Video: i hacked my grandma (social engineering and pretexting) // FREE Security+ // EP 3 (Settembre 2024)
Quanto tempo impiegherebbe un utente malintenzionato a entrare in un'azienda? Accedere alla rete aziendale come utente autenticato? Se pensi che occorrerebbero alcuni giorni o anche poche ore, sei lontano, lontano.
Prova 20 minuti.
Ci sono voluti David Jacoby, un ricercatore senior per la sicurezza con il Global Research and Analysis Team presso Kaspersky Lab, tre minuti per intrufolarsi nell'edificio, quattro minuti per ottenere l'accesso alla rete, cinque minuti per ottenere l'accesso autenticato alla rete e dieci minuti per l'installazione una backdoor sulla rete aziendale. È stato in grado di scaricare e andare via con "gigabyte di dati" dell'azienda, ha detto ai partecipanti al Summit degli analisti della sicurezza di Kaspersky Lab della scorsa settimana.
Jacoby è stato invitato da una società che entra e mette alla prova le sue difese. Come si è scoperto, non ha avuto bisogno di alcun trucco di fantasia o zero-day per passare. Era tutto ingegneria sociale.
"Hanno speso così tanti soldi e io sono ancora entrato", ha detto Jacoby.
Essere gentili con i Tailgaters
La società richiedeva ai dipendenti di utilizzare un badge per entrare e uscire dall'edificio. Jacoby aspettò che altri impiegati entrassero e si affrettò a seguirli. La maggior parte delle persone vuole essere educata e manterrà la porta aperta se qualcuno entra nello stesso momento, qualcosa di cui la maggior parte dei tailgaters ne approfitta. Jacoby fece un ulteriore passo, nel caso in cui l'impiegato pensasse di chiedere di vedere il badge. Si vestì un po 'per sembrare un po' manageriale e si portò un cellulare all'orecchio come se stesse conversando con qualcuno. Mentre attraversava la porta, disse: "Sono proprio nell'atrio. Sarò sveglio tra un minuto."
Nessuno interromperà una telefonata e se trasmetti l'impressione di essere una persona importante che sta per incontrare qualcuno importante, la maggior parte delle persone non smetterà di interrogarti, Jacoby ha detto.
C'è sempre un hub
Sicuramente, entrare in rete doveva essere un po 'più difficile, giusto? Si è scoperto che Jacoby non si è preso la briga di provare ad accedere alla rete wireless aziendale. Invece, è andato direttamente nella sala stampanti, dove c'è sempre un hub di rete per la stampante. Ha collegato il suo laptop all'hub e, per quanto facile, era in rete.
Entrare in rete come utente valido ha richiesto più conversazioni che hacking. Jacoby trovò un impiegato seduto accanto alla sala delle stampanti e spiegò che aveva problemi con la rete. Ha chiesto se poteva prendere in prestito il computer dell'impiegato. Quando si sedette, il dipendente era ancora connesso, il che significava che poteva fare tutto ciò che voleva sulla rete.
A questo punto, ha installato una backdoor sulla rete, dandogli il pieno controllo. Non aveva più bisogno del computer o delle credenziali del dipendente.
Ogni passo conta
È davvero difficile difendersi dall'ingegneria sociale perché è la natura umana voler essere gentile e disponibile. Vogliamo dare alle persone il beneficio del dubbio e non dare per scontato che tutti siano fuori a causare danni, ma è proprio questa emozione umana che ci fa fallire in sicurezza. Sebbene sia importante ricordare ripetutamente agli utenti che dovrebbero disconnettersi prima di consentire a qualcun altro di utilizzare il computer e avere segni che chiedono ai dipendenti di non consentire alle persone di entrare in ufficio in modo corretto, le persone saranno automaticamente disponibili e disponibili.
È anche importante ricordare che le piccole imprese non sono immuni. In effetti, potrebbero essere ancora più sensibili a questi attacchi, se il dipendente pensa che la persona sia un appaltatore IT o un elettricista.
Ecco perché è così importante utilizzare la tecnologia per proteggere la rete. Invece di consentire a qualsiasi dispositivo collegato all'hub di accedere alla rete, gli amministratori possono abilitare le restrizioni dell'indirizzo MAC, in modo che solo i dispositivi noti ottengano un indirizzo IP valido. Dopo aver ottenuto l'accesso alla rete, Jacoby ha scoperto che la rete era segmentata in modo errato, quindi i sistemi sensibili erano facilmente accessibili. Ha trovato software obsoleti e vulnerabili. Ha anche trovato 300 account utente con password che non scadono mai. Tutte queste cose hanno reso il suo lavoro come attaccante molto più semplice.
Pensa come un attaccante. Sarai sorpreso da quanto possa essere vulnerabile la tua organizzazione.
