare kopie czy rejestrować własne. Dzięki temu nie stracisz na poziomie bezpieczeństwa, a zyskasz na przestrzeni na dysku.
CrossOver 9.1 - programy i gry z Windows na Mac OS X (29.07.2010 11:23) Code Weavers udostępniło nową wersję programu CrossOver, który umożliwia uruchamianie programów z systemu Windows na platformę Mac OS. W nowej wersji oznaczonej cyframi 9.1 poprawiono między innymi obsługę pakietu MS Office oraz kombajnu Windows Media Player 9.
AutoRuns 10.01 - prosta optymalizacja zasobów komputera (15.07.2010 13:49) AutoRuns 10.01 jest nieskomplikowaną aplikacją opracowaną przez Microsoft, która umożliwia łatwe przyspieszenie działania komputera, dzięki m.in. zoptymalizowaniu listy programów, uruchamianych wraz z systemem operacyjnym. AutoRuns jest prosty w obsłudze i nie sposób popełnić błąd, który doprowadzi do awarii komputera - każdą zmianę można cofnąć, jednak nie powinno być problemu, jeśli użytkownik będzie uważnie korzystał z możliwości narzędzia.
System Cleaner 5.91c - czyszczanie Windows (07.07.2010 09:34) W każdym systemie podczas pracy pozostają różne śmieci, niepotrzebne pliki, wpisy w rejestrze. Obciążają one niepotrzebnie Windows i spowalniają jego pracę. Zainstaluj System Cleaner i pozbądź się zbędnych danych.
Uxtheme Multi-patcher - usuń blokadę styli w Windows (29.06.2010 11:52) W internecie można znaleźć wiele skórek i tematów wizualnych do Windows. Aby korzystać bez problemu ze wszystkich trzeba zmodyfikować system za pomocą Uxtheme.
Adobe AIR - nowa wersja 2.0.2 dostępna do pobrania (11.06.2010 14:01) Ukazała się nowa wersja środowiska wykonawczego od Adobe, czyli AIR. Jest to technologia, która umożliwia korzystanie z wielu usług znanych dotychczas z zaawansowanych witryn internetowych, wprost z pulpitu komputera bez konieczności używania przeglądarki. Dodatkowo, pod AIR powstało wiele dedykowanych, zaawansowanych aplikacji, z których warto skorzystać.
Flash 10.1 - finalna wersja do pobrania (11.06.2010 09:12) Adobe udostępniło stabilną wersję wtyczki Flash Player 10.1, umożliwiającej przeglądanie sieciowych multimediów.
Backup4all Professional 4.4.207 - kopia zapasowa dla każdego (21.05.2010 12:59) Regularne zapisywanie kopii zapasowych gwarantuje bezpieczeństwo danych. Aby jednak nie tracić na to zadanie zbyt wiele czasu zautomatyzuj proces archiwizacji za pomocą Backup4all.
Total Recorder Pro 8.1 - nagraj rzeczy niemożliwe (19.05.2010 16:13) Jeżeli masz kłopot z zapisem dźwięku z jakiegoś źródła skorzystaj z wyspecjalizowanego narzędzia. Za pomocą Total Recorder Pro zarejestrujesz każdy strumień audio, który przepływa przez twoja kartę dźwiękową.
Nowe wydanie
Konfiguracja zapisu punktów przywracania w Windows 7 (04.11.2011 19:29)
© Copyright 2012 International Data Group Poland S.A.
wydrukuj
wyślij znajomemu
skomentuj
