Hirdetés

Az IT rendszerek leggyengébb pontja: a nőre vágyó férfi

Két biztonsági szakember egy hamis Facebook-profil segítségével szerzett meg védett amerikai kormányzati rendszerbe való belépésre jogosító azonosítókat, és ezzel újra igazolták a social engineering, az átveréses hackelés nagymesterének, Kevin Mitnicknek az alaptételét, mely szerint a számítástechnikai rendszerek leggyengébb pontja az ember.

Hirdetés

Az ilyen típusú sebezhetőségeket bizonyítani kívánó Aamir Lakhani és Joseph Muniz tavaly decemberben közösségi oldalakon hoztak létre álprofilokat egy nem létező nő, Emily Williams nevében – ehhez felhasználták egy ismerősük, egy közeli étteremben dolgozó pincérnő dekoratív képeit is (az illető beleegyezésével) – a szakemberek az RSA biztonsági konferenciáján nemrég tartott előadásukban elmondták, hogy próbálkoztak férfi profillal is, de azzal nem jártak sikerrel.

Facebook

A hackerek a két legnépszerűbb, leggyakrabban használt oldalon, a Facebookon és a LinkedInen regisztráltak, majd hozzáfogtak a kapcsolatépítéshez. A történések aztán minden várakozásukat felülmúlták: a csinos Emily Williams nemcsak ajánlatokat és vacsorameghívásokat kapott, hanem az egyik behálózott kormányzati IT-stől még egy ingyen laptopot is. A profilok szerint a nő szintén kormányzati alkalmazott, akinek a nevében olyan elektronikus karácsonyi üdvözlőlapokat küldtek a valódi alkalmazottaknak, amelyeken egy fertőzött, támadó oldalra mutató link is szerepelt.

A terv tökéletesen bevált: a linkre rákattintó alkalmazottak közreműködésével bejuttatott malware segítségével különféle jogosultságokhoz, jelszavakhoz jutottak hozzá, alkalmazásokat telepítettek a rendszerbe, bizalmas információkat tartalmazó dokumentumokat loptak el. Külön érdekesség, hogy a hivatal biztonsági csapatának egyik irányítóját is rá tudták venni, hogy kattintson az üdvözlőlap linkjére, így a biztonságért felelős vezető is megfertőzte a laptopját. Erről Lakhani így nyilatkozott a konferencián: „Ennek a fickónak mindenhez volt hozzáférése. Ő volt a koronaékszer a rendszerben.”

Facebook

A kutatók egy hét alatt elérték a céljukat, de tapasztalatszerzés végett három hónapig folytatták a kísérletet – mindvégig lebukás nélkül.

A hackerek nem fedték fel, hogy melyik amerikai kormányzati ügynökségről van szó, de azt közölték, hogy olyan titkos ügynökségről van szó, amelyik a kiberbiztonság területére szakosodott, védelmi technikák kialakítása mellett többek között kibertámadások kivitelezésére is.

Hirdetés

Azóta történt

Előzmények