Topline
Rockstar Games, razvijalci priljubljene serije video iger Grand Theft Auto, so bili kramp le nekaj dni po tem, ko so bili strežniki Uberjevega velikana za naročanje prevozov tarča podobnega vdora, domnevno s strani istega hekerja, ki je uporabil proces, imenovan socialni inženiring, zelo učinkovit način napada, ki temelji na zavajanju zaposlenih v ciljnem podjetju in ga je težko zaščititi proti.
Domnevni najstniški heker je uspel vdreti v interno zbirko podatkov Rockstar Games in pricurljal … [+]
AFP prek Getty Images
Ključna dejstva
Podoben Uber kramp, heker z vzdevkom "TeaPot", je trdil, da je pridobil dostop do internih sporočil Rockstar Games na Slacku in zgodnje kode za njihovo nenapovedano nadaljevanje Grand Theft Auto dostop poverilnicam za prijavo zaposlenega.
Medtem ko natančne podrobnosti kršitve Rockstarja niso jasne, je v Uberjevem primeru heker trdil, maskiral se je kot IT oseba v podjetju in prepričal zaposlenega, da je delil svoje poverilnice za prijavo.
Za razliko od drugih načinov napadov, ki se opirajo na napake v varnostni arhitekturi podjetja, socialni inženiring cilja na ljudi in temelji na manipulaciji in prevari.
Strokovnjaki trditi da ljudje še vedno ostajajo »najšibkejši člen« kibernetske varnosti, saj jih je mogoče zlahka zavesti, da kliknejo zlonamerne povezave ali delijo svoje poverilnice za prijavo.
Za razliko od drugih metod je socialni inženiring učinkovit tudi pri premagovanju nekaterih povečanih varnostni ukrepi kot so enkratna gesla in druge metode večfaktorske avtentikacije.
Ključni citat
Rachel Tobac, izvršna direktorica družbe za kibernetsko varnost SocialProof Security in strokovnjakinja za socialni inženiring tweeted: »Huda resnica je, da večina [organizacij]
na svetu bi lahko vdrli na natančen način, kot je bil pravkar vdrl v Uber ... Številne [organizacije] še vedno ne uporabljajo [večfaktorske avtentikacije] interno ... in ne uporabljajo upraviteljev gesel (kar vodi do shranjevanja poverilnic na mestih, po katerih je enostavno iskati, vsiljivec vstopi).«
Ključno ozadje
Socialni inženiring je bil v zadnjih letih uporabljen za izvedbo več odmevnih vdorov, vključno z ugrabitev več kot 100 uglednih računov Twitter – med njimi Elon Musk, nekdanji predsednik Barack Obama, Bill Gates in Kanye West – ki so bili nato uporabljeni za promocijo prevare z bitcoini. Vdore so izvedli najstniki, ki jim je uspelo pridobiti dostop do Twitterjevih notranjih omrežij tako, da so ciljali na "majhno število zaposlenih". po navedbah družbenih medijev. Prejšnji mesec sta bila tako Cloudflare kot Twilio prav tako tarča vrste napada socialnega inženiringa, imenovanega »phishing«, kjer so bili zaposleni zavedeni, da odprejo sporočilo, ki je bilo prikrito, da je videti kot legitimna komunikacija podjetja, vendar je vključevalo zlonamerno povezavo. Twilio, ki zagotavlja storitve sporočanja in dvofaktorske avtentikacije, razkriti da je hekerjem uspelo vdreti v interne zbirke podatkov podjetja in pridobiti dostop do nerazkritega števila računov strank. Cloudflare, spletno omrežje za dostavo vsebin, opozoriti hekerji niso mogli dostopati do njegovega notranjega omrežja.
Contra
Za razliko od Twilia, Uberja in Rockstarja, ki so jim vdrli notranji sistemi, se je Cloudflare tej usodi uspelo izogniti zaradi uporabe varnostni ključi na osnovi strojne opreme. V nasprotju z drugimi metodami večfaktorske avtentikacije, kot so besedilna sporočila in enkratna gesla, so varnostni ključi strojne opreme veliko varnejši pred napadi socialnega inženiringa. Ciljnega zaposlenega je mogoče pretentati, da deli podrobnosti besedilnega sporočila ali enkratnega gesla, vendar mora heker pridobiti fizično posest strojnega varnostnega ključa, da pridobi dostop do računa. Varnostni ključi strojne opreme so v različnih oblikah, vključno s ključki USB ali ključki Bluetooth, in jih je treba priključiti ali povezati z napravo, ki poskuša pridobiti dostop do zaščitenega računa. Hekerji, ki pridobijo dostop do poverilnic zaposlenih, ne bodo mogli dostopati do njihovih računov, ki uporabljajo to obliko varnosti, ne da bi fizično pridobili dostop do njihovih ključev. Leta 2018 je Google razglasitve da nobeden od njegovih 85,000 ni bil uspešno napaden z lažnim predstavljanjem, potem ko je pred letom predpisal uporabo fizičnih varnostnih ključev.
Velika številka
323,972. To je skupno število pritožb zaradi napadov socialnega inženiringa, ki jih je leta 2021 prejel FBI – skoraj trikrat več kot leta 2019 – glede na letno poročilo agencije Poročilo o internetnem kriminalu. V tem obdobju so hekerji uspelo ukrasti skupaj 2.4 milijarde dolarjev z ogrožanjem poslovnih e-poštnih računov s tehnikami socialnega inženiringa.
Kaj paziti
Jason Schreier iz Bloomberga je špekuliral, da bi lahko nedavni vdor Rockstar spodbudil k omejitve mesta pri delu na daljavo. Strokovnjaki za kibernetsko varnost imajo prej argumentirano da delo na daljavo morda zahteva več previdnosti, saj so zaposleni zaradi tega bolj ranljivi za napade socialnega inženiringa.
Nadaljnje branje
Uber Hecker trdi, da je vdrl v Rockstar Games, objavlja videoposnetke GTA 6 (Forbes)
Vir: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- igre/