Δευτέρα, 1 Ιουνίου, 00:15
Αρχική security "Ξέρω ότι δεν μπορώ να χακάρω μια τράπεζα, αλλά μπορώ να χακάρω...

“Ξέρω ότι δεν μπορώ να χακάρω μια τράπεζα, αλλά μπορώ να χακάρω ένα άτομο”, λέει ένας ethical hacker

Η ιδέα ότι το social engineering αντισταθμίζει τις άμεσες επιθέσεις στα συστήματα κυκλοφορεί από παλιά, αλλά παρουσιάστηκε στην DTEXPO σήμερα από έναν ethical hacker ο οποίος μοιράστηκε παραδείγματα του έργου του.

«Ο ρόλος του ατόμου που κάνει social engineering είναι ένας σούπερ εξειδικευμένος ρόλος , που μόνο πολύ ικανά άτομα μπορούν καταφέρνουν να διεισδύσουν σε μια εταιρεία» δήλωσε ο hacker.

hacker

“Μερικές φορές, χρειάζεται λίγη προσπάθεια η διείσδυση σε μια εταιρεία, πραγματικά δεν αισθάνομαι ότι μπορώ να χακάρω μια τράπεζα, παρόλο που έχω βρεθεί σε τρία σενάρια στην δουλειά μου που αφορούσαν τράπεζες. Ξέρω ότι δεν θα μπορούσα ποτέ να χακάρω μια τράπεζα, αλλά ξέρω ότι εάν χακάρουμε τους πραγματικούς ανθρώπους, μπορούμε να φτάσουμε μέχρι την επιχείρηση. Είναι πολύ σημαντικός ο εντοπισμός των αδύναμων”.

Ο hacker μοιράστηκε παραδείγματα “φυσικής διείσδυσης” για να αποκτήσει εύκολα πρόσβαση σε συστήματα που ήταν ευάλωτα πέρα από μια διαδικασία ανθρώπινης ασφάλειας.

“Σε μια δουλειά, αναγκάστηκε να αναδημιουργήσουμε το σενάριο να ανατινάξουμε μια χημική δεξαμενή σε μια τρομοκρατική ενέργεια”, δήλωσε ο hacker. “Κοίταξα στο site και προσπάθησα να ετοιμάσω ή να ερευνήσω το κτίριο και η πίεση ήταν ότι έπρεπε να αναρριχηθούμε στο σιλό.

“Δεν ήξερα πώς θα το κάνω, και η έρευνα της δεξαμενής προέκυψε. Είχαμε ενημερωθεί για μια ειδική βαλβίδα δαπέδου που ήταν μοναδική σε αυτή την δεξαμενή. Επομένως, στη συνέχεια είχαμε για κάτι να μιλήσουμε και να το χρησιμοποιήσουμε ως πρόσχημα στους υπαλλήλους που θα συναντούσαμε.”

Με μόνο δύο άτομα να φυλάσσουν αυτό το επικίνδυνο site, ο hacker βρήκε ότι η σωστή αμφίεση (σακάκια και οι μπότες), ήταν αρκετά για να μπορέσει να μπει στο εργατικό δυναμικό.

Ομοίως, ο hacker διαπίστωσε ότι ο φίλος του σε έναν χώρο εργασίας έξω από το χώρο καπνίσματος ήταν αρκετός για να τον συνοδεύσει στην είσοδο κινδύνου. Ο hacker είχε τον χρόνο που χρειαζόταν για να εκτελέσει το έργο του στην προκύπτουσα σύγχυση.

Σε ένα άλλο σενάριο, ο hacker μπήκε απλά σε ένα γραφείο που κρατούσε συσκευή keylogger, αλλά το γραφείο δεν ήταν άδειο, όπως αναμενόταν αρχικά.

“Βρήκα τον εαυτό μου να είμαι ο« άνθρωπος του keylogger »- ένας πλασματικός ρόλος που δεν υπάρχει καν στον τομέα της ασφάλειας και τους είπα« Γεια σου, είμαι ο άνθρωπος του keylogger». Κάποιος όμως από το πίσω μέρος του γραφείου, με ρώτησε “Τι είναι ένα keylogger;”, δίνοντας μου την ευκαιρία να του εξηγήσω.

Στο τέλος της ημέρας, ο hacker εξήγησε, συχνά στην ασφάλεια στον κυβερνοχώρο “Είναι συχνά απλώς ένα πρόσωπο και μπορούμε να υπερασπιστούμε τον εαυτό μας εναντίον του αν όλοι δουλεύουμε μαζί”.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

00:02:18

Πώς να προσθέσετε το YouTube κανάλι ή το Instagram σας στο TikTok

Το TikTok, μια από τις πιο διάσημες πλατφόρμες κοινωνικών δικτύων για τη δημιουργία και την ανάρτηση μίνι-βίντεο, έχει αποκτήσει μια μεγάλη βάση...

Γνώστα website σαρώνουν τους υπολογιστές των επισκεπτών τους

Πολλά γνωστά και ευρέως χρησιμοποιούμενα website χρησιμοποιούν ένα script προστασίας από απάτες, το οποίο σαρώνει τον τοπικό υπολογιστή σας για προγράμματα απομακρυσμένης...

Google Chrome: Νέο “anti-notification spam” σύστημα από τον Ιούλιο

Η Google ανακοίνωσε ότι σχεδιάζει να ενεργοποιήσει το νέο της "anti-notification spam" σύστημα στο Chrome, με την...

Η Amtrak επαναφέρει τους κωδικούς πρόσβασης των χρηστών μετά από παραβίαση δεδομένων

Η National Railroad Passenger Corporation (Amtrak) αποκάλυψε μια παραβίαση δεδομένων που οδήγησε στην έκθεση προσωπικών πληροφοριών ορισμένων μελών του Guest Rewards.

Οι διαμαρτυρίες στις ΗΠΑ καθυστερούν την εκδήλωση για το Android 11

Όπως ήταν προγραμματισμένο, η εκδήλωση για την παρουσίαση των χαρακτηριστικών του νέου Android 11 από την Google...

Η Cisco παραβιάστηκε μέσω εκμετάλλευσης των SaltStack servers

Η Cisco είπε σήμερα ότι ορισμένοι από τους servers υποστήριξης Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) παραβιάστηκαν με εκμετάλλευση κρίσιμων...

Valak Malware: Κλέβει δεδομένα από Microsoft Exchange Servers

Το 2019, το Valak Malware παρατηρήθηκε για πρώτη φορά, ως malware loader. Πρόσφατα όμως, έγινε γνωστό ότι...

Συσκευή “anti-5G” που κοστίζει $ 350 είναι απλά ένα USB stick

Οι φαν των θεωριών συνωμοσίας 5G έχουν ήδη αγοράσει ένα κλειδί USB anti-5G με τιμή 350 $ που φαίνεται να είναι...

Windows 10 Pro με $13 με τον SecNews κωδικό έκπτωσης

Αποκτήστε τα Windows 10 Pro με $13 με τον SecNews κωδικό έκπτωσης: Αυτή τη περίοδο οι ώρες εργασίας από το σπίτι είναι...

Διέρρευσαν δεδομένα 47,5 εκατομμυρίων χρηστών του Truecaller

Η εφαρμογή Truecaller, βοηθά στον εντοπισμό των ανώνυμων κλήσεων και προσφέρει την επιλογή επισήμανσης των spammers.