ハッカーがソーシャルエンジニアリングをどのように使用するかのケーススタディ - ダム

ビデオ: セブンペイがハッキングされた件について、現役エンジニアが語る傾向と対策 2024

このケーススタディでは、プロのソーシャルエンジニア、アイラウィンクラーは、ソーシャルエンジニアリングをハックする方法について喜んで興味深い研究を共有しました。これは、注意を払わないとハッキングされる可能性があるという主な例です！

状況

Winklerの顧客は、組織のセキュリティ意識レベルの一般的な指標を求めていました。アイラと彼の共犯者は金の壺のために行って、社会的工学に対する組織の感受性をテストしました。

<！最初に、彼らは建物の正面玄関をスコープし、レセプションエリアとセキュリティデスクが大きなロビーの真ん中にあり、受付係員であることを発見しました。翌日、2人の男性は、朝の急いで建物の中を歩きながら、携帯電話で話すようなふりをしました。彼らは歩行者から少なくとも15フィートのところにとどまり、歩いている間彼女を無視した。彼らが施設内に入った後、彼らは店を開設するための会議室を見つけた。彼らは残りの日を計画するために座って、設備のバッジが素晴らしいスタートになると決めた。ウィンクラー氏は主な情報番号を呼び出し、バッジを作る事務所を求めました。

<！ - 2 - >

彼はレセプション/セキュリティデスクに送られました。 IraはCIOのふりをして、もう片方の人に、2人の下請け業者のバッジを欲しかったと言った。その人は、「下請け業者をメインロビーに送ってください。 "ウィンクラーと彼の共犯者が到着したとき、制服の警備員は彼らが何をしているのかを尋ね、彼らはコンピュータについて言及した。その後、警備員はコンピュータルームへのアクセスが必要かどうか尋ねました！もちろん彼らはそれが助けになると言った。 "

<！ - 3 - >

数分で、両方のオフィスエリアとコンピュータオペレーションセンターにアクセスできるバッジを持っていました。彼らは地下室に行き、バッジを使ってメインコンピュータ室のドアを開けた。 Windowsサーバーにアクセスし、ユーザー管理ツールをロードし、新しいユーザーをドメインに追加し、ユーザーを管理者グループのメンバーにすることができました。その後、彼らはすぐに出発した。

2人の男性は、2時間以内に管理者権限で企業ネットワーク全体にアクセスできました。また、バッジを使用して、建物の時間外のウォークスルーを実行しました。そうしている間、彼らは最高経営責任者（CEO）のオフィスの鍵を見つけ、モックバグを植えた。

結果

チーム外の誰も、事後に話されるまで、2人の男が何をしたのか分かっていませんでした。従業員に知らされた後、ガード監督者はMr.ウィンクラーとバッジを発行した人を知りたがっていました。ウィンクラー氏は、セキュリティーオフィスが誰がバッジを発行したかを知らなかったという事実は、それ自体の問題であり、その情報を開示していないということを彼に伝えました。

これはどうして防止できたか