Ludzie z traktującego o inżynierii społecznej serwisu http://www.social-engineer.org/ podjęli ciekawe wyzwanie – zadzwonili do 15 firm, usiłując przekonać ich pracowników do podania im informacji, które mogłyby ułatwić im atak na jej infrastrukturę. Wyniki badania po raz kolejny udowadniają, że najsłabszym ogniwem zabezpieczeń pozostaje człowiek.
Umiejętne wyciągnięcie pozornie nieistotnych informacji z pracownika atakowanej firmy może znacznie ułatwić pracę cyber-włamywaczowi. Jeśli jeszcze uda się przekonać ofiarę, by kliknęła w podstawiony link, to cracker może już zacierać ręce. Czy jednak naprawdę tak łatwo jest zdobyć informacje kluczowe dla udanego ataku na systemy teleinformatyczne?
Atakującym dano najpierw dwa tygodnie na zebranie informacji o interesujących ich firmach. Nieocenione okazały się przede wszystkim serwisy LinkedIn i Facebook (o przypadku, gdy portale społecznościowe jako punkt wyjścia do ataku wykorzystał Frederic Raynal, pisaliśmy już na naszym blogu) oraz oczywiście Google. Gdy przyszło do rozmów telefonicznych, spośród piętnastu badanych firm, czternaście nie poradziło sobie z atakującymi. Pracownicy połowy z nich nawet nie usiłowali stawiać oporu, bez zastanowienia dzieląc się danymi, być może uważając, iż nie czynią żadnej szkody firmie. Tymczasem podając informacje o systemie operacyjnym, wersjach obligatoryjnie używanego oprogramowania (włącznie z antywirusem, czy VPNem!), metodach wsparcia IT, czy nawet o nazwie firmowej sieci Wi-Fi otwierają na oścież włamywaczom drzwi, które ci musieliby w innym przypadku wyważać. Przydatność danych, dotyczących trybu pracy, przyjmowania i zwalniania pracowników, identyfikatorów uprawniających do wejścia do budynku, czy nawet tego, czy w budynku jest ogólnodostępny bufet, może nasuwać na myśl filmy sensacyjne, jednak ryzyko ataku „na żywo” nie jest mniejsze od włamania sieciowego. Wystarczy przecież pendrive i kilka chwil spokoju, by dane znalazły się w rękach przestępcy. I nie ochroni nas nawet szyfrowanie dysków, co udowodniła jeszcze w ubiegłym roku Joanna Rutkowska ze swoją Piekielną Pokojówką...
Zainteresowani pełnym raportem z akcji mogą go ściągnąć pod tym adresem. Bez obaw – to nie jest podstawiony link :) - możecie zobaczyć raport z VirusTotal.com.
Źródło: www.paranoidprose.com, theinvisiblethings.blogspot.com