Как украсть корпоративные секреты в 20 минут

Немногих компаний в Fortune 500 нуждаются в обновлении веб-браузеры. И хотя они на нее, мало внутреннее обучение по социальной инженерии, не было бы плохой идеей, либо. Условия конкурса запрещено требует какой-либо важной информации или выбрать определенные типы организаций, такие как правительственные и финансовые учреждения. Тем не менее, конкурс гремели нервы еще до ее начала. В прошлом месяце Hadnagy позвонили из ФБР просят о конкурсе.

Wayne, который сделал этот тип социальной инженерии, в течение 15 лет в свое время работу в качестве консультанта по безопасности, сказал, что около 20 часов разведки накануне конкурса. Он знал, как добраться до центра ИТ-вызов и какие имена отказаться, когда он прошел.

Он признал, что он повезло, получив такой зеленый работника. Но новых сотрудников сделать лучший источников. «Если кто-то выбирать, кто высокопоставленный человек в компании, вы получите ничего», сказал он. «У них есть что терять».

Участник номер два, Шейн Макдугал, решил пропустить колл-центра и сразу за безопасность сотрудников на другую известную компанию. Он принял более застегнутый вниз ", претендующие на проведение обследования ЦСУ Magazine.

Первый человек он достиг знал, что он делает, и твердо, но вежливо закрыл Макдугал вниз, после отказа в ответ на несколько вопросов, сказав: «Речь идет о конкретных вопросов, которые я не чувствую себя комфортно ответа».

Конкурсанты получили только 25 минут на работу. Так, с тикают часы, Макдугал повезло во время своего следующего знака — контракт сотрудника в отдел безопасности, инженерных, которые были с компанией в течение двух месяцев. После нескольких вопросов софтбол о степени удовлетворенности работой и качеством питания столовой, он пошел на достоверных данных.

Марки поставляются: Операционная система: Windows XP, Service Pack 3; Антивирусы: McAfee VirusScan 8.7, адрес электронной почты: Outlook 2003 с пакетом обновления 3; браузера: IE 6.

Макдугал, то сказал ему посетить сайт, чтобы собрать свои 25 долл. США обследования купон, и Райан выполнил.

Конкурс проходит на Defcon по воскресенье. Победитель получает iPad.

Социальная инженерия хакеры — люди, которые трюк сотрудников в делать и говорить то, что они не должны — взял их лучший стрелок в Fortune 500 в конкурсе на Defcon пятницу и показал, как легко заставить людей говорить, если только вы скажу прямо ложь.

Конкурсанты получили ИТ-подразделения на крупных корпораций, в том числе Microsoft, Cisco Systems, Apple и Shell, отказаться от всех видов информации, которые могут быть использованы в компьютерных атак, в том числе то, что браузер и номер версии они используют (первые две компании называют пятницу используют IE6), какое программное обеспечение они используют, чтобы открыть PDF-документов, их операционная система и номера пакета, их почтовым клиентом, антивирусное программное обеспечение они используют, и даже имя своей локальной беспроводной сети.

Первые два конкурсантов сделал это смотреть просто.

Wayne, консультанта по вопросам безопасности из Австралии, который бы не называть свою фамилию, был первой до утра пятницы. Его миссия: Получить данные из крупнейших компаний США. (Служба новостей IDG предпочел не сообщать, какие компании упала, для которых атаки из-за возможных рисков для безопасности.)

Сидя в звуконепроницаемой кабине перед аудиторией, он связан с ИТ-центров обработки звонков и получил сотрудник говорить. Сделав вид, что консультант КПМГ делать ревизии в срок давления, Уэйн получил его разлива детали, большое время.

Уэйн проигнорировал просьбу табельный номер и начал сразу в рассказ о том, как его хозяин лежал на спине, и как он на самом деле, необходимые для получения этой ревизии закончена. Он работал его Aussie шарм на рабочего, который бы только с его новым работодателем в течение месяца. Через несколько минут казалось, он был готов дать Уэйн почти любой информации, которую он хотел — в один момент он даже посетил КПМГ поддельные веб-страницы, Уэйн создал.

Он закончил вызова обещая купить работника пива.

Он закончил вызова обещая купить Ledoi пива.

«Что пиво вам нравится?»

«Сейчас я нахожусь на удар Blue Moon».

В интервью после вызова, Уэйн не мог поверить своему счастью. «Я думал, что они довольно большая компания, и я знаю, что они сделали много внутренних аудитов безопасности».

Позднее организаторы конкурса сказал, что его усилия были лучшие дня. Но все, кто был нацелен отдал информации. Крис Hadnagy, один из учредителей конкурса, считает, что жертв было бы отдали конфиденциальной информации, такой как пароли, если бы они были заданы. "Они дали бы фотографии своей семьи если бы они просили об этом, сказал он.

Желательно оставить комментарий, также можно поставить трэкбек со своего блога или сайта.

Написать сообщение

Яндекс.Метрика