Cum să fureți secretele corporative în 20 de minute: Întrebați

Câteva companii din Fortune 500 trebuie să-și îmbunătățească browserele Web. Și în timp ce se află la ea, un mic curs de formare în domeniul ingineriei sociale nu ar fi o idee proastă.

Hackerii de inginerie socială - oameni care îi înșeală pe angajați să facă și să spună lucruri pe care nu ar trebui - - au făcut cel mai bun împușcat la Fortune 500 în timpul unui concurs la Defcon Friday și au arătat cât de ușor este de a face pe oameni să vorbească, chiar dacă spuneți minciuna potrivită.

Conferințele de securitate Defcon și Black Hat au loc în Las Vechii angajați ai IT din companiile mari, printre care Microsoft, Cisco Systems, Apple și Shell, au renunțat la tot felul de informații pe care le ar putea fi utilizate într-un atac de calculator, inclusiv ce browser și numărul versiunii pe care o foloseau (primele două companii numite vineri folosesc IE6), ce software utilizează pentru a deschide documente pdf, sistemul de operare și numărul pachetului service pack, software-ul antivirus pe care îl utilizează și chiar numele rețeaua lor wireless locală.

Primii doi concurenți au făcut-o să pară ușor.

Wayne, un consultant de securitate din Australia, care nu și-ar da numele de familie, a fost primul în dimineața zilei de vineri. Misiunea sa: Obțineți date de la o companie importantă din S.U.A. (IDG News Service a ales sa nu raporteze care companii au cazut pentru care atacurile din cauza posibilelor riscuri de securitate.)

A stat in spatele unei cabine de sunet in fata unei audiente, sa conectat la un call center IT si a primit un angajat numit Ledoi vorbind. Pretinzând că este un consultant al KPMG care face un audit sub presiune limită, Wayne la lăsat să vărseze detaliile, cu mult timp.

Wayne ignoră o cerere pentru un număr de angajați și a lansat imediat o poveste despre cum șeful său era pe spate și cum a trebuit cu adevărat să finalizeze acest audit. El își lucra farmecul australian asupra muncitorului, care fusese doar cu noul său angajator timp de o lună. În câteva minute, se pare că era dispus să-i ofere lui Wayne aproape orice informație pe care o dorea - la un moment dat a vizitat chiar o pagină Web falsă pe care Wayne o înființase.

El a încheiat apelul promițând să cumpere angajatului o bere

"Ce fel de bere iti place?"

"Acum sunt pe o lovitura de Luna Albastra."

Intr-un interviu dupa apel, Wayne nu-si putea crede norocul. "Mă gândeam că sunt o companie destul de mare și știu că au făcut multe audituri de securitate interne."

Mai târziu, organizatorii concursului au spus că efortul său a fost cel mai bun din zi. Dar toți cei vizați au renunțat la informații. Chris Hadnagy, unul dintre fondatorii concursului, crede că victimele ar fi divulgat informații delicate, cum ar fi parolele dacă li s-ar fi cerut. "Ei ar fi dat poze ale familiei lor dacă ar fi cerut acest lucru", a spus el.

Regulile concursului interzic solicitarea oricăror informații sensibile sau vizează anumite tipuri de organizații, cum ar fi guvernul sau instituțiile financiare. Chiar și așa, concursul a zguduit nervii chiar înainte de a începe. Luna trecuta, Hadnagy a primit un apel din partea FBI pentru a intreba concursul.

Wayne, care a facut acest tip de inginerie sociala timp de 15 ani in functia de consultant de securitate, a declarat ca a facut aproximativ 20 de ore de recunoastere inaintea concursul. Știa cum să ajungă la call center-ul IT și ce nume să scadă când a trecut.

El a recunoscut că a reușit să obțină un astfel de angajat verde. Dar noii angajați fac cele mai bune surse. "Dacă alegeți pe cineva care este o persoană înaltă în companie, nu veți obține nimic", a spus el. "Au multe de pierdut". Concursul numărul doi, Shane MacDougall, a decis să sări peste centrul de apel și să meargă la dreapta pentru personalul de securitate al unei alte companii bine-cunoscute. El a luat o abordare mai mult apăsată, susținând că efectuează un sondaj pentru revista CSO.

Prima persoană la care a ajuns a știut ce face și a închis ferm, dar politicos MacDougall, după ce a refuzat să răspundă la câteva întrebări, spunând: "Acestea sunt întrebări specifice pe care nu le pot răspunde". 25 de minute pentru a lucra. Deci, cu ceasul, MacDougall și-a dat norocul în următoarea marcă - un angajat în cadrul departamentului de securitate, care a fost cu compania timp de două luni. Dupa cateva intrebari legate de satisfactia locului de munca si de calitatea mancarii din cafenea, el a plecat pentru datele grele.

Marca livrata: sistem de operare: Windows XP, service pack 3; antivirus: McAfee VirusScan 8.7; e-mail: Outlook 2003, service pack 3; browser-ul: IE 6.

MacDougall ia spus apoi să viziteze un site web pentru colectarea cuponului de studiu de 25 USD, iar lucrătorul a respectat.

Concursul se desfășoară la Defcon până duminică. Câștigătorul primește un iPad.

Robert McMillan acoperă securitatea calculatoarelor și tehnologia generală de știri de ultimă oră pentru serviciul de știri IDG. Urmați pe Robert pe Twitter la @ bobmcmillan. Adresa de e-mail a lui Robert este [email protected]