В этом году традиционный чемпионат по социальной инженерии на Defcon оказался особенно увлекательным. Чемпионом стал Шейн Макдугал (Shane MacDougall), который «взломал» по телефону корпоративную сеть Wal-Mart, при этом выполнил абсолютно все задания (собрал все флаги).
Шейн Макдугал позвонил в отдел продаж компании Wal-Mart и поговорил с менеджером магазина. Хакер представился как Гэри Дарнелл (недавно нанятый менеджер по государственной логистике). Он сказал, что Wal-Mart имеет шанс получить многомиллионный государственный контракт, и сейчас проходит процедура изучения всех кандидатов на этот контракт. В процессе разговора менеджер магазина сообщил базовую информацию о предприятии, расписание работы сотрудников, организацию складов и т.д. Затем он сообщил, на каких компьютерах работает офис компании, какая у него версия операционной системы, какой браузер и марка антивируса. В конце концов, менеджер запустил браузер и ввёл в адресную строку URL, который Гэри назвал ему по телефону.
Таким образом, Шейн Макдугал (он же Гэри Дарнелл) поставил рекорд по количеству собранных флагов за три года проведения конкурса по социальной инженерии на Defcon.
Чемпионат по социальной инженерии Capture The Flag (CTF) проходит по следующим правилам: за две недели до финального раунда каждый социальный инженер получает по электронной почте письмо с названием и URL жертвы. Каждая компания выбирается случайным образом из общего портфеля. В этом году в список жертв попали, среди прочих, UPS, Verizon, FedEx, Shell, Exxon Mobil, Target, Cisco, Hewlett-Packard и AT&T.
Две недели инженер изучает жертву, изучая открытые источники информации, такие как Google, LinkedIn, Facebook, собственный сайт компании и проч. На этом этапе он начинает получать очки за каждый собранный флаг, то есть за нахождение той информации, которая указана в задании. Там обычно большой список пунктов, начиная от названий фирм-партнёров до названия версии почтового клиента, который установлен у жертвы.
Конкурсанту запрещено звонить, писать или иным способом связываться с жертвой до финала (организаторы стараются отслеживать это и дисквалифицируют читеров). Потом проходит очный финал, где участник соревнований получает 20 минут на телефонный разговор. Шоу транслируется через колонки в зрительный зал.
Новый чемпион Шейн Макдугал является основателем компании в области информационной безопасности Tactical Intelligence, которая специализируется на широком спектре задач, от корпоративного шпионажа до систем защиты. Для своих клиентов он регулярно осуществляет атаки методом социальной инженерии, обзванивая сотрудников компании и проверяя, насколько они готовы к такому нападению. Он говорит, что очень важно правильно выбрать жертву: лучше всего подходят сотрудники отделов продаж, которые уязвимы перед возможностью заработать деньги. Как только речь идёт о коммерческой выгоде, у многих людей ослабевает логическое мышление и пропадает осторожность.
