Ο Aaron Hayden είναι αναλυτής πληροφοριακών συστημάτων στο CliftonLarsonAllen, ένα μεγάλο δημόσιο λογιστικό γραφείο. Είναι επίσης και “ηθικός” hacker, ένας από τους 40 του οργανισμού. Κι έχουν 100% επιτυχία στο hacking οποιασδήποτε εταιρίας εκτός από των τραπεζών.
Διάφορες επιχειρήσεις προσλαμβάνουν την εταιρία για να χακάρει τα πληροφοριακά τους συστήματα. Ένας εσωτερικός ελεγκτής στην κάθε επιχείρηση θα γνωρίζει για την ερχόμενη επίθεση αλλά κανένας άλλος εργαζόμενος δε θα γνωρίζει μέχρι να γίνει το hacking και να παρουσιαστούν τα αποτελέσματα.
Στην εποχή που η ανησυχία για την ιδιωτικότητα και την ασφάλεια είναι αυξημένη η CliftonLarsonAllen έχει κάνει πάνω από 4.000 penetration test σε διαφορετικούς κλάδους. Όπως είπε ο Aaron αν κάποιος hacker είναι πολύ καλός στο phising, το οποίο είναι η τέχνη του να κοροϊδεύεις ανυποψίαστα άτομα και να διεισδύεις εύκολα στα credentials του δικτύου τότε, τότε θα έχει 100% επιτυχία. Ο Hayden πρόσφατα έτσι κορόιδεψε τον διευθυντή μιας εταιρίας στέλνοντας ένα e-mail και καλά από τον υπεύθυνο των οικονομικών της εταιρίας και αφού το άνοιξε εύκολα πήρε τον έλεγχο του υπολογιστή του.
Μόλις ένας hacker πάρει τον έλεγχο ενός υπολογιστή, εύκολα μπορεί να μαντέψει την ταυτότητα του προσώπου που δέχεται επίθεση. Αν είναι ο διαχειριστής του PC, ο Hayden μπορεί εύκολα να εγκαταστήσει λογισμικό και να διαβάσει τους κωδικούς πρόσβασης της βάσης δεδομένων καθώς και κωδικούς άλλων υπολογιστών.
Άλλο μυστικό: Από τη στιγμή που θα πάρει τον έλεγχο του υπολογιστή, ο Hayden μπορεί να στείλει μια ψεύτικη ανακοίνωση δήθεν από το HR το οποίο θα λέει ότι γίνεται κάποια αλλαγή στην ασφάλιση υγείας της εταιρίας και οι εργαζόμενοι πρέπει να συμπληρώσουν μια νέα φόρμα με τα στοιχεία τους και στο τέλος θα πάρουν δώρο μια κάρτα από τα Starbucks. Η κάρτα φυσικά δε λειτουργεί αλλά ο hacker έχει πάρει τον έλεγχο.
Το να μαντεύει κανείς κωδικούς είναι ένας από τους πιο εύκολους τρόπους για να διεισδύσει κάποιος αρχικά σε ένα δίκτυο. Είτε το πιστεύετε είτε όχι αν είναι Αύγουστος του 2015 κάποιος μπορεί να έχει κωδικό Αύγουστος 2015. Οπότε όλοι πρέπει να χρησιμοποιούν περίπλοκους κωδικούς.
Οι τεχνικές hacking λειτουργούν πολύ καλά στον τομέα της υγείας για πολλούς λόγους λέει ο hacker. Οι εργαζόμενοι ξεγελιούνται πολύ εύκολα και χρειάζονται περισσότερη εκπαίδευση. Υπάρχουν πάρα πολλοί κωδικοί που πρέπει να διαχειριστούν και οι εργαζόμενοι (και κυρίως οι γιατροί) πολλές φορές βαριούνται να αλλάξουν κωδικούς
Οι hackers επίσης παίρνουν το χρόνο τους τραβώντας σιγά σιγά μικρά κομμάτια δεδομένων και κρυπτογραφώντας τα ώστε να μην ανιχνεύονται. Με την πάροδο του χρόνου ο hacker μπορεί να μαζέψει μεγάλη ποσότητα δεδομένων.
Ο Hayden προτείνει στους εργοδότες να εκπαιδεύουν σωστά όλους τους εργαζόμενους ώστε να γίνουν πιο προσεχτικοί με την ασφάλεια του δικτύου τους.
