Bedrijfsgeheimen stelen in 20 minuten: vraag

Een paar bedrijven in de Fortune 500 moeten hun webbrowser upgraden. En terwijl ze bezig zijn, zou een beetje interne training over social engineering ook geen slecht idee zijn.

Social engineering hackers - mensen die werknemers misleiden en dingen doen die ze niet zouden moeten doen - - maakten hun beste opname op de Fortune 500 tijdens een wedstrijd op Defcon Friday en lieten zien hoe gemakkelijk het is om mensen aan het praten te krijgen, als je maar de juiste leugen vertelt.

De beveiligingsconferenties Defcon en Black Hat vinden plaats in Las Vegas deze week.

[Meer informatie: Hoe verwijder je malware van je Windows-pc]

Deelnemers kregen IT-personeel bij grote bedrijven, waaronder Microsoft, Cisco Systems, Apple en Shell, om allerlei informatie op te geven die kan worden gebruikt bij een computeraanval, inclusief welke browser en versienummer ze gebruikten (de eerste twee bedrijven met de naam Friday gebruikten IE6), welke software ze gebruiken om pdf-documenten te openen, hun besturingssysteem en servicepacknummer, hun e-mailclient, de antivirussoftware die ze gebruiken, en zelfs de naam van hun lokale draadloze netwerk.

De eerste twee deelnemers lieten het er gemakkelijk uitzien.

Wayne, een beveiligingsadviseur uit Australië die zijn achternaam niet wilde geven, was eerst vrijdagochtend. Zijn missie: verzamel gegevens van een groot Amerikaans bedrijf. (IDG News Service heeft ervoor gekozen om niet te melden welke bedrijven zijn gevallen voor welke aanvallen vanwege mogelijke beveiligingsrisico's.)

Zittend achter een geluidsdichte cabine vóór een publiek, hij verbond zich met een IT-callcenter en kreeg een medewerker met de naam Ledoi. Gedroeg zich als een KPMG-consultant die een audit onder tijdsdruk uitvoerde, bracht Wayne hem ertoe om details te downloaden, veel tijd.

Wayne negeerde een verzoek om een ​​werknemersnummer en startte meteen een verhaal over hoe zijn baas op zijn rug was, en hoe hij echt behoefte had om deze audit af te ronden. Hij gebruikte zijn Aussie-charme voor de werknemer, die slechts een maand bij zijn nieuwe werkgever was geweest. Binnen enkele minuten leek het alsof hij bereid was om Wayne vrijwel alle informatie te geven die hij wilde - op een gegeven moment bezocht hij zelfs een valse KMPG-webpagina die Wayne had opgezet.

Hij beëindigde de oproep met de belofte om de werknemer een biertje te kopen.

"Wat voor bier vind je leuk?"

"Op dit moment zit ik op een Blue Moon-schop."

In een interview na het telefoontje kon Wayne zijn geluk niet geloven. "Ik dacht dat ze een behoorlijk groot bedrijf zijn en ik weet dat ze veel interne beveiligingsaudits hebben uitgevoerd."

Later zeiden wedstrijdorganisatoren dat zijn inzet de beste was van de dag. Maar iedereen die doelwit was, gaf informatie op. Chris Hadnagy, een van de oprichters van de wedstrijd, is van mening dat de slachtoffers gevoelige informatie zouden hebben weggegeven, zoals wachtwoorden als ze waren gevraagd. "Ze zouden foto's van hun familie hebben gemaakt als ze erom hadden gevraagd", zei hij.

Wedstrijdregels verboden om gevoelige informatie te vragen of gericht op bepaalde soorten organisaties, zoals overheidsinstellingen of financiële instellingen. Maar toch, de wedstrijd rammelde zenuwen nog voordat het was begonnen. Vorige maand ontving Hadnagy een telefoontje van de FBI met de vraag over de wedstrijd. Wayne, die 15 jaar lang dit soort van social engineering deed in zijn baan als beveiligingsadviseur, zei dat hij ongeveer 20 uur aan verkenning deed voor de wedstrijd. Hij wist hoe hij het IT-callcenter kon bereiken en welke namen hij moest laten vallen toen hij erdoor kwam.

Hij gaf toe dat hij geluk had gehad door zo'n groene medewerker te krijgen. Maar nieuwe medewerkers maken de beste bronnen. "Als je iemand kiest die een high-up persoon is in het bedrijf, krijg je niets", zei hij. "Ze hebben veel te verliezen." Deelnemer nummer twee, Shane MacDougall, besloot om het callcenter over te slaan en naar het beveiligingspersoneel van een ander bekend bedrijf te gaan. Hij nam een ​​meer dichtgeknoopte benadering, bewerend een onderzoek voor CSO Magazine te voeren.

De eerste persoon die hij bereikte wist wat hij deed, en sloot MacDougall stevig, maar beleefd, nadat hij weigerde een paar vragen te beantwoorden: "Dit zijn specifieke vragen die ik niet prettig vind om te beantwoorden." <<> 25 minuten om te werken. Dus met de klok tikt, MacDougall heeft geluk gehad met zijn volgende merk - een contractmedewerker bij de afdeling security engineering die twee maanden bij het bedrijf was geweest. Na een paar softbalvragen over arbeidssatisfactie en de kwaliteit van het cafetaria-eten, ging hij op zoek naar de harde data.

Het merk werd geleverd: besturingssysteem: Windows XP, service pack 3; antivirus: McAfee VirusScan 8.7; e-mail: Outlook 2003, servicepack 3; browser: IE 6.

MacDougall vertelde hem toen dat hij een website moest bezoeken om zijn enquête-coupon van US $ 25 te verzamelen, en de medewerker deed dat.

De wedstrijd loopt tot en met zondag bij Defcon. De winnaar krijgt een iPad.

Robert McMillan behandelt computerbeveiliging en algemeen technologisch breaking news voor The IDG News Service. Volg Robert op Twitter op @bobmcmillan. Het e-mailadres van Robert is [email protected]