Les chercheurs en sécurité Aamir Lakhani et Joseph Muniz ont démontré combien il est facile de préparer une attaque de piratage à une entreprise donnée. Les chercheurs ont illustré les principaux problèmes en ce qui concerne les grandes entreprises et leur sécurité. Ils signalent que dissemblable l'accent typique sur la sécurité qui se trouve dans les politiques de mot de passe forts et un bon logiciel de protection et matériel.
En utilisant rien, mais une ou deux photos, une ingénierie sociale intelligente, et les logiciels malveillants, les pirates ont pu compromettre un U.S. la sécurité de l'agence gouvernementale.
Les pirates ont utilisé avec succès faux Facebook et les profils sur LinkedIn pour envoyer des programmes malveillants cachés dans les différentes cartes de Noël. Ce fichier a été téléchargé sur un site Web malveillant qui a causé l'infection lorsque la carte de Noël a ouvert ses portes.
En utilisant l'ingénierie sociale, assez amusant, les pirates ont réussi à convaincre un employé d'envoyer même un ordinateur portable de travail le long avec ses mots de passe et noms d'utilisateur à l'employé faux.
Mais ce ne fut qu'un aspect du hack. Les pirates ont réussi à sortir avec des mots de passe, documents volés, et d'autres informations importantes. Non seulement cela, mais les pirates ont également gagné plein “lire et écrire” autorisations sur certains appareils, leur permettant de installer d'autres logiciels malveillants sur les ordinateurs aussi bien, comme ransomware, par exemple.
Comment Muniz et Lakhani It Off Traîné
La première étape de l'opération de piratage est l'étape de préparation. Dans ce, ils ont désigné des photos d'une employée nommée Emily, d'une autre organisation, qui n'est pas exactement technophiles et a travaillé dans un restaurant non loin de l'établissement de l'agence. Ensuite, les pirates ont pu créer une fausse identité en créant:
- numéro de sécurité sociale Frauduleux.
- Lieu de résidence.
- Diplôme universitaire faux qui lui fait un spécialiste en informatique du Texas UC.
- de fausses informations sur le travail des emplois précédents dans le domaine.
- téléphone faux et d'autres données qui peuvent se développer dans Emily une fausse identité.
La Deuxième étape des pirates était de construire l'identité faux. Ils ont commencé à ajouter des amis de l'identité fausse qui n'a rien à voir avec la femme sur l'image pour minimiser le risque d'une personne reconnaissant le profil comme faux et le signaler.
assez étonnamment, quelques heures plus tard, les pirates ont réussi à rassembler plusieurs centaines d'amis dans le profil en les ajoutant simplement. Les pirates ont réussi même à convaincre l'une des personnes qui ont ajouté le faux profil de connaître la personne en utilisant les informations du profil de la victime.
Ensuite, les cyber-criminels mis à jour le statut de la personne en tant que nouvel employé à l'agence gouvernementale. Puis, ils ont commencé à ajouter des personnes qui travaillent dans l'agence et ils ont ajouté des employés de différents départements comme les RH, services techniques et autres.
Dès que les pirates ont construit une audience, ils ont créé l'occasion parfaite pour faire leur attaque. De là, ils ont utilisé les logiciels malveillants et les employés ciblés par l'ingénierie sociale pour provoquer une infection réussie.
Que peut-on tirer de cette
Le plus grand risque dans les organisations est le facteur humain il est donc très important de toujours savoir quelles informations vous avez rendu public à d'autres puisque cette information peut se être votre faiblesse, tout comme les pirates ont fait avec faux profil d'Emily. Il est également très important de sensibiliser et d'éduquer tout le monde dans une organisation donnée à être très prudent et évaluer toujours le risque dans des situations où ils ne se sentent pas confiance.
Ventsislav Krastev
Ventsislav est expert en cybersécurité chez SensorsTechForum depuis 2015. Il a fait des recherches, couvrant, aider les victimes avec les dernières infections de logiciels malveillants ainsi que tester et examiner les logiciels et les derniers développements technologiques. Ayant obtenu leur diplôme et marketing, Ventsislav est également passionné par l'apprentissage de nouveaux changements et innovations en cybersécurité qui changent la donne. Après avoir étudié la gestion de la chaîne de valeur, Administration réseau et administration informatique des applications système, il a trouvé sa véritable vocation au sein de l'industrie de la cybersécurité et croit fermement à l'éducation de chaque utilisateur en matière de sécurité et de sûreté en ligne..
Plus de messages - Site Internet
Suivez-moi:
Merci, exactement ce qu'il faut, je crois aussi que c'est un site très superbe.
C'est en fait le genre d'informations que j'ai essayé de trouver.
Bonne journée.