組織をハッキングするのは簡単です

セキュリティ研究者のAamirLakhaniとJosephMunizは、特定の企業でのハッキング攻撃の準備がいかに簡単であるかを実証しました。. 研究者たちは、大企業とそのセキュリティに関する主な問題を説明しました. 彼らは、強力なパスワードポリシーと優れた保護ソフトウェアおよびハードウェア内にあるセキュリティへの典型的な焦点とは異なり、.

1枚か2枚の写真だけを使う, いくつかの賢いソーシャルエンジニアリング, とマルウェア, ハッカーは米国を危険にさらすことができました. 政府機関のセキュリティ.

ハッカーは首尾よく使用しました 偽のFacebook さまざまなクリスマスカードに隠されたマルウェアを送信するLinkedInプロファイル. このマルウェアは、クリスマスカードが開かれたときに感染を引き起こした悪意のあるWebサイトにアップロードされました.

ソーシャルエンジニアリングの使用, おかしなことに, ハッカーは、パスワードとユーザー名とともに動作中のラップトップを偽の従業員に送信するように従業員を説得することができました。.

しかし、これはハックの1つの側面にすぎませんでした. ハッカーはなんとかパスワードで逃げることができました, 盗まれた文書, およびその他の重要な情報. これだけでなく、ハッカーも完全に獲得しました “読み書き” 一部のデバイスの権限, それらを許可する 他のマルウェアをインストールする コンピューターでも, ランサムウェアのように, 例えば.

The 第一段階 ハッカー作戦の準備段階でした. 初期化, 彼らはエミリーという名前の女性従業員の写真を指定しました, 別の組織の, 技術に精通しておらず、代理店の施設からそれほど遠くないレストランで働いていた人. その後、ハッカーは作成することによって偽のアイデンティティを作成することができました:

• 不正な社会保障番号.
• 住んでいる場所.
• 彼女をテキサスUCのITスペシャリストにする偽の大学の学位.
• 現場での以前の仕事に関する偽の情報.
• エミリーを偽のアイデンティティに発展させる可能性のある偽の電話やその他のデータ.

The 第2段 ハッカーの多くは偽のアイデンティティを構築することでした. 彼らは、誰かがプロフィールを偽物として認識し、それを報告するリスクを最小限に抑えるために、写真の女性とは何の関係もない偽のアイデンティティの友人を追加し始めました.

驚くべきことに, 数時間後、ハッカーは単に友達を追加するだけで、プロフィールに数百人の友達を集めることができました。. ハッカーは、被害者のプロファイルからの情報を使用して、偽のプロファイルを追加した人の1人にその人を知るように説得することさえできました。.

その後、サイバー犯罪者は、政府機関の新入社員としてのステータスを更新しました. それで, 彼らは代理店で働いている人々を追加し始め、HRのようなさまざまな部門からの従業員を追加しました, 技術部門など.

ハッカーが何人かの聴衆を集めたらすぐに, 彼らは絶好の機会を生み出しました 彼らの攻撃をするために. そこから, 彼らはマルウェアを使用し、ソーシャルエンジニアリングを介して従業員を標的にして感染を成功させました.

これから何を学ぶことができるか

組織における最大のリスクは人的要因であるため、この情報があなたの弱点になる可能性があるため、他の人に公開した情報を常に知ることは非常に重要です。, ハッカーがエミリーの偽のプロフィールで行ったように. また、意識を高め、特定の組織の全員に特に注意を払い、自信がない状況では常にリスクを評価するように教育することも非常に重要です。.