כיצד לגנוב סודות עסקיים ב 20 דקות: שאל

כמה חברות 500 Fortune צריך לשדרג את דפדפני האינטרנט שלהם. ובעוד הם נמצאים בזה, קצת אימון פנימי על ההנדסה החברתית לא יהיה רעיון רע, או.

האקרים ההנדסה החברתית - אנשים להערים על העובדים לעשות ואומרים דברים שהם לא צריכים - - לקח את הטוב ביותר שלהם ירו לעבר Fortune 500 במהלך תחרות ב Defcon יום שישי הראה כמה קל לגרום לאנשים לדבר, אם רק אתה אומר את השקר הנכון.

Defcon ו Black Hat כנסים אבטחה מתקיימים Las וגאס השבוע.

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

המתחרים קיבלו אנשי IT בחברות גדולות, כולל Microsoft, Cisco Systems, Apple ו- Shell, כדי לוותר על כל מיני מידע יכול להיות בשימוש בהתקפה על המחשב, כולל מה הדפדפן ואת מספר הגירסה הם השתמשו (שתי החברות הראשונות התקשר יום שישי היו משתמשים IE6), מה הם משתמשים בתוכנה לפתוח מסמכים PDF, מערכת ההפעלה שלהם ואת מספר ה- Service Pack, לקוח הדואר שלהם, את תוכנת האנטי וירוס הם משתמשים, ואפילו את שם הרשת האלחוטית המקומית שלהם.

שני המתחרים הראשונים עשו את זה נראה קל.

ויין, יועץ אבטחה מאוסטרליה שלא היה שם המשפחה שלו, היה הראשון ביום שישי בבוקר. המשימה שלו: קבל נתונים מחברה גדולה בארה"ב. (IDG News Service בחרה לא לדווח על אילו חברות נפלו עבורן התקפות בגלל סיכונים ביטחוניים אפשריים.)

יושב מאחורי דוכן הוכחה בפני קהל, הוא התקשר עם מוקד טלפוני IT וקיבל עובד בשם Ledoi מדבר. מתיימר להיות יועץ KPMG עושה ביקורת תחת לחץ תאריך היעד, ויין גרם לו לשפוך פרטים, בגדול.

ויין התעלם בקשה למספר עובדים השיקה מיד לסיפור על הבוס שלו היה על הגב שלו, איך הוא באמת צריך לקבל את הביקורת הזו סיים. הוא הפעיל את הקסם האוסטרלי שלו על העובד, שהיה רק ​​עם המעסיק החדש שלו במשך חודש. בתוך דקות, נראה היה שהוא מוכן לתת לוין פחות או יותר כל מידע שהוא רוצה - בשלב מסוים הוא אפילו ביקר בדף אינטרנט מזויף של KMPG שיין הקים.

הוא סיים את השיחה המבטיחה לקנות לעובד בירה מה אתה אוהב? ""בדיוק עכשיו אני על בעיטה של ​​ירח כחול." בראיון אחרי השיחה, ויין לא האמין למזל שלו. "חשבתי שהם חברה די גדולה, ואני יודע שהם עשו הרבה ביקורות אבטחה בתוך הבית." מאוחר יותר, מארגני התחרות אמרו שהמאמץ שלו היה הכי טוב ביום. אבל כל מי שהיה ממוקד ויתר על מידע. כריס הדנגי, אחד ממקימי התחרות, סבור שהקורבנות היו נותנים מידע רגיש, כגון סיסמאות, אילו נשאלו. "הם היו נותנים תמונות של המשפחה שלהם אם היו מבקשים את זה", הוא אומר.

כללי התחרות אסורים לבקש מידע רגיש, או מיקוד סוגים מסוימים של ארגונים כגון הממשלה או מוסדות פיננסיים. אף על פי כן, בתחרות הרעישו עצבים עוד לפני שהתחילה. בחודש שעבר, קיבל הדנגי קריאה מה- FBI לשאול על התחרות.

ויין, שעשה את זה סוג של הנדסה חברתית במשך 15 שנים יום העבודה שלו כיועץ אבטחה, אמר שהוא עשה בערך 20 שעות של סיור לפני התחרות. הוא ידע איך להגיע למוקד הטלפוני ואיזה שמות יירדו כשיעבור. הוא הודה כי הוא הצליח לקבל את העובד הירוק הזה. אבל עובדים חדשים עושים את המקורות הטובים ביותר. "אם תבחר מישהו שהוא אדם גבוה בחברה, לא תקבל כלום, "אמר. "יש להם הרבה מה להפסיד." המתחרה מספר שתיים, שיין מקדוגל, החליט לדלג על המוקד וללכת ישר לצוות האבטחה של חברה ידועה אחרת. הוא נטל גישה יותר מכופתרת, בטענה שהוא עורך סקר עבור מגזין CSOהאדם הראשון שהגיע אליו ידע מה הוא עושה, וסגר את מקדוגל בתקיפות אך בנימוס לאחר שסירב לענות על כמה שאלות ואמר: "אלה שאלות ספציפיות שאני לא מרגיש נוח לענות עליהן". 25 דקות לעבודה. אז עם השעון מתקתק, מקדוגאל היה מזל על הסימן הבא שלו - עובד חוזה במחלקת הנדסת אבטחה שהיה עם החברה במשך חודשיים. אחרי כמה שאלות של סופטבול על שביעות רצון בעבודה ועל איכות האוכל בקפיטריה, הוא הלך על הנתונים הקשים.

הסימן המסופק: מערכת ההפעלה: Windows XP, Service Pack 3; אנטי וירוס: McAfee VirusScan 8.7; דואר אלקטרוני: Outlook 2003, Service Pack 3; הדפדפן: IE 6.

MacDougall ואז אמר לו לבקר באתר אינטרנט כדי לאסוף את שובר הסקר 25 דולר, והעובד נענה.

התחרות פועלת ב Defcon עד יום ראשון. הזוכה מקבל iPad.

רוברט מקמילן מכסה את אבטחת המחשב ואת הטכנולוגיה הכללית חדשות חדשות טובות עבור שירות חדשות IDG. עקוב אחר רוברט בטוויטר ב @bobmcmillan. כתובת הדואר האלקטרוני של רוברט היא [email protected]