Bagaimana Mencuri Rahsia Korporat dalam 20 Menit: Tanya

Beberapa syarikat dalam Fortune 500 perlu menaik taraf pelayar web mereka. Dan sementara mereka berada di sana, sedikit latihan dalam bidang kejuruteraan sosial tidak akan menjadi idea yang buruk, sama ada.

Peretas kejuruteraan sosial - orang yang menipu pekerja untuk melakukan dan mengatakan perkara yang mereka tidak patut - - mengambil tembakan terbaik di Fortune 500 semasa pertandingan di Defcon Jumaat dan memperlihatkan betapa mudahnya untuk membuat orang bercakap, sekiranya anda memberitahu kebohongan yang betul.

Pertandingan keselamatan Defcon dan Black Hat sedang berlaku di Las Vegas minggu ini.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]

Peserta mendapat kakitangan IT di syarikat besar, termasuk Microsoft, Cisco Systems, Apple, dan Shell, untuk menyerahkan semua maklumat yang boleh digunakan dalam serangan komputer, termasuk apa peramban dan nombor versi yang mereka gunakan (kedua-dua syarikat pertama yang dipanggil hari Jumaat menggunakan IE6), perisian apa yang mereka gunakan untuk membuka dokumen pdf, sistem operasi dan nombor paket perkhidmatan, klien mel mereka, perisian antivirus yang mereka gunakan, dan juga nama

Dua peserta pertama menjadikannya mudah. ​​

Wayne, seorang perunding keselamatan dari Australia yang tidak akan memberikan nama terakhirnya, adalah pertama kali pagi Jumaat. Misi beliau: Dapatkan data dari syarikat A.S. utama. (IDG News Service telah memilih untuk tidak melaporkan mana syarikat-syarikat jatuh ke mana serangan kerana kemungkinan risiko keselamatan.)

Duduk di belakang gerai bunyi-bukti sebelum penonton, dia berkaitan dengan pusat panggilan IT dan mendapat pekerja bernama Ledoi bercakap. Dengan berpura-pura menjadi perunding KPMG melakukan pemeriksaan di bawah tekanan deadline, Wayne membuatnya terperinci, masa yang besar.

Wayne mengabaikan permintaan untuk nombor pekerja dan dilancarkan dengan segera ke dalam cerita tentang bagaimana bosnya berada di punggungnya, dan bagaimana dia benar-benar perlu mendapatkan audit ini selesai. Dia bekerja dengan pesona Aussie pada pekerja itu, yang hanya bekerja dengan majikan barunya selama sebulan. Dalam beberapa minit, ia seolah-olah bersedia untuk memberi Wayne banyak maklumat yang dia mahu - pada satu ketika dia juga melawat laman web KMPG yang palsu yang ditubuhkan Wayne.

Dia menamatkan panggilan menjanjikan untuk membeli pekerja bir

"Apa bir yang anda suka?"

"Sekarang saya berada di tendangan Blue Moon."

Dalam satu wawancara selepas panggilan itu, Wayne tidak dapat percaya nasibnya. "Saya fikir mereka adalah syarikat yang cukup besar dan saya tahu mereka melakukan banyak audit keselamatan dalaman."

Kemudian, penganjur pertandingan mengatakan bahawa usaha beliau adalah yang terbaik pada hari itu. Tetapi setiap orang yang disasarkan memberikan maklumat. Chris Hadnagy, salah seorang pengasas pertandingan itu, percaya mangsa akan memberikan maklumat sensitif seperti kata laluan yang telah diminta. "Mereka akan memberikan gambar keluarga mereka jika mereka memintanya," katanya.

Peraturan peraduan dilarang meminta sebarang maklumat sensitif, atau menargetkan beberapa jenis organisasi seperti kerajaan atau institusi kewangan. Walaupun demikian, peraduan itu meretas saraf sebelum ia bermula. Wayne, yang telah melakukan kejuruteraan sosial jenis ini selama 15 tahun dalam tugasnya sebagai perunding keselamatan, berkata bahawa dia melakukan kira-kira 20 jam peninjauan di hadapan peraduan ini. Dia tahu bagaimana untuk mencapai pusat panggilan IT dan nama apa yang akan diturunkan ketika dia melangkah.

Dia mengakui bahawa dia akan beruntung dengan mendapat pekerja hijau itu. Tetapi pekerja baru membuat sumber terbaik. "Jika anda memilih seseorang yang orang yang tinggi di syarikat itu, anda tidak akan dapat apa-apa," katanya. "Mereka telah banyak kalah."

Nombor dua pesaing, Shane MacDougall, memutuskan untuk melangkau pusat panggilan dan pergi ke kanan untuk kakitangan keselamatan di satu lagi syarikat terkenal. Beliau mengambil pendekatan yang lebih menekan butang, mendakwa melakukan tinjauan untuk Majalah OMS.

Orang pertama yang dia dapat tahu tahu apa yang dia lakukan, dan tegas tetapi dengan sopan menutup MacDougall setelah menolak untuk menjawab beberapa soalan, berkata, "Ini adalah soalan khusus yang saya tidak selesa menjawab."

Peserta diberi hanya 25 minit untuk bekerja. Jadi dengan jam yang berdetik, MacDougall beruntung pada tanda seterusnya - pekerja kontrak di jabatan kejuruteraan keselamatan yang telah bersama syarikat itu selama dua bulan. Selepas beberapa pertanyaan mengenai masalah kepuasan kerja dan kualiti makanan kafeteria, dia pergi untuk data keras.

Tanda yang disampaikan: sistem operasi: Windows XP, paket perkhidmatan 3; antivirus: McAfee VirusScan 8.7; e-mel: Outlook 2003, paket perkhidmatan 3; pelayar: IE 6.

MacDougall kemudiannya memberitahunya untuk melawat laman web untuk mengutip kupon tinjauan bernilai AS $ 25, dan pekerja itu mematuhi.

Peraduan ini berjalan di Defcon hingga Ahad. Pemenang mendapat iPad.

Robert McMillan merangkumi berita keselamatan komputer dan teknologi berita umum untuk The News Service IDG. Ikut Robert di Twitter di @bobmcmillan. Alamat e-mel Robert [email protected]