Представлен отчет прошедшего на Defcon конкурса социальной инженерии
Участники конкурса собирали информацию об используемых IT-решениях реальных компаний.
Организаторы конференции по информационной безопасности Defcon опубликовали отчет о конкурсе Social Engineering CTF, участники которого должны были собрать как можно больше конфиденциальной информации о коммерческих и государственных организациях, применяя методы социальной инженерии.
Победитель конкурса определялся количеством набранных баллов, которые давались за выполнение определенных заданий. Так, наибольшее количество баллов получал участник, который направлял свой объект по ложному адресу электронной почты. Также баллы можно было получить, узнав, какие антивирусные решения установлены в корпоративной системе объекта, название и версию используемого браузера, имена сотрудников обслуживающего персонала и прочее.
Конкурсанты работали только с реальными организациями, руководство которых не знало о том, что их компании стали объектами CTF. Вот список компаний, информацию о которых пытались получить конкурсанты:
- UPS
- FedEx
- Verizon
- AT&T
- Shell
- Mobil
- Target
- Wal-Mart
- Cisco
- HP
«Социальная инженерия, без сомнений, несет в себе наибольшую угрозу коммерческим организациям. Мне ясно, что все (организаторы служб безопасности – ред.), которые потратили столько денег на межсетевые экраны и другие решения, совсем не вложились в осведомленность (персонала – ред.)», - заявил победитель конкурса Шейн МакДугалл (Shane MacDougall). Этому конкурсанту удалось на протяжении всего 20 минут выиграть практически все возможные баллы. Для этого он связался с менеджером одного из отделений Wal-Mart, находящихся в небольшом канадском городке, и, представившись государственным служащим, предложил «сделку, на которой Wal-Mart заработает много денег». Доверчивый менеджер рассказал все, от графика работы IT-персонала его отделения, до используемых антивирусных решений. В конце этот сотрудник даже открыл продиктованный МакДугаллом URL-адрес со страницей регистрации и ввел на ней свои конфиденциальные данные.
С подробным отчетом о результатах Social Engineering CTF на Defcon 20 можно ознакомиться здесь.
Ваш провайдер знает о вас больше, чем ваша девушка?