Come rubare segreti aziendali in 20 minuti: chiedi

Alcune aziende di Fortune 500 devono aggiornare i loro browser Web. E mentre ci sono, una piccola formazione interna sull'ingegneria sociale non sarebbe una cattiva idea, neanche.

Gli hacker di ingegneria sociale - le persone che inducono i dipendenti a fare e dire cose che non dovrebbero - - hanno preso il loro colpo migliore alla Fortune 500 durante una gara a Defcon Friday e hanno dimostrato quanto sia facile convincere la gente a parlare, se solo dici la bugia giusta.

Le conferenze sulla sicurezza di Defcon e Black Hat si svolgono a Las Vegas questa settimana.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

I concorrenti hanno ottenuto personale IT presso le maggiori aziende, tra cui Microsoft, Cisco Systems, Apple e Shell, per cedere ogni tipo di informazione che potrebbe essere utilizzato in un attacco informatico, compreso quale browser e numero di versione stavano utilizzando (le prime due società denominate Friday stavano usando IE6), quale software usano per aprire i documenti pdf, il loro sistema operativo e numero di service pack, il loro client di posta, il software antivirus che usano e persino il nome di la loro rete wireless locale.

I primi due concorrenti hanno fatto sembrare facile.

Wayne, un consulente di sicurezza australiano che non avrebbe dato il suo cognome, è stato il primo venerdì mattina. La sua missione: ottenere dati da un'importante società statunitense. (IDG News Service ha scelto di non segnalare quali aziende sono cadute per quali attacchi a causa di possibili rischi per la sicurezza.)

Seduto dietro una cabina insonorizzata davanti a un pubblico, si è collegato a un call center IT e ha ottenuto un dipendente di nome Ledoi parlando. Facendo finta di essere un consulente di KPMG facendo un audit sotto pressione, Wayne lo fece spargere dettagli, molto tempo.

Wayne ignorò una richiesta per un numero di impiegato e si lanciò immediatamente in una storia su come il suo capo era sulla sua schiena, e come aveva davvero bisogno di finire questo audit. Ha lavorato il suo fascino australiano sul lavoratore, che era stato con il suo nuovo datore di lavoro solo per un mese. In pochi minuti, sembrava che fosse disposto a dare a Wayne praticamente tutte le informazioni che voleva - ad un certo punto ha persino visitato una falsa pagina Web KMPG che Wayne aveva creato.

Ha concluso la chiamata promettendo di acquistare una birra al dipendente.

"Che birra ti piace?"

"In questo momento sono su un calcio di Blue Moon."

In un'intervista dopo la chiamata, Wayne non poteva credere alla sua fortuna. "Pensavo che fossero una grande azienda e so che hanno fatto un sacco di controlli di sicurezza interni."

Successivamente, gli organizzatori del contest hanno dichiarato che il suo sforzo è stato il migliore della giornata. Ma tutti quelli che sono stati presi di mira hanno rinunciato alle informazioni. Chris Hadnagy, uno dei fondatori del concorso, ritiene che le vittime avrebbero dato via informazioni sensibili come le password se fossero state richieste. "Avrebbero dato le foto della loro famiglia se l'avessero chiesto", ha detto.

Le regole del concorso proibivano di chiedere informazioni sensibili o di prendere di mira determinati tipi di organizzazioni come istituzioni governative o finanziarie. Anche così, il concorso ha fatto tintinnare i nervi prima ancora che iniziasse. Il mese scorso, Hadnagy ha ricevuto una telefonata dall'FBI che chiedeva del concorso.

Wayne, che ha svolto questo tipo di ingegneria sociale per 15 anni nel suo lavoro come consulente per la sicurezza, ha detto di aver fatto circa 20 ore di ricognizione prima di il contesto. Sapeva come raggiungere il call centre IT e quali nomi eliminare quando ha superato.

Ha ammesso di aver avuto un guadagno ottenendo un impiegato così verde. Ma i nuovi dipendenti fanno le migliori fonti. "Se scegli qualcuno che è una persona di alto livello in compagnia, non otterrai nulla", ha detto. "Hanno molto da perdere."

Il concorrente numero due, Shane MacDougall, ha deciso di saltare il call center e andare a destra per il personale di sicurezza di un'altra nota azienda. Ha adottato un approccio più abbreviato, sostenendo di condurre un sondaggio per CSO Magazine.

La prima persona che ha raggiunto sapeva cosa stava facendo, e fermamente ma educatamente chiuse MacDougall dopo aver rifiutato di rispondere ad alcune domande, dicendo: "Queste sono domande specifiche che non mi sento a mio agio a rispondere".

I concorrenti sono stati dati solo 25 minuti per lavorare. Quindi, con il ticchettio dell'orologio, MacDougall è riuscito a ottenere il suo marchio successivo - un impiegato a contratto nel dipartimento di ingegneria della sicurezza che era stato con la compagnia per due mesi. Dopo alcune domande su softball sulla soddisfazione del lavoro e sulla qualità del cibo della mensa, è andato a prendere i dati rigidi.

Il marchio consegnato: sistema operativo: Windows XP, Service Pack 3; antivirus: McAfee VirusScan 8.7; e-mail: Outlook 2003, Service Pack 3; browser: IE 6.

MacDougall gli ha poi detto di visitare un sito Web per ritirare il suo coupon da $ 25 e il lavoratore ha risposto.

Il concorso si svolge a Defcon fino a domenica. Il vincitore ottiene un iPad.

Robert McMillan copre le ultime notizie sulla sicurezza informatica e sulla tecnologia generale per il servizio di notizie di IDG. Segui Robert su Twitter all'indirizzo @bobmcmillan. L'indirizzo e-mail di Robert è [email protected]