Comment Devenir Riche En Partant De Rien (La Meilleure Méthode)
Quelques entreprises du classement Fortune 500 ont besoin de mettre à jour leurs navigateurs Web. Et pendant qu'ils y sont, une petite formation interne sur l'ingénierie sociale ne serait pas non plus une mauvaise idée.
Des hackers d'ingénierie sociale - des gens qui incitent les employés à faire et à dire des choses qu'ils ne devraient pas faire - - a tiré son épingle du jeu au Fortune 500 lors d'un concours au Defcon Friday et a montré combien il est facile de faire parler les gens, si seulement vous dites le bon mensonge.
Les conférences de sécurité Defcon et Black Hat ont lieu à Las Vegas
[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]Les concurrents ont recruté des informaticiens dans de grandes entreprises, notamment Microsoft, Cisco Systems, Apple et Shell, pour leur donner toutes sortes d'informations pourrait être utilisé dans une attaque informatique, y compris le navigateur et le numéro de version qu'ils utilisaient (les deux premières sociétés appelées Friday utilisaient IE6), quel logiciel ils utilisent pour ouvrir les documents pdf, leur système d'exploitation et numéro de service pack, leur client mail, le logiciel antivirus qu'ils utilisent, et même le nom de
Les deux premiers participants semblaient faciles.
Assis derrière une cabine insonorisée devant un public, il s'est connecté à un centre d'appel informatique et a fait parler Ledoi. Prétendant être un consultant de KPMG effectuant une vérification sous la pression du délai, Wayne l'a fait déborder des détails, un grand moment.
Wayne a ignoré une demande de numéro d'employé et a immédiatement lancé une histoire sur la façon dont son patron était sur son dos. comment il avait vraiment besoin de terminer cet audit. Il a travaillé son charme australien sur le travailleur, qui avait seulement été avec son nouvel employeur pendant un mois. En quelques minutes, il semblait vouloir donner à Wayne à peu près toutes les informations qu'il voulait - à un moment donné, il avait même visité une fausse page Web de KMPG que Wayne avait mise en place.
Il a terminé l'appel promettant d'acheter une bière
"Quelle bière aimez-vous?"
"En ce moment, je suis sur un coup de pied Blue Moon."
Dans une interview après l'appel, Wayne ne pouvait pas croire à sa chance. «Je pensais que c'était une assez grosse entreprise et je sais qu'ils ont fait beaucoup de vérifications de sécurité à l'interne.»
Plus tard, les organisateurs du concours ont déclaré que ses efforts étaient les meilleurs de la journée. Mais tous ceux qui ont été ciblés ont renoncé à l'information. Chris Hadnagy, l'un des fondateurs du concours, croit que les victimes auraient donné des informations sensibles telles que des mots de passe si on leur avait demandé. "Ils auraient donné des photos de leur famille s'ils l'avaient demandé", at-il dit.
Les règles du concours interdisaient de demander des informations sensibles ou de cibler certains types d'organisations telles que le gouvernement ou les institutions financières. Même ainsi, la lutte a ébranlé les nerfs avant même qu'elle ait commencé. Le mois dernier, Hadnagy a reçu un appel du FBI demandant à propos du concours.
Wayne, qui a fait ce genre d'ingénierie sociale pendant 15 ans dans son travail de consultant en sécurité, a dit avoir fait environ 20 heures de reconnaissance avant la compétition. Il savait comment atteindre le centre d'appel informatique et quels noms laisser tomber quand il arrivait.
Il a admis qu'il avait eu de la chance en obtenant un employé aussi vert. Mais les nouveaux employés font les meilleures sources. "Si vous choisissez quelqu'un de haut placé dans l'entreprise, vous n'obtiendrez rien", a-t-il dit. «Ils ont beaucoup à perdre.»
Le candidat numéro deux, Shane MacDougall, a décidé de passer outre le centre d'appels et d'aller droit au personnel de sécurité d'une autre entreprise bien connue. Il a adopté une approche plus décousue, prétendant mener une enquête pour le magazine CSO.
La première personne à qui il a parlé savait ce qu'il faisait, et ferma fermement mais poliment MacDougall après avoir refusé de répondre à quelques questions, disant: «Ce sont des questions précises auxquelles je ne me sens pas à l'aise de répondre.»
25 minutes pour travailler. Alors que le temps passait, MacDougall a eu de la chance pour sa prochaine note - un employé à contrat du département d'ingénierie de la sécurité qui était avec l'entreprise depuis deux mois. Après quelques questions de softball sur la satisfaction au travail et la qualité de la nourriture de la cafétéria, il est allé chercher les données matérielles.
La note délivrée: système d'exploitation: Windows XP, Service Pack 3; antivirus: McAfee VirusScan 8.7; courrier électronique: Outlook 2003, Service Pack 3; navigateur: IE 6.
MacDougall lui a alors dit de visiter un site Web pour recueillir son coupon de sondage de 25 $ US, et le travailleur s'est conformé.
Le concours se déroule à Defcon jusqu'à dimanche. Le gagnant reçoit un iPad.
Robert McMillan couvre la sécurité informatique et les nouvelles de dernière heure pour The IDG News Service. Suivez Robert sur Twitter à @bobmcmillan. L'adresse électronique de Robert est [email protected]
Un ancien vice-président de Hewlett-Packard plaide coupable d'avoir volé des secrets commerciaux à IBM. Un ancien vice-président des services d'imagerie et d'impression chez Hewlett-Packard a plaidé coupable d'avoir volé des secrets commerciaux à IBM, a annoncé le ministère américain de la Justice. Atul Malhotra, 42 ans, de Santa Barbara, Californie avec un chef de vol de secrets commerciaux, et il a plaidé coupable vendredi à la Cour de district des États-Unis pour le district nord de la C
En mars 2006, alors qu'il travaillait encore chez IBM, Malhotra a demandé et reçu des informations confidentielles. informations sur les coûts des produits et des matériaux, a déclaré le DOJ. Le mémo qu'il a reçu a été marqué confidentiel sur chaque page, et un coordinateur de prix chez IBM Global Services a dit à Malhotra de ne pas distribuer l'information, dit le DOJ.
De plus en plus d'employés ignorent les politiques de sécurité des données et s'engagent dans des activités susceptibles de mettre en danger une entreprise, selon un sondage publié mercredi par le Ponemon Institute. aux lecteurs USB ou désactiver les paramètres de sécurité dans les appareils mobiles comme les ordinateurs portables, ce qui pourrait mettre en danger les données d'une entreprise, selon l'enquête. Le taux de comportements non conformes a été plus faible dans ce dernier sondage compa
Environ 69% des 967 informaticiens interrogés ont déclaré avoir copié des données confidentielles sur des clés USB , même si c'était contre les règles. Certains ont même perdu des clés USB qui stockent des données d'entreprise confidentielles, mais ne les ont pas signalées immédiatement.
Les secrets pour optimiser vos 15 minutes sur YouTube
YouTube a prolongé le délai maximum de 15 minutes, offrant aux entreprises intelligentes une plate-forme marketing et communications - 15 minutes à la fois.