I ricercatori di sicurezza Aamir Lakhani e Joseph Muniz hanno dimostrato quanto sia facile è quello di preparare un attacco di trucco in una determinata società. I ricercatori hanno illustrato i problemi principali quando si tratta di aziende di grandi dimensioni e la loro sicurezza. Essi riferiscono che la differenza l'attenzione tipico in materia di sicurezza che si trova all'interno di forti politiche di password e un buon software di protezione e hardware.
Utilizzando nient'altro che una o due foto, alcuni di ingegneria sociale intelligente, e malware, gli hacker sono riusciti a compromettere un U.S.. sicurezza di agenzia governativa.
Gli hacker hanno utilizzato con successo un falso Facebook e profili LinkedIn per inviare il malware nascosto all'interno di varie cartoline di Natale. Questo malware è stato caricato su un sito web malevolo che ha causato l'infezione quando la scheda di Natale è stato aperto.
Utilizzando tecniche di ingegneria sociale, stranamente, gli hacker sono stati in grado di convincere un dipendente di inviare anche un computer portatile di lavoro insieme con il suo password e nomi utente al dipendente falso.
Ma questo era solo un aspetto del trucco. Gli hacker sono riusciti a farla franca con le password, documenti rubati, e altre informazioni importanti. Non solo questo, ma gli hacker anche guadagnato pieno “leggere e scrivere” permessi su alcuni dispositivi, consentendo loro di installare altro malware sui computer come pure, come ransomware, per esempio.
Come Muniz e Lakhani tirato fuori
Il primo stadio dell'operazione hacker era la fase di preparazione. Dentro, hanno designato le immagini di una dipendente di nome Emily, di un'altra organizzazione, che non è esattamente esperto di tecnologia e ha lavorato in un ristorante non lontano dalla struttura dell'agenzia. Poi gli hacker sono stati in grado di creare una falsa identità con la creazione di:
- il numero di previdenza sociale fraudolenta.
- Residenza.
- Laurea falso che la rende uno specialista IT dal Texas UC.
- informazioni false su come lavorare i lavori precedenti nel campo.
- telefono falso e altri dati che possono sviluppare Emily in una falsa identità.
Il seconda fase degli hacker è stato quello di costruire la falsa identità. Hanno iniziato ad aggiungere amici della falsa identità che non hanno nulla a che fare con la donna sopra l'immagine per ridurre al minimo il rischio che qualcuno riconoscere il profilo come falso e segnalazione esso.
sorprendentemente, diverse ore dopo gli hacker sono riusciti a raccogliere le diverse centinaia di amici nel profilo semplicemente aggiungendoli. Gli hacker riuscirono addirittura a convincere una delle persone che hanno aggiunto il profilo falso per conoscere la persona da esso utilizzando le informazioni del profilo della vittima.
Poi i cyber-criminali aggiornato lo status della persona come un nuovo dipendente in agenzia governativa. Poi, hanno iniziato ad aggiungere persone che lavorano in agenzia e hanno aggiunto dipendenti di diversi reparti come HR, uffici tecnici e gli altri.
Non appena gli hacker hanno costruito un po 'pubblico, hanno creato l'occasione perfetta per rendere il loro attacco. Da lì, hanno usato malware e mirati i dipendenti attraverso l'ingegneria sociale per provocare un'infezione di successo.
Cosa si può imparare da questo
Il rischio più grande nelle organizzazioni è il fattore umano, quindi è molto importante sapere sempre quali sono le informazioni che avete rilasciato pubblicamente per gli altri in quanto queste informazioni possono rivolgersi a essere la vostra debolezza, proprio come gli hacker hanno fatto con il profilo falso di Emily. E 'anche molto importante per sensibilizzare ed educare tutti in una determinata organizzazione per essere più cauti e sempre asini il rischio in situazioni in cui non si sentono sicuri.
Ventsislav Krastev
Da allora Ventsislav è un esperto di sicurezza informatica di SensorsTechForum 2015. Ha fatto ricerche, copertura, aiutare le vittime con le ultime infezioni da malware oltre a testare e rivedere il software e gli ultimi sviluppi tecnologici. Avendo Marketing laureato pure, Ventsislav ha anche la passione per l'apprendimento di nuovi turni e innovazioni nella sicurezza informatica che diventano un punto di svolta. Dopo aver studiato la gestione della catena del valore, Amministrazione di rete e amministrazione di computer delle applicazioni di sistema, ha trovato la sua vera vocazione nel settore della cibersicurezza ed è un convinto sostenitore dell'educazione di ogni utente verso la sicurezza online.
Seguimi:
Grazie, esattamente ciò che è necessario, Anch'io credo che questo sia un sito web davvero eccezionale.
Questo è in realtà il tipo di informazioni che ho cercato di trovare.
Buona giornata.