Sikkerhed forskere Aamir Lakhani og Joseph Muniz har vist, hvor nemt det er at forberede et hack angreb på en given virksomhed. Forskerne har illustreret de vigtigste spørgsmål, når det kommer til større virksomheder og deres sikkerhed. De rapporterer, at den i modsætning til den typiske fokus på sikkerhed, der ligger inden for stærk adgangskode politikker og god beskyttelse software og hardware.
Ved hjælp af intet andet end et eller to billeder, nogle kloge social engineering, og malware, hackere var i stand til at kompromittere et U.S. statsligt organ sikkerhed.
Hackerne har med succes brugt en falske Facebook og LinkedIn-profiler til at sende ud malware skjult i forskellige julekort. Denne malware blev uploadet til et ondsindet websted, der forårsagede infektionen når Julekort blev åbnet.
Ved hjælp af social engineering, Skægt nok, hackere var i stand til at overbevise en medarbejder til at selv sende en arbejdsgruppe bærbar computer sammen med det adgangskoder og brugernavne til den falske medarbejder.
Men dette var blot ét aspekt af hack. Hackerne formået at slippe af sted med adgangskoder, stjålne dokumenter, og andre vigtige oplysninger. Ikke kun dette, men hackere også fået fuld “Læs og skriv” tilladelser på nogle enheder, at tillade dem at installere anden malware på computere samt, ligesom ransomware, for eksempel.
Hvordan Muniz og Lakhani trak det
Den første etape af hackere operation var forberedelsesfasen. I det, de har udpeget billeder af en kvindelig medarbejder ved navn Emily, af en anden organisation, der er ikke ligefrem teknisk dygtige og arbejdede i en restaurant ikke langt fra agenturets facilitet. Så hackere var i stand til at skabe en falsk identitet ved at skabe:
- Svigagtig nummer social sikring.
- Bopæl.
- Falske universitetsuddannet, der gør hende en it-specialist fra Texas UC.
- Falske oplysninger om at arbejde tidligere job i marken.
- Falske telefon og andre data, der kan udvikle Emily ind i en falsk identitet.
Den andet trin af hackere var at opbygge den falske identitet. De er begyndt at tilføje venner af den falske identitet, som intet har at gøre med kvinden på billedet for at minimere risikoen for en person, der anerkender den profil som falske og rapportering det.
Overraskende nok, flere timer senere hackere formået at samle flere hundrede venner i profilen ved blot at tilføje dem. Hackerne endda lykkedes at overtale en af de mennesker, der tilføjede den falske profil til at kende den person fra det ved hjælp af oplysninger fra ofrets profil.
Så de cyber-kriminelle opdateret status på den person, som en ny medarbejder i det statslige organ. Derefter, de begyndt at tilføje mennesker, der arbejder i kontoret og de tilføjede medarbejdere fra forskellige afdelinger som HR, tekniske afdelinger og andre.
Så snart hackere har opbygget nogle publikum, de har skabt den perfekte mulighed at gøre deres angreb. Derfra, de brugte malware og målrettet medarbejderne via social engineering til at forårsage en vellykket infektion.
Hvad kan man lære fra denne
Den største risiko i organisationer er den menneskelige faktor, så det er meget vigtigt altid at vide, hvilke oplysninger du har udgivet offentligt at andre, da disse oplysninger kan vise at være din svaghed, ligesom hackere gjorde med Emilys falsk profil. Det er også meget vigtigt at øge bevidstheden og uddanne alle i en given organisation til at være ekstra forsigtig og altid vurdere den risiko i situationer, hvor de ikke føler sig overbevist.
Ventsislav Krastev
Ventsislav er cybersikkerhedsekspert hos SensorsTechForum siden 2015. Han har forsket, tildækning, hjælpe ofre med de nyeste malware-infektioner plus test og gennemgang af software og den nyeste teknologiudvikling. Have uddannet Marketing samt, Ventsislav har også lidenskab for at lære nye skift og innovationer inden for cybersikkerhed, der bliver spiludskiftere. Efter at have studeret Management Chain Management, Netværksadministration og computeradministration af systemapplikationer, han fandt sit rigtige kald inden for cybersecurity-branchen og er en stærk troende på uddannelse af enhver bruger til online sikkerhed og sikkerhed.
Følg mig:
Tak, præcis hvad der er behov for, Jeg tror også, at dette er et meget fremragende websted.
Dette er faktisk den slags information, jeg har forsøgt at finde.
Hav en god dag.