Namhafte Firmen leichtes Ziel für Social engineers

2013-12-28  |  Comebuy News

Für ein weiteres Jahr beteiligten Hacker nahmen Teil an einem Social-Engineering, Capture-the-Flag-Event dieses Sommers auf Sicherheitskonferenz Defcon 19. Und eine neu veröffentlichte Zusammenfassung der Erkenntnisse aus der Übung zeigen, dass Organisationen sind sehr anfällig für Social Engineering.

Comebuy Verwandte Artikel: Soziale Netzwerke-entfallen 12 % aller UK net VisitsSocial engineering Angriffe kostspieliger BusinessOffice Arbeitnehmer verlieren Instant messaging RightsTrend Micro startet Titanium 2012 Sicherheit SoftwareGoogle, inmitten der Saison von Änderungen, Produktangebote trimmen

Die Übung, genannt "The Schmooze Strikes Back," wurde von professionellen sozialen Ingenieur Christopher Hadnagy, Autor des Social Engineering organisiert: die Kunst der menschlichen Hacking und Gründer der Website Social-engineering.org. Hadnagy veröffentlicht einen Bericht über die Ergebnisse dieser Woche, die auf seiner Website gelesen werden können.

[Social-Engineering: meine Karriere als professioneller Bankräuber]

"Das Ereignis, auf das erste Jahr Erfolg erweitern die Zahl der Unternehmen, die wir riefen, die Anforderungen an Kandidaten und die Flags, die gefragt wurden gebaut", sagte Hadnagy. "Einige Dinge, die uns soeben drop unsere Kiefer wurden die Informationsmenge, die geleckt wird, alle über das Internet; offene FTPs, Dokumente markiert "Vertraulich," Kreditoren undicht, Informationen und vieles mehr. "

Hadnagy sagte Teilnehmer sah nur eine kleine Menge von Widerstand und praktisch kein Unternehmen Herunterfahren die Teilnehmer bei ihren Bemühungen um vertrauliche Informationen zu sammeln, der potenziell in einem zukünftigen Angriff gegen sie verwendet werden könnte.

Insgesamt wurden 14 Unternehmen kontaktiert von Teilnehmern, die sie enthalten Apple, AT & T, Conagra Foods, Dell, Delta Airlines, IBM, McDonalds, Oracle, Symantec, Sysco Lebensmittel, Target, United Airlines, Verizon und Walmart. Gab es 62 mögliche "Flags" oder vertrauliche Informationen erfassen und 14 wurden an zwei Tagen erfolgreich erfasst.

[Erfahren Sie Social Engineers ziehen es aus in 5 weitere schmutzige Tricks: Social Engineers neuesten heben Linien]

Teilnehmer habe online Forschung auf Ziele und kontaktierten mithilfe "Vorwand" Szenarien; vorgibt, Kunden, Mitarbeiter oder Handelsvertreter von einer anderen Organisation zu sein. Nur vier Unternehmen Teilnehmer keinen Widerstand gab, sagte Hadnagy. Unternehmen, denen Anrufer die meisten Schwierigkeiten extrahieren Daten aus hatte waren Retailbased Unternehmen, sagte er. Unternehmen wie AT & T-Speicher, Walmart, und die behandelten Kunden im Einzelhandel, die Einstellungen mehr vorsichtig und zurückhaltend zu beantworten waren Fragen und Anfragen.

Allerdings sagte sie Firmen mit großen Zentren oder Kundendienst Vertreter, wie jene in die Airline und Tech-Industrie, bezeichnen die schwächsten waren Hadnagy.

"AT & T den Kuchen nahm als die sicherste von allen mit dem höchsten Rang und Oracle wird die niedrigste erzielte", sagte Hadnagy. "Es scheint, dass Social-Engineering-Penetrationstests mehr denn je erforderlich, aber immer noch eine der am wenigsten Dienstleistungen begehrt. Lesen Ergebnisse wie dies mich wundern wenn corporate America wird aufwachen und erkennen macht, dass dieses Problem ohne auch nur die Zeit und Geld zu testen und zu erziehen, nie auch nur einen Bruchteil bekommen besser."

Lesen Sie mehr über den Datenschutz in CSOonline's-Datenschutz-Abschnitt.

« Back