ГоловнаСвіт

Победитель хакерского чемпионата "взломал" Wal-Mart одним разговором по телефону

Социальной инженерией, напомним, называются приемы, с помощью которых атака происходит не на компьютер, а на человека, работающего с компьютером.

Победитель хакерского чемпионата "взломал" Wal-Mart одним разговором по телефону
Фото: social-engineer.org

В этом году победитель традиционного чемпионата по социальной инженерии в рамках хакерской конференции Defcon Шейн Макдугал сумел "взломать" по телефону корпоративную сеть корпорации Wal-Mart, при этом выполнив абсолютно все задания.

Социальной инженерией, напомним, называются приемы, с помощью которых хакер атакует не компьютер, а человека, работающего с компьютером. Социальные хакеры знают, как можно "взломать человека", запрограммировав его на совершение нужных действий, прибегнув, например, к трансактному анализу и нейролингвистическому программированию.

Шейн Макдугал является основателем компании в области информационной безопасности Tactical Intelligence, которая специализируется на широком спектре задач, от корпоративного шпионажа до систем защиты. Для своих клиентов он регулярно осуществляет атаки методом социальной инженерии, обзванивая сотрудников компании и проверяя, насколько они готовы к такому нападению.

Победитель чемпионата говорит, что очень важно правильно выбрать жертву: лучше всего для этого подходят сотрудники отделов продаж, которые уязвимы перед возможностью заработать деньги. Как только речь заходит о коммерческой или личной выгоде, у многих слабеет логическое мышление и пропадает осторожность.

Чемпионат по социальной инженерии Capture The Flag проходит по следующим правилам: за две недели до финального раунда каждый социальный инженер получает по электронной почте письмо с названием и URL жертвы. Каждая компания выбирается случайным образом. В этом году в список жертв попали, среди прочих, UPS, Verizon, FedEx, Shell, Exxon Mobil, Target, Cisco, Hewlett-Packard и AT&T.

Две недели инженер изучает жертву, изучая открытые источники информации, такие как Google, LinkedIn, Facebook, собственный сайт компании-жертвы и пр. На этом этапе он начинает получать очки за каждый собранный флаг, то есть за нахождение той информации, которая указана в задании. Там обычно большой список пунктов, начиная от названий фирм-партнеров до названия версии почтового клиента, который установлен у жертвы.

Конкурсанту запрещено звонить, писать письма или иным способом связываться с жертвой до финала (организаторы стараются отслеживать это и дисквалифицируют читеров). Потом проходит очный финал, где участник соревнований получает 20 минут на телефонный разговор. Шоу транслируется в зрительный зал.

Макдугал позвонил в отдел продаж компании Wal-Mart и поговорил с менеджером одного из магазинов. Хакер представился как Гэри Дарнелл и сказал, что он новый менеджер по логистике в одном из государственных учреждений. Затем взломщик заявил, что Wal-Mart может получить многомиллионный правительственный контракт, и сейчас проходит процедура изучения всех кандидатов на этот контракт.

В процессе разговора менеджер магазина сообщил базовую информацию о предприятии, расписании работы сотрудников, организации складов и т.д. Затем он сообщил, на каких компьютерах работает офис компании, какая у него версия операционной системы, браузер и марка антивируса. В конце концов, менеджер запустил браузер и зашел на адрес, который Гэри сообщил ему по телефону.

Так Шейн Макдугал (он же Гэри Дарнелл) поставил рекорд по количеству собранных флагов за три года проведения конкурса.

Читайте головні новини LB.ua в соціальних мережах Facebook, Twitter і Telegram