成功人士才會使用的5小時法則
财富500强中的一些公司需要升级他们的Web浏览器。尽管他们在做这些工作,但在社会工程方面进行一点小小的内部培训也不是一个坏主意。
社会工程黑客 - 欺骗员工做事并且说出他们不应该做的事的人 - - 在Defcon Friday举行的比赛期间,他们在财富500强赛中获得了最好的投篮机会,并展示了让人们说话是多么容易,只要你说出正确的谎言即可。
Defcon和Black Hat安全会议正在Las
[进一步阅读:如何从您的Windows PC中删除恶意软件]参赛者在包括微软,思科系统,苹果和壳牌在内的大公司中聘请了IT人员放弃各种信息可以用于计算机攻击,包括他们使用的浏览器和版本号(前两个公司称周五是使用IE6),他们使用什么软件打开PDF文档,他们的操作系统和服务包号码,他们的邮件客户端,他们使用的杀毒软件,甚至是其名称他们的当地无线网络
前两名选手看起来很简单。
在听众面前坐在隔音箱后面,他与一个IT呼叫中心相连,并找到一位名叫Ledoi的员工说话。假装成为毕马威咨询公司在截止日期之前进行审计的顾问,韦恩让他泄漏了详细信息和时间。
韦恩忽略了一个雇员号码的申请,并立即发布了关于他的老板如何背上的故事,他如何真正需要完成这个审计。他为那位只与新雇主工作了一个月的工人创造了他的澳大利亚魅力。几分钟内,他似乎愿意给韦恩提供他想要的任何信息 - 有一次,他甚至访问了韦恩建立的假KMPG网页。
他结束了一个承诺,向雇员买了一瓶啤酒
“你喜欢什么啤酒?”
“现在我正在接受蓝月亮的踢球。”
在接到电话后的采访中,韦恩无法相信他的运气。 “我以为他们是一家非常大的公司,我知道他们做了很多内部安全审计。”
稍后,比赛组织者表示他的努力是当天最好的。但每个有针对性的人都放弃了信息。比赛的创始人之一Chris Hadnagy认为,受害者会在他们被问到的情况下泄露敏感信息,例如密码。 “如果他们要求的话,他们会给他们的家人照片,”他说。“禁止竞赛规则要求提供任何敏感信息,或针对某些类型的组织,如政府或金融机构。即便如此,比赛还是在比赛开始之前就感到神经紧张。上个月,哈德纳吉接到了联邦调查局打来的一个电话,询问有关比赛的情况。
年,韦恩在日常工作中担任安全顾问一职做这种社会工程15年,他说他在事故发生前大约进行了20个小时的侦察比赛。他知道如何到达IT呼叫中心,当他通过时,什么名字都会掉下来。“他承认,通过获得这样一位绿色员工,他很幸运。但新员工成为最佳资源。 “如果你选择一个在公司里是高层人物的人,你什么都得不到,”他说。 “他们有很多输球。”
第二号选手Shane MacDougall决定跳过呼叫中心,去右边的另一家知名公司的安保人员。他采取了更加严格的方法,声称正在对CSO杂志进行调查。
他第一个接触到的人知道自己在做什么,并且在拒绝回答几个问题之后坚定而谨慎地关闭了麦克杜格尔,他说:“这些都是我不愿意回答的具体问题。”
参赛者仅获得参赛资格25分钟上班。所以随着时钟滴答滴答,MacDougall在他的下一个标记上幸运了 - 这是安全工程部门的一名合同员工,他已经在公司工作了两个月。经过一些关于工作满意度和食堂食物质量的垒球问题后,他找到了硬数据。
标记交付:操作系统:Windows XP,Service Pack 3;防病毒:McAfee VirusScan 8.7;电子邮件:Outlook 2003,Service Pack 3;浏览器:IE 6.
麦克杜格尔然后告诉他访问一个网站收集他的25美元的调查券,并且工人遵守。
比赛在星期日运行。获胜者获得iPad。
Robert McMillan为IDG新闻服务提供计算机安全和通用技术突发新闻。在@bobmcmillan的Twitter上关注Robert。罗伯特的电子邮件地址是[email protected]