Video: i hacked my grandma (social engineering and pretexting) // FREE Security+ // EP 3 (Oktober 2024)
Hvor lang tid vil det ta før en angriper bryter inn i en virksomhet? Vil du komme på bedriftsnettverket som en autentisert bruker? Hvis du tror det vil ta noen dager eller til og med noen timer, er du langt fra.
Prøv 20 minutter.
Det tok David Jacoby, en senior sikkerhetsforsker med Global Research and Analyse Team på Kaspersky Lab, tre minutter å snike seg inn i bygningen, fire minutter å få nettverkstilgang, fem minutter å få autentisert tilgang til nettverket og ti minutter å installere en bakdør inn på bedriftsnettverket. Han var i stand til å laste ned og gå bort med "gigabyte med data" fra selskapet, fortalte han deltakere på forrige ukes Kaspersky Lab Security Analyst Summit.
Jacoby ble invitert av et selskap som kom inn og tester forsvaret. Det viste seg at han ikke trengte noen fancy hacks eller null dager for å komme gjennom. Det hele var sosialteknikk.
"De brukte så mye penger, og jeg kom meg fortsatt inn, " sa Jacoby.
Å være hyggelig mot skreddersydde
Selskapet krevde at ansatte skulle bruke et merke for å komme inn og forlate bygningen. Jacoby ventet på at andre ansatte skulle komme inn, og bare skyndte seg etter dem. De fleste ønsker å være høflige og vil holde døren åpen hvis noen skal inn samtidig - noe de fleste skreddersydde benytter seg av. Jacoby gikk et skritt videre, i tilfelle den ansatte tenkte å spørre om å se merket. Han kledde seg litt ut for å se litt ledende ut og holdt en mobiltelefon opp mot øret som om han hadde en samtale med noen. Da han gikk gjennom døren, sa han: "Jeg er rett i lobbyen. Jeg er oppe om et øyeblikk."
Ingen vil avbryte en telefonsamtale, og hvis du formidler inntrykk av at du er noen som er viktig for å møte noen viktige, vil de fleste ikke stoppe med å avhøre deg, sa Jacoby.
Det er alltid en hub
Sikkert, å komme på nettverket måtte være litt vanskeligere, ikke sant? Det viste seg at Jacoby ikke gadd å prøve å komme på bedriftens trådløse. I stedet dro han rett til skriverommet, der det alltid er et nettverksknutepunkt for skriveren. Han koblet den bærbare datamaskinen til huben, og så lett som det var han i nettverket.
Å komme på nettverket som en gyldig bruker tok mer snakk enn hacking. Jacoby fant en ansatt som satt ved siden av skriverrommet og forklarte at han hadde problemer med nettverket. Han spurte om han kunne låne den ansattes datamaskin. Da han satte seg var fortsatt ansatt pålogget, noe som betydde at han kunne gjøre hva han ville på nettverket.
På dette tidspunktet installerte han en bakdør på nettverket, noe som ga ham full kontroll. Han trengte ikke lenger ansattes datamaskin eller legitimasjon.
Every Step Matters
Det er veldig vanskelig å forsvare seg mot samfunnsingeniør fordi det er menneskets natur å ville være hyggelig og hjelpsom. Vi ønsker å gi mennesker fordelen av tvil og ikke anta at alle er ute etter å forårsake skade, men det er akkurat denne menneskelige følelsen som får oss til å mislykkes. Selv om det er viktig å minne brukerne gjentatte ganger om at de bør logge seg ut før de lar noen andre bruke datamaskinen og ha skilt som ber de ansatte om å ikke la folk kaste seg inn på kontoret, vil folk som standard være hyggelige og hjelpsomme.
Det er også viktig å huske at små bedrifter ikke er immun. Faktisk kan de være enda mer utsatt for disse angrepene, hvis den ansatte tror personen er en IT-entreprenør eller elektriker.
Dette er grunnen til at det er så viktig å bruke teknologi for å sikre nettverket. I stedet for å la bare noen enheter som er koblet til huben komme i nettverket, kan administratorer aktivere MAC-adressebegrensninger, slik at bare kjente enheter får en gyldig IP-adresse. Etter å ha fått tilgang til nettverket, fant Jacoby at nettverket var segmentert feil, så sensitive systemer var lett tilgjengelige. Han fant utdatert og sårbar programvare. Han fant også 300 brukerkontoer med passord som aldri ble utløpt. Alle disse tingene gjorde jobben hans, som angriper, mye enklere.
Tenk som en angriper. Du vil bli overrasket over hvor sårbar organisasjonen din kan være.
