Wie Sie Unternehmensgeheimnisse in 20 Minuten stehlen: Fragen Sie

Einige Unternehmen der Fortune 500 müssen ihre Webbrowser aktualisieren. Und während sie dabei sind, wäre auch ein kleines Inhouse-Training zum Thema Social Engineering keine schlechte Idee.

Social-Engineering-Hacker - Leute, die Mitarbeiter dazu bringen, Dinge zu tun und Dinge zu sagen, die sie nicht sollten - - haben während eines Wettbewerbs am Defcon Friday ihr Bestes gegeben und gezeigt, wie einfach es ist, Leute zum Reden zu bringen, wenn Sie nur die richtige Lüge erzählen.

Die Sicherheitskonferenzen von Defcon und Black Hat finden in Las statt Vegas diese Woche.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Die Teilnehmer haben IT-Mitarbeiter in Großunternehmen wie Microsoft, Cisco Systems, Apple und Shell dazu gebracht, alle möglichen Informationen aufzugeben könnte bei einem Computerangriff verwendet werden, einschließlich des verwendeten Browsers und der Versionsnummer (die ersten beiden Unternehmen mit dem Namen Freitag verwendeten IE6), welche Software sie zum Öffnen von PDF-Dokumenten verwenden, ihr Betriebssystem und ihre Service Pack-Nummer, ihr Mail-Client, die Antivirus-Software, die sie verwenden, und sogar den Namen von ihr lokales drahtloses Netzwerk.

Die ersten zwei Kandidaten ließen es einfach aussehen.

Wayne, ein Sicherheitsberater aus Australien, der seinen Nachnamen nicht gab, war zuerst Freitagmorgen. Seine Mission: Holen Sie sich Daten von einem großen US-Unternehmen. (IDG News Service hat sich entschieden, nicht zu berichten, welche Unternehmen aufgrund möglicher Sicherheitsrisiken für welche Angriffe starben.)

Er saß hinter einer schalldichten Kabine vor einem Publikum und verband sich mit einem IT-Call-Center und holte einen Mitarbeiter namens Ledoi ins Gespräch. Er gab vor, ein KPMG-Berater zu sein, der ein Audit unter Termindruck durchführte, und brachte ihn dazu, Einzelheiten zu verschicken.

Wayne ignorierte eine Anfrage nach einer Angestelltennummer und begann sofort mit einer Geschichte darüber, wie sein Chef auf dem Rücken lag wie er wirklich brauchte, um dieses Audit zu beenden. Er arbeitete mit seinem australischen Charme an dem Arbeiter, der erst seit einem Monat bei seinem neuen Arbeitgeber war. Innerhalb weniger Minuten schien er bereit zu sein, Wayne so ziemlich jede Information zu geben, die er wollte - an einem Punkt besuchte er sogar eine gefälschte KMPG Webseite, die Wayne eingerichtet hatte.

Er beendete den Anruf und versprach dem Angestellten ein Bier zu kaufen.

"Welches Bier magst du?"

"Im Moment bin ich auf einem Blue Moon-Kick."

In einem Interview nach dem Anruf konnte Wayne sein Glück nicht fassen. "Ich dachte, sie sind eine ziemlich große Firma und ich weiß, dass sie viele interne Sicherheitsaudits durchgeführt haben."

Später sagten die Organisatoren des Wettbewerbs, dass seine Bemühungen die besten des Tages gewesen seien. Aber jeder, der ins Visier genommen wurde, gab Informationen auf. Chris Hadnagy, einer der Gründer des Wettbewerbs, glaubt, dass die Opfer sensible Informationen wie Passwörter weitergegeben hätten, wenn sie gefragt worden wären. "Sie hätten Bilder von ihrer Familie gegeben, wenn sie danach gefragt hätten", sagte er.

In den Wettbewerbsregeln war es verboten, nach sensiblen Informationen zu fragen oder bestimmte Arten von Organisationen wie Regierungen oder Finanzinstitute anzugreifen. Trotzdem rüttelte der Wettbewerb schon bevor er angefangen hatte, die Nerven. Letzten Monat erhielt Hadnagy einen Anruf vom FBI, in dem er nach dem Wettbewerb fragte.

Wayne, der diese Art von Social Engineering seit 15 Jahren in seinem Job als Sicherheitsberater macht, sagte, dass er vor rund 20 Stunden aufklärte der Wettbewerb. Er wusste, wie er das IT-Call-Center erreichen konnte und welche Namen er fallen lassen sollte, wenn er durchkam.

Er räumte ein, dass er Glück gehabt hatte, indem er so einen grünen Angestellten bekommen hatte. Aber neue Mitarbeiter machen die besten Quellen. "Wenn Sie jemanden auswählen, der eine hochgestellte Person in der Firma ist, werden Sie nichts bekommen", sagte er. "Sie haben eine Menge zu verlieren."

Der zweite Kandidat, Shane MacDougall, beschloss, das Call-Center zu überspringen und sich für das Sicherheitspersonal einer anderen bekannten Firma zu bewerben. Er nahm einen eher knappen Ansatz an und behauptete, eine Umfrage für das CSO Magazine durchzuführen.

Die erste Person, die er erreichte, wusste, was er tat, und schloss MacDougall fest, aber höflich, nachdem sie sich geweigert hatte, ein paar Fragen zu beantworten: "Das sind spezielle Fragen, die ich nicht beantworten kann."

Teilnehmer wurden nur gegeben 25 Minuten zur Arbeit. Mit der Zeit tippte MacDougall auf seine nächste Marke - ein Vertragsarbeiter in der Abteilung für Sicherheitstechnik, der zwei Monate bei der Firma war. Nach einigen Softball-Fragen zur Arbeitszufriedenheit und der Qualität des Cafeteria-Essens ging er auf die harten Daten ein.

Die gelieferte Marke: Betriebssystem: Windows XP, Service Pack 3; Virenschutz: McAfee VirusScan 8.7; E-Mail: Outlook 2003, Servicepack 3; Browser: IE 6.

MacDougall hat ihm dann gesagt, dass er eine Website besuchen soll, um seinen Umfragecoupon in Höhe von 25 US-Dollar abzuholen, und der Mitarbeiter hat dem zugestimmt.

Der Wettbewerb läuft bis Sonntag in Defcon. Der Gewinner bekommt ein iPad.

Robert McMillan berichtet über Computer-Sicherheit und allgemeine Technologie-Neuigkeiten für den IDG News Service. Folge Robert auf Twitter unter @bobmcmillan. Roberts E-Mail-Adresse lautet [email protected]