Соревнование по социальной инженерии, в ходе которого прибывшие на
конференцию Defcon хакеры пытаются обманным путем заставить сотрудников крупных
компаний выдать конфиденциальную информацию, ставит своей целью показать, что
человеческая доверчивость – самая главная проблема компьютерной безопасности. В
этом году демонстрация явно удалась.
Один из участников Defcon, Джош Майклз, сумел с помощью всего двух телефонных
звонков обмануть сотрудника техподдержки компании British Petroleum и заставить
его выдать информацию, способную помочь в организации кибератаки на эту фирму.
Так, среди полученных Майклзом сведений значились данные о том, какие модели
ноутбуков используются сотрудниками BP, а также какие операционные системы,
браузеры, антивирусы и программы для организации VPN установлены на их
компьютеры.
Кроме того, Майклз сумел заставить сотрудника BP посетить сайт
Social-Engineer.org, благодаря чему заработал дополнительные баллы.
Согласно условиям конкурса, участникам дается 25 минут на звонки в компанию,
заранее выбранную организаторами. Количество звонков не ограничено, поэтому
сценарии можно пробовать разные. Очки начисляются за определенные типы
полученных данных, например – за версию Adobe Reader, установленную на
корпоративных ПК или за посещение жертвой сайта по желанию конкурсанта.
Звонящие в компании сидели за звуконепроницаемыми перегородками, в то время
как толпа из 80 человек слушала то, что они говорят и аплодировала, когда жертвы
добровольно разглашали потенциально важную информацию. В ходе соревнования
участники совершили звонки в компании BP, Shell, Apple, Google, Microsoft, Cisco
Systems, Proctor and Gamble, Pepsi, Coca-Cola и Ford, при этом из нескольких
десятков человек на другом конце провода отказались сотрудничать лишь трое.
Как признался один из организаторов конкурса, сотрудники готовы были показать
все, вплоть до семейных фото, если бы их об этом попросили.
Чтобы избежать конфронтации с законом, конкурсанты должны были придерживаться
некоторых ограничений, например – не пытаться узнавать пароли и данные кредитных
карт, а также заявлять о якобы произошедшем взломе того или иного аккаунта,
чтобы не заставлять жертв испытывать беспокойство по поводу сохранности личных
данных.
Тем не менее, тесные рамки дозволенного не помешали участникам еще раз
подтвердить давнюю истину, что человек – самое уязвимое звено в цепи, защищающей
компьютерные системы от атак.