Η ιδέα ότι το social engineering αντισταθμίζει τις άμεσες επιθέσεις στα συστήματα κυκλοφορεί από παλιά, αλλά παρουσιάστηκε στην DTEXPO σήμερα από έναν ethical hacker ο οποίος μοιράστηκε παραδείγματα του έργου του.
«Ο ρόλος του ατόμου που κάνει social engineering είναι ένας σούπερ εξειδικευμένος ρόλος , που μόνο πολύ ικανά άτομα μπορούν καταφέρνουν να διεισδύσουν σε μια εταιρεία» δήλωσε ο hacker.
“Μερικές φορές, χρειάζεται λίγη προσπάθεια η διείσδυση σε μια εταιρεία, πραγματικά δεν αισθάνομαι ότι μπορώ να χακάρω μια τράπεζα, παρόλο που έχω βρεθεί σε τρία σενάρια στην δουλειά μου που αφορούσαν τράπεζες. Ξέρω ότι δεν θα μπορούσα ποτέ να χακάρω μια τράπεζα, αλλά ξέρω ότι εάν χακάρουμε τους πραγματικούς ανθρώπους, μπορούμε να φτάσουμε μέχρι την επιχείρηση. Είναι πολύ σημαντικός ο εντοπισμός των αδύναμων”.
Ο hacker μοιράστηκε παραδείγματα “φυσικής διείσδυσης” για να αποκτήσει εύκολα πρόσβαση σε συστήματα που ήταν ευάλωτα πέρα από μια διαδικασία ανθρώπινης ασφάλειας.
“Σε μια δουλειά, αναγκάστηκε να αναδημιουργήσουμε το σενάριο να ανατινάξουμε μια χημική δεξαμενή σε μια τρομοκρατική ενέργεια”, δήλωσε ο hacker. “Κοίταξα στο site και προσπάθησα να ετοιμάσω ή να ερευνήσω το κτίριο και η πίεση ήταν ότι έπρεπε να αναρριχηθούμε στο σιλό.
“Δεν ήξερα πώς θα το κάνω, και η έρευνα της δεξαμενής προέκυψε. Είχαμε ενημερωθεί για μια ειδική βαλβίδα δαπέδου που ήταν μοναδική σε αυτή την δεξαμενή. Επομένως, στη συνέχεια είχαμε για κάτι να μιλήσουμε και να το χρησιμοποιήσουμε ως πρόσχημα στους υπαλλήλους που θα συναντούσαμε.”
Με μόνο δύο άτομα να φυλάσσουν αυτό το επικίνδυνο site, ο hacker βρήκε ότι η σωστή αμφίεση (σακάκια και οι μπότες), ήταν αρκετά για να μπορέσει να μπει στο εργατικό δυναμικό.
Ομοίως, ο hacker διαπίστωσε ότι ο φίλος του σε έναν χώρο εργασίας έξω από το χώρο καπνίσματος ήταν αρκετός για να τον συνοδεύσει στην είσοδο κινδύνου. Ο hacker είχε τον χρόνο που χρειαζόταν για να εκτελέσει το έργο του στην προκύπτουσα σύγχυση.
Σε ένα άλλο σενάριο, ο hacker μπήκε απλά σε ένα γραφείο που κρατούσε συσκευή keylogger, αλλά το γραφείο δεν ήταν άδειο, όπως αναμενόταν αρχικά.
“Βρήκα τον εαυτό μου να είμαι ο« άνθρωπος του keylogger »- ένας πλασματικός ρόλος που δεν υπάρχει καν στον τομέα της ασφάλειας και τους είπα« Γεια σου, είμαι ο άνθρωπος του keylogger». Κάποιος όμως από το πίσω μέρος του γραφείου, με ρώτησε “Τι είναι ένα keylogger;”, δίνοντας μου την ευκαιρία να του εξηγήσω.
Στο τέλος της ημέρας, ο hacker εξήγησε, συχνά στην ασφάλεια στον κυβερνοχώρο “Είναι συχνά απλώς ένα πρόσωπο και μπορούμε να υπερασπιστούμε τον εαυτό μας εναντίον του αν όλοι δουλεύουμε μαζί”.
