Jak wykraść firmowe tajemnice w 20 minut? Zapytać...

Subskrybuj RSS A A A
02 sierpnia 2010 9:25
Ludwik Krakowiak, IDG News Service

TAGI: inżynieria społeczna social engineering FBI Defcon call center hakerzy

Zadzwoń do call center wybranej firmy, podaj się za pracownika przeprowadzającego audyt i bądź przekonujący - to recepta na skuteczne zdobycie korporacyjnych informacji.

Zastosowania inżynierii społeczenej - pokaz na konferencji DefconKliknij, aby powiększyćZastosowania inżynierii społeczenej - pokaz na konferencji Defcon
Zastosowania inżynierii społeczenej - pokaz na konferencji DefconKliknij, aby powiększyćZastosowania inżynierii społeczenej - pokaz na konferencji Defcon
Polecamy:

Więcej informacji:
Zobacz także:
"Inżynieria społeczna w praktyce" - na to miano w pełni zasługuje jeden z ciekawszych pokazów, jaki odbył się w trakcie konferencji Defcon, poświęconej bezpieczeństwu IT. Celem konkursu były tak znane korporacje, jak Microsoft, Cisco Systems, Apple i Shell, a zadaniem uczestników - nakłonienie pracowników tych firm do przekazania określonych informacji.

Uczestnicy konkursu z łatwością zdobywali takie dane, jak nazwa i wersja przeglądarki internetowej wykorzystywanej przez pracowników danej firmy, nazwa programu do przeglądania dokumentów PDF, nazwa systemu operacyjnego (i ewentualnie - numer Service Packa), klient poczty elektronicznej, oprogramowanie antywirusowe, a nawet nazwa lokalnej sieci bezprzewodowej.

Metoda "na ankietera"

Pierwszy z uczestników konkursu, Australijczyk o imieniu Wayne (nazwiska wolał nie podawać do publicznej wiadomości) połączył się z call center jednej z dużych amerykańskich korporacji i przedstawił się jako ankieter firmy przeprowadzającej audyty. Poproszony o podanie danych identyfikacyjnych (numer pracownika) nie tylko zignorował tę prośbę, ale zasypał pracownika call center masą informacji, np. że musi szybko ukończyć audyt, bo szef nie daje mu spokoju.

W pewnym momencie skłonił nawet rozmówcę do wejścia na spreparowaną przez siebie stronę firmy, dla której rzekomo przeprowadzał audyt. Na koniec obiecał postawić pracownikowi call center piwo za udzieloną pomoc.

Australijczyk jest konsultantem ds. bezpieczeństwa, wyspecjalizowanym w inżynierii społecznej. Wieloletnie doświadczenie oraz fakt, że trafił na świeżego pracownika call center, znacznie ułatwiły mu zadanie.

Kolejny z uczestników konkursu, Shane MacDougall, zdecydował się ominąć call center i skontaktować się bezpośrednio z administratorami obranej za cel firmy. Podał się za ankietera przeprowadzającego badanie dla magazynu CSO.

Za pierwszym razem nie powiodło mu się - osoba, z którą rozmawiał, odmówiła podania informacji, o jakie prosił. Potem miał więcej szczęścia, ponieważ trafił na pracownika kontraktowego, zatrudnionego w koncernie od dwóch miesięcy. Najpierw "zmiękczył" go pytaniami o ogólne zadowolenie z pracy i jakość pożywienia w firmowej stołówce, po czym przypuścił atak.

Rezultat? Windows XP Service Pack 3, McAfee VirusScan 8.7, Outlook 2003, Internet Explorer 6 - programy używane w firmie, do której zadzwonił.

FBI zainteresowane konkursem

Uczestnicy pokazu, posadzeni w dźwiękoszczelnej kabinie, mieli 25 minut na wydobycie interesujących ich informacji. Zasady konkursu zabraniały uczestnikom wyłudzania wrażliwych informacji lub "atakowania" wybranych organizacji (m.in. urzędów administracji publicznej i instytucji finansowych). Mimo to, pokaz i tak wywołał sporo kontrowersji, nawet zanim jeszcze się rozpoczął. Z jednym z organizatorów skontaktowało się nawet Federalne Biuro Śledcze, domagając się informacji, co tak naprawdę jest celem konkursu.

Czy można rozpoznać atak socjotechniczny?

Odpowiedź brzmi "tak", ale nie jest to wcale takie łatwe, nawet dla doświadczonych użytkowników czy pracowników działów IT. Inżynieria społeczna to jedna z najskuteczniejszych metod ataków przypuszczanych na firmy i osoby prywatne - jej efektywność musi się więc skądś brać.

Więcej informacji: Social-engineer.org

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 4.4 liczba ocen: 3
Podziel się |

Komentarze (8)

+Dodaj komentarz

blad

10-08-2010 11:11
odpowiedz zmoderuj

Mnie wczoraj nagabywał podobny falszywy "konsultant" - podobno z naszego Orange, obiecujac ze mi wlaczy jakis dodatkowy pakiet darmowych minut, ale musze mu podac login, haslo i kod abonencki. Juz wczesniej chcialem go pogonic bo dzwonil z telefonu zastrzezonego ale podziekowalem mu dopiero jak doszedl do konca swojej "oferty", mowiac ze sam sobie wlacze taki pakiet jak mi sie spodoba, a wrażliwych zadnych danych z sadady nie podaję, tym bardziej anonimom :-)

~Gość

03-08-2010 23:24
odpowiedz zmoderuj

"W Polsce by tak łatwo nie było bo nasza kadra jest troszkę mądrzejsza od typowego Amerykanina po studiach." no ba! w koncu od kilku stuleci dajemy du.. y wszyscy robia nas w chu.. nic tylko mowic ze wszyscy naokolo sa glupi

~aaaa

02-08-2010 21:12
odpowiedz zmoderuj

U nas najprościej się podać za kogoś z ministerstwa i wszyscy się zaczną ślinić i wszystko wyklepią. ;)

~ziolo

02-08-2010 20:36
odpowiedz zmoderuj

Nie zapominajcie że u nas nie przejdzie taki atak bo nie ma komputerów, dopiero co maszyny do pisania zaczynamy wywalać, a z resztą spróbujcie dodzwonić się do jakiegokolwiek urzędu jak odbiorą telefon to już będzie sukces a z wyszkoleniem personelu jest podobnie jak z komputerami w państwówkach. Wy mówicie o serwerach przecież u nas nie można jednej scentralizowanej bazy pacjentów założyć ZUS dalej na papierze liczy więc o jakich serwerach mówimy. Banki przecież tak siedzą głównie osoby które już przez zasiedzenie tam są i nie są w stanie sprawdzić takowych żeczy jak service pack czy wersja przeglądarki, taki włamywacz cierpliwość by stracił jak miał by wytłumaczyć takiemu pracownikowi co to jest prawy klawisz myszy czy jak najechać na plik. Reasumując głównie z tego powodu nie ma u nas takich ataków.

~Gosć

02-08-2010 16:36
odpowiedz zmoderuj

Ależ tak jest od wielu lat. Włąmywanie się na poprawnie skonfigurowane serwer, w tym serwery od Microsoftu, jest praktycznie nieopłacalne. Znacznie łatwiej (i wciąż opłacalnie i nawet coraz łątwiej z powodu postępującego dogrupiania szaraczków przez interesy możnych) jest zmanipulować zatrudnionych idiotów z uprawnieniami lub choćby potrafiących przeczytać co widzą na ekranie (lub co im "doradzono" wyświetlić).

~Gosć

02-08-2010 16:30
odpowiedz zmoderuj

Yeti: nasza kadra w istytucjach państwowych, samorządowych i z nimi powiązanych jest leniwsza i bardziej biurokratyczna. Nastawiona nie na pomoc petentowi a na zbycie aby nie utrudniał pisanie raprtów sprawozdań i zestawień dla przełożonych i podwładnych oraz na spotkanie które będzie za godzinę i na audyt w przyszłym tygodniu. Dlatego u nas nie ma wielkich szans na otrzymanie nienamiastkowych informacji a juz zupełnie znikome na otrzymanie danych prawdziwych - bo kto by się tam wyznawał w tych komputerach od informatyków z piwnicy czy poddasza jak trzeba szybko reagować na kolejne wrzucone pismo i kolejne zebranie w sprawie zgodności z wytycznymi.

~Yeti

02-08-2010 14:54
odpowiedz zmoderuj

Wyłudzanie takich informacji w USA widać jest łatwiejsze niż pisanie zaawansowanych trojanów. W Polsce by tak łatwo nie było bo nasza kadra jest troszkę mądrzejsza od typowego Amerykanina po studiach.

~maciek

02-08-2010 13:56
odpowiedz zmoderuj

co Oni tam wiedzą o social e.... niech pogadają z rudym donkiem On cały naród robi w trąbę. Może czegoś się nauczą





Najpopularniejsze

Najnowsze

Ile kosztuje dowód osobisty

Ile kosztuje dowód osobisty
Rząd jako jeden z powodów anulowania przetargu na blankiety e-dowodu podaje brak środków. Sprawdziliśmy, ile kosztowałoby to podatników i jaka jest cena za dokumenty tożsamości na świecie.

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

Zarządzanie po japońsku
W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Rekomendacje




Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88