Zadzwoń do call center wybranej firmy, podaj się za pracownika przeprowadzającego audyt i bądź przekonujący - to recepta na skuteczne zdobycie korporacyjnych informacji.
Zastosowania inżynierii społeczenej - pokaz na konferencji DefconKliknij, aby powiększyćZastosowania inżynierii społeczenej - pokaz na konferencji Defcon
Zastosowania inżynierii społeczenej - pokaz na konferencji DefconKliknij, aby powiększyćZastosowania inżynierii społeczenej - pokaz na konferencji Defcon
Polecamy:

Więcej informacji:
Zobacz także:
"Inżynieria społeczna w praktyce" - na to miano w pełni zasługuje jeden z ciekawszych pokazów, jaki odbył się w trakcie konferencji Defcon, poświęconej bezpieczeństwu IT. Celem konkursu były tak znane korporacje, jak Microsoft, Cisco Systems, Apple i Shell, a zadaniem uczestników - nakłonienie pracowników tych firm do przekazania określonych informacji.

Uczestnicy konkursu z łatwością zdobywali takie dane, jak nazwa i wersja przeglądarki internetowej wykorzystywanej przez pracowników danej firmy, nazwa programu do przeglądania dokumentów PDF, nazwa systemu operacyjnego (i ewentualnie - numer Service Packa), klient poczty elektronicznej, oprogramowanie antywirusowe, a nawet nazwa lokalnej sieci bezprzewodowej.

Metoda "na ankietera"

Pierwszy z uczestników konkursu, Australijczyk o imieniu Wayne (nazwiska wolał nie podawać do publicznej wiadomości) połączył się z call center jednej z dużych amerykańskich korporacji i przedstawił się jako ankieter firmy przeprowadzającej audyty. Poproszony o podanie danych identyfikacyjnych (numer pracownika) nie tylko zignorował tę prośbę, ale zasypał pracownika call center masą informacji, np. że musi szybko ukończyć audyt, bo szef nie daje mu spokoju.

W pewnym momencie skłonił nawet rozmówcę do wejścia na spreparowaną przez siebie stronę firmy, dla której rzekomo przeprowadzał audyt. Na koniec obiecał postawić pracownikowi call center piwo za udzieloną pomoc.

Australijczyk jest konsultantem ds. bezpieczeństwa, wyspecjalizowanym w inżynierii społecznej. Wieloletnie doświadczenie oraz fakt, że trafił na świeżego pracownika call center, znacznie ułatwiły mu zadanie.

Kolejny z uczestników konkursu, Shane MacDougall, zdecydował się ominąć call center i skontaktować się bezpośrednio z administratorami obranej za cel firmy. Podał się za ankietera przeprowadzającego badanie dla magazynu CSO.

Za pierwszym razem nie powiodło mu się - osoba, z którą rozmawiał, odmówiła podania informacji, o jakie prosił. Potem miał więcej szczęścia, ponieważ trafił na pracownika kontraktowego, zatrudnionego w koncernie od dwóch miesięcy. Najpierw "zmiękczył" go pytaniami o ogólne zadowolenie z pracy i jakość pożywienia w firmowej stołówce, po czym przypuścił atak.

Rezultat? Windows XP Service Pack 3, McAfee VirusScan 8.7, Outlook 2003, Internet Explorer 6 - programy używane w firmie, do której zadzwonił.

FBI zainteresowane konkursem

Uczestnicy pokazu, posadzeni w dźwiękoszczelnej kabinie, mieli 25 minut na wydobycie interesujących ich informacji. Zasady konkursu zabraniały uczestnikom wyłudzania wrażliwych informacji lub "atakowania" wybranych organizacji (m.in. urzędów administracji publicznej i instytucji finansowych). Mimo to, pokaz i tak wywołał sporo kontrowersji, nawet zanim jeszcze się rozpoczął. Z jednym z organizatorów skontaktowało się nawet Federalne Biuro Śledcze, domagając się informacji, co tak naprawdę jest celem konkursu.

Czy można rozpoznać atak socjotechniczny?

Odpowiedź brzmi "tak", ale nie jest to wcale takie łatwe, nawet dla doświadczonych użytkowników czy pracowników działów IT. Inżynieria społeczna to jedna z najskuteczniejszych metod ataków przypuszczanych na firmy i osoby prywatne - jej efektywność musi się więc skądś brać.

Więcej informacji: Social-engineer.org


Podziel się |

Komentarze (8)

  • ~maciek
  • 2010-08-02 13:56:16

co Oni tam wiedzą o social e.... niech pogadają z rudym donkiem On cały naród robi w trąbę. Może czegoś się nauczą

  • ~Yeti
  • 2010-08-02 14:54:32

Wyłudzanie takich informacji w USA widać jest łatwiejsze niż pisanie zaawansowanych trojanów. W Polsce by tak łatwo nie było bo nasza kadra jest troszkę mądrzejsza od typowego Amerykanina po studiach.

  • ~Gosć
  • 2010-08-02 16:30:26

Yeti: nasza kadra w istytucjach państwowych, samorządowych i z nimi powiązanych jest leniwsza i bardziej biurokratyczna. Nastawiona nie na pomoc petentowi a na zbycie aby nie utrudniał pisanie raprtów sprawozdań i zestawień dla przełożonych i podwładnych oraz na spotkanie które będzie za godzinę i na audyt w przyszłym tygodniu. Dlatego u nas nie ma wielkich szans na otrzymanie nienamiastkowych informacji a juz zupełnie znikome na otrzymanie danych prawdziwych - bo kto by się tam wyznawał w tych komputerach od informatyków z piwnicy czy poddasza jak trzeba szybko reagować na kolejne wrzucone pismo i kolejne zebranie w sprawie zgodności z wytycznymi.

  • ~Gosć
  • 2010-08-02 16:36:54

Ależ tak jest od wielu lat. Włąmywanie się na poprawnie skonfigurowane serwer, w tym serwery od Microsoftu, jest praktycznie nieopłacalne. Znacznie łatwiej (i wciąż opłacalnie i nawet coraz łątwiej z powodu postępującego dogrupiania szaraczków przez interesy możnych) jest zmanipulować zatrudnionych idiotów z uprawnieniami lub choćby potrafiących przeczytać co widzą na ekranie (lub co im "doradzono" wyświetlić).

  • ~ziolo
  • 2010-08-02 20:36:04

Nie zapominajcie że u nas nie przejdzie taki atak bo nie ma komputerów, dopiero co maszyny do pisania zaczynamy wywalać, a z resztą spróbujcie dodzwonić się do jakiegokolwiek urzędu jak odbiorą telefon to już będzie sukces a z wyszkoleniem personelu jest podobnie jak z komputerami w państwówkach. Wy mówicie o serwerach przecież u nas nie można jednej scentralizowanej bazy pacjentów założyć ZUS dalej na papierze liczy więc o jakich serwerach mówimy. Banki przecież tak siedzą głównie osoby które już przez zasiedzenie tam są i nie są w stanie sprawdzić takowych żeczy jak service pack czy wersja przeglądarki, taki włamywacz cierpliwość by stracił jak miał by wytłumaczyć takiemu pracownikowi co to jest prawy klawisz myszy czy jak najechać na plik. Reasumując głównie z tego powodu nie ma u nas takich ataków.

  • ~aaaa
  • 2010-08-02 21:12:28

U nas najprościej się podać za kogoś z ministerstwa i wszyscy się zaczną ślinić i wszystko wyklepią. ;)

  • ~gość
  • 2010-08-03 23:24:00

"W Polsce by tak łatwo nie było bo nasza kadra jest troszkę mądrzejsza od typowego Amerykanina po studiach." no ba! w koncu od kilku stuleci dajemy du.. y wszyscy robia nas w chu.. nic tylko mowic ze wszyscy naokolo sa glupi

  • blad
  • 2010-08-10 11:11:14

Mnie wczoraj nagabywał podobny falszywy "konsultant" - podobno z naszego Orange, obiecujac ze mi wlaczy jakis dodatkowy pakiet darmowych minut, ale musze mu podac login, haslo i kod abonencki. Juz wczesniej chcialem go pogonic bo dzwonil z telefonu zastrzezonego ale podziekowalem mu dopiero jak doszedl do konca swojej "oferty", mowiac ze sam sobie wlacze taki pakiet jak mi sie spodoba, a wrażliwych zadnych danych z sadady nie podaję, tym bardziej anonimom :-)

reklama

Popularne produkty

Nokaut
SAMSUNG Galaxy S II

SAMSUNG Galaxy S II

w 70 sklepach od 1449,00 zł
SAMSUNG Galaxy S II
Calvin Klein Eternity, 100ml woda perfumowana

Calvin Klein Eternity, 100ml woda perfumowana

w 38 sklepach od 101,65 zł
Calvin Klein Eternity, 100ml woda perfumowana
Sekrety wielokrotnych orgazmów - Mantak i Maneewan Chia, Douglas i Rachel Carlton Abrams

Sekrety wielokrotnych orgazmów - Mantak i Maneewan Chia, Douglas i Rachel Carlton Abrams

w 20 sklepach od 22,90 zł
Sekrety wielokrotnych orgazmów - Mantak i Maneewan Chia, Douglas i Rachel Carlton Abrams

PC World z prezentem!

Tak, zamawiam 12 wydań PC World po 14,09 zł każde (zamiast 19,90 zł) od numeru 6/2012.
Dodatkowo program Panda Antyvirus Pro 2012,
chroniący aż 3 komputery, dostanę za darmo.

PC World 6/2012
Nowy numer PC World 6/2011
Razem: 169


  • Z darmową wysyłką
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

Pobierz bezpłatnego e-booka

20 lat polskiej sieci
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Jeśli chcesz otrzymać darmowego e-booka, wpisz swój adres e-mail. Wyślemy Ci go natychmiast!
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

  Kariera w IT 2012

Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
zobacz więcej »

  Rekomendacje

reklama
reklama
Warunki obsługi - Kontakt - Regulamin - Polityka prywatności
Serwis zgodny z ASME - Serwisy IDG - Reklama -
Prenumerata: PC World, Computerworld, Networld
© Copyright 2012 International Data Group Poland S.A.
04-204 Warszawa ul. Jordanowska 12
tel.(+4822)321-78-00   fax(+4822)321-78-88
Archiwum wiadomości: 2011 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001