Победитель хакерского конкурса смог «взломать» Wal-Mart одним звонком по телефону
В этом году победитель чемпионата по социальной инженерии в рамках проводимой хакерской конференции ДефКон Шейн Макдугал смог «взломать» посредством телефона корпоративную сеть всемирно известной сети магазинов Wal-Mart, при этом он выполнил абсолютно все задания.
Следует напомнить, что социальной инженерией называются определенные приемы, с помощью которых хакер производит атаку не на сам компьютер, а на человека, который работает с компьютером. Такие социальные хакеры хорошо знают, как можно «взломать психологию человека», при этом запрограммировав его на совершение необходимых действий, прибегнув, к примеру, к нейролингвистическому программированию и трансактному анализу.
Макдугал является основателем компании работающей в области информационной безопасности под названием Tactical Intelligence, которая специализируется на достаточно широком спектре задач, от систем защиты до корпоративного шпионажа. Для своих клиентов он регулярно производит атаки методом СИ, обзванивая сотрудников различных компаний и проверяя, насколько они готовы к подобному нападению.
Победитель этого чемпионата говорит, что самое главное — это правильно выбрать жертву для атаки: лучше всего для этого подходят сотрудники, работающие в отделе продаж, которые очень уязвимы перед возможностью заработать дополнительные деньги. Как только речь заходит о личной или коммерческой выгоде, у большинства слабеет логическое мышление и практически полностью пропадает всяческая осторожность.
Чемпионат по СИ Capture The Flag (CTF) проводится по следующим правилам: ровно за две недели до финального раунда каждому социальному инженеру отправляют по электронной почте письмо с наименованием и адресом (URL) жертвы. Каждая из компаний выбирается абсолютно случайным образом. В нынешнем году в список жертв попали, такие известные фирмы, как UPS, AT&T, Mobil, Verizon, FedEx, Hewlett-Packard , Shell, Exxon, Target и Cisco.
Две недели инженер занимается изучением своей жертвы, анализируя открытые информационные источники, такие как Facebook, LinkedIn Google, собственный сайт компании-жертвы и т.п. На данном этапе он получает очки за каждый из собранных флагов, то есть за нахождение какой-либо информации, из той, что указана в задании. Там обычно находится большой список пунктов, начиная с года рождения жертвы и заканчивая почтовым клиентом, которым пользуется жертва.
Конкурсанту нельзя писать письма, звонить, или каким-либо другим способом связываться с жертвой до финальной части конкурса. После этого проводится очный финал, где участнику соревнований дается двадцать минут на совершение телефонного разговора. Все происходящее транслируется в зал, где сидят зрители.
Нынешний победитель позвонил в отдел продаж компании Уол-Март и поговорил с одним из менеджеров магазина. Хакер представился ему как Гэри Дарнелл и сообщил, что он является новым менеджером по логистике в одном из госучреждений. Затем взломщик сказал, что Wal-Mart может получить многомиллионный контракт от правительства, и сейчас проводится процедура изучения всех кандидатов на данный контракт.
В ходе разговора менеджер магазина сообщил все базовую информацию о компании, расписании работы определенных сотрудников, организации складов и т.п. После этого он сообщил о том, какие компьютеры стоят в офисе, какая у них версия ОС, марка антивируса и браузер. В конечном итоге, менеджер запустил интернет браузер и зашел на адрес, который сообщил ему по телефону «хакер».
Так Шейн Макдугал смог поставить рекорд по количеству собранных в рамках конкурса флагов за три года проведения данного мероприятия.
Related Images:
Главный редактор “Россия-онлайн”
Ссылки на автора:
