20 분 안에 기업 기밀을 도출하는 방법 : Ask

Fortune 500 기업 중 일부는 웹 브라우저를 업그레이드해야합니다. 사회 공학에 대한 사내 교육도 나쁜 생각이 아닙니다. 사회 공학 해커 - 직원을 속여서 일을해서는 안되는 일들을 말하는 사람들 - - Defcon 금요일 경연 대회에서 Fortune 500에서 가장 좋은 결과를 얻었고, 당신이 옳은 거짓말만을 말하면 사람들에게 이야기하는 것이 얼마나 쉬운지를 보여주었습니다. Defcon과 Black Hat 보안 컨퍼런스는 라스베가스에서 열리고 있습니다. 이번 주 베가스

[추가 정보: Windows PC에서 악성 코드 제거 방법]

Microsoft, Cisco Systems, Apple, Shell을 비롯한 대기업의 IT 직원이 모든 정보를 포기하도록했습니다. 사용중인 브라우저 및 버전 번호 (금요일에 처음 두 회사가 IE6을 사용함), pdf 문서를 열 때 사용하는 소프트웨어, 운영 체제 및 서비스 팩 번호, 메일 클라이언트 등을 포함한 컴퓨터 공격에 사용될 수 있습니다. 그들이 사용하는 바이러스 백신 소프트웨어, 심지어는 자신의 로컬 무선 네트워크.

처음 2 명의 참가자가보기 쉽게 만들었습니다.

호주의 보안 컨설턴트 인 Wayne은 금요일 아침에 처음으로 성을 발표하지 않았습니다. 그의 사명: 미국의 주요 기업으로부터 데이터를 얻으십시오. (IDG News Service는 잠재적 인 보안 위험 때문에 어떤 회사가 어떤 공격에 노출되었는지보고하지 않기로 결정했습니다.)

청중 앞에서 방음 장치를 갖춘 부스 뒤에 앉아서 그는 IT 콜 센터와 연결되어 Ledoi라는 직원. 마감 기한 압력으로 감사를 실시한 KPMG 컨설턴트 인 척하면서 Wayne은 세부 사항을 발표하면서 큰 시간을 보냈습니다.

Wayne은 직원 번호 요청을 무시하고 그의 상사가 등에 관한 이야기에 즉시 착수했습니다. 이 감사를 마무리해야하는 이유 그는 한 달 동안 새로운 고용주와 만 만난 노동자에 대한 오스트레일리아의 매력을 연구했습니다. 수분 만에 웨인에게 그가 원했던 어떤 정보라도 거의 기꺼이 들려주고있는 것처럼 보였습니다. 어느 시점에서 웨인이 설립 한 가짜 KMPG 웹 페이지를 방문하기도했습니다.

그는 맥주를 사겠다고 약속 한 전화를 끊었습니다.

"어떤 맥주를 좋아하니?"

"지금 나는 블루 문 킥을하고있다."

부름 후 인터뷰에서 웨인은 자신의 행운을 믿을 수 없었다. "나는 그들이 꽤 큰 회사라고 생각 했었고 많은 내부 감사를 수행했음을 알고 있습니다."

나중에 콘테스트 조직 위원은 그의 노력이 그 당시 최고라고 말했습니다. 그러나 표적이 된 모든 사람들은 정보를 포기했습니다. 콘테스트 창립자 중 한 명인 Chris Hadnagy는 희생자가 비밀번호와 같은 민감한 정보를 물어봤을 것이라고 생각합니다. "

콘테스트 규칙은 민감한 정보를 요구하거나 정부 나 금융 기관과 같은 특정 유형의 조직을 목표로하는 것을 금지했다. 그렇더라도 경연 대회는 시작하기 전에도 신경을 덜컹 거리게했습니다. 지난 달, Hadnagy는 콘테스트에 관해 묻는 FBI로부터 전화를 받았다.

웨인은 보안 컨설턴트로 일하면서 15 년간이 유형의 사회 공학을 해왔으며, 앞으로 20 시간의 정찰을했다. 대회. 그는 IT 콜센터에 도달하는 방법과 그가 통과 할 때 어떤 이름이 떨어질지를 알고있었습니다.

그는 그와 같은 친환경 직원을 얻음으로써 운이 좋았다고 인정했습니다. 그러나 새로운 직원이 최고의 출처를 만듭니다. "만약 당신이 회사에서 고액 인 사람을 선택하면 아무 것도 얻지 못할 것"이라고 그는 말했다. "그들은 잃을 것이 많습니다."

2 번 선수 인 Shane MacDougall은 콜센터를 건너 뛰고 다른 잘 알려진 회사의 보안 요원에게 직접 가기로 결정했습니다. 그는 CSO Magazine에 대한 설문 조사를 실시한다고 주장하면서보다 절제된 접근 방식을 취했습니다.

그가 도달 한 첫 번째 사람은 자신이하고있는 일을 알고 있었고, "나는 이것들이 내가 편안하게 대답 할 수없는 특정한 질문들이다."라고 대답하면서 거절했지만 정중하게 MacDougall을 닫았습니다.

25 분 근무. 그래서 시계를 똑딱 거리면서 MacDougall은 2 개월 동안 회사와 함께 있었던 보안 공학 부서의 계약 직원 인 그의 다음 마르크에 대해 재수가되었습니다. 직업 만족도와 카페테리아 음식의 품질에 대한 몇 가지 소프트볼 질문을 한 후 그는 하드 데이터를 사용했습니다.

제공되는 점수: 운영 체제: Windows XP, 서비스 팩 3; 안티 바이러스: McAfee VirusScan 8.7; 전자 메일: Outlook 2003, 서비스 팩 3; 브라우저: IE 6.

MacDougall은 웹 사이트를 방문하여 25 달러짜리 설문 조사 쿠폰을 수령하고 작업자가 응했다. ​​

일요일까지 Defcon에서 컨테스트가 진행된다. 수상자는 iPad를 얻습니다.

Robert McMillan은 IDG News Service의 컴퓨터 보안 및 일반 기술 관련 뉴스를 다루고 있습니다. @bobmcmillan의 Twitter에서 Robert를 팔로우하십시오. Robert의 전자 메일 주소는 [email protected]입니다.