Η πάνω σειρά
Η Rockstar Games—οι προγραμματιστές της δημοφιλούς σειράς βιντεοπαιχνιδιών Grand Theft Auto—ήταν hacked λίγες μέρες μετά, οι διακομιστές του γίγαντα της Uber στοχοποιήθηκαν σε παρόμοια παραβίαση, υποτίθεται από τον ίδιο χάκερ που χρησιμοποίησε μια διαδικασία που ονομάζεται κοινωνική μηχανική, έναν εξαιρετικά αποτελεσματικό τρόπο επίθεσης που βασίζεται στην εξαπάτηση εργαζομένων μιας στοχευμένης εταιρείας και μπορεί να είναι δύσκολο να προφυλαχθεί κατά.
Ένας υποτιθέμενος έφηβος χάκερ κατάφερε να παραβιάσει την εσωτερική βάση δεδομένων της Rockstar Games και διέρρευσε … [+]
AFP μέσω της Getty Images
Βασικά Στοιχεία
Παρόμοιο με το Hack Uber, ο χάκερ που χρησιμοποιεί το ψευδώνυμο «TeaPot» ισχυρίστηκε ότι απέκτησε πρόσβαση στα εσωτερικά μηνύματα της Rockstar Games στο Slack και στον πρώιμο κώδικα για την απροειδοποίητη συνέχεια του Grand Theft Auto από αποκτώντας πρόσβαση στα διαπιστευτήρια σύνδεσης ενός υπαλλήλου.
Ενώ οι ακριβείς λεπτομέρειες της παραβίασης της Rockstar είναι ασαφείς, στην περίπτωση της Uber ο χάκερ ισχυρίστηκε μεταμφιέστηκε σε άτομο πληροφορικής της εταιρείας και έπεισε έναν υπάλληλο να μοιραστεί τα διαπιστευτήρια σύνδεσής του.
Σε αντίθεση με άλλους τρόπους επιθέσεων που βασίζονται σε ελαττώματα στην αρχιτεκτονική ασφάλειας μιας εταιρείας, η κοινωνική μηχανική στοχεύει ανθρώπους και βασίζεται στη χειραγώγηση και την εξαπάτηση.
Γνωρίστε τους experts υποστηρίζω ότι οι άνθρωποι εξακολουθούν να παραμένουν ο «πιο αδύναμος κρίκος» στην ασφάλεια στον κυβερνοχώρο, καθώς μπορούν εύκολα να εξαπατηθούν να κάνουν κλικ σε κακόβουλους συνδέσμους ή να μοιραστούν τα διαπιστευτήρια σύνδεσής τους.
Σε αντίθεση με άλλες μεθόδους, η κοινωνική μηχανική είναι επίσης αποτελεσματική για να νικήσει ορισμένες βελτιωμένες μέτρα ασφαλείας όπως κωδικοί πρόσβασης μίας χρήσης και άλλες μέθοδοι ελέγχου ταυτότητας πολλαπλών παραγόντων.
Κρίσιμο απόσπασμα
Rachel Tobac, Διευθύνων Σύμβουλος της εταιρείας κυβερνοασφάλειας SocialProof Security και ειδικός σε θέματα κοινωνικής μηχανικής tweeted: «Η σκληρή αλήθεια είναι ότι οι περισσότεροι [οργανισμοί]
στον κόσμο θα μπορούσαν να παραβιαστούν με τον τρόπο ακριβώς που παραβιάστηκε η Uber…Πολλοί [οργανισμοί] εξακολουθούν να μην χρησιμοποιούν εσωτερικά τον έλεγχο ταυτότητας πολλαπλών παραγόντων…και δεν χρησιμοποιούν διαχειριστές κωδικών πρόσβασης (πράγμα που οδηγεί στην αποθήκευση πιστώσεων σε εύκολα αναζητήσιμα μέρη μία φορά το μπαίνει ο εισβολέας)».
Βασικό υπόβαθρο
Η κοινωνική μηχανική έχει χρησιμοποιηθεί για τη διεξαγωγή πολλών χακαρισμών υψηλού προφίλ τα τελευταία χρόνια, συμπεριλαμβανομένου του αεροπειρατεία περισσότερων από 100 διακεκριμένων λογαριασμών Twitter - ανάμεσά τους ο Έλον Μασκ, ο πρώην Πρόεδρος Μπαράκ Ομπάμα, ο Μπιλ Γκέιτς και ο Κάνιε Γουέστ - οι οποίοι στη συνέχεια χρησιμοποιήθηκαν για την προώθηση μιας απάτης bitcoin. Τα hacks πραγματοποιήθηκαν από έφηβους που κατάφεραν να αποκτήσουν πρόσβαση στα εσωτερικά δίκτυα του Twitter στοχεύοντας «μικρό αριθμό εργαζομένων». σύμφωνα με η εταιρεία social media. Τον περασμένο μήνα, τόσο το Cloudflare όσο και το Twilio στοχοποιήθηκαν επίσης σε ένα είδος επίθεσης κοινωνικής μηχανικής που ονομάζεται «ψάρεμα», όπου οι εργαζόμενοι εξαπατήθηκαν να ανοίξουν ένα μήνυμα που ήταν μεταμφιεσμένο ως νόμιμη εταιρική επικοινωνία, αλλά περιλάμβανε έναν κακόβουλο σύνδεσμο. Η Twilio, η οποία παρέχει υπηρεσίες ανταλλαγής μηνυμάτων και ελέγχου ταυτότητας δύο παραγόντων, γνωστοποιούνται ότι οι χάκερ είχαν καταφέρει να παραβιάσουν τις εσωτερικές βάσεις δεδομένων της εταιρείας και απέκτησαν πρόσβαση σε έναν άγνωστο αριθμό λογαριασμών πελατών. Cloudflare, ένα διαδικτυακό δίκτυο παράδοσης περιεχομένου, Σημειώνεται οι χάκερ δεν μπόρεσαν να έχουν πρόσβαση στο εσωτερικό του δίκτυο.
Κόντρα
Σε αντίθεση με την Twilio, την Uber και τη Rockstar, στις οποίες παραβιάστηκαν τα εσωτερικά τους συστήματα, το Cloudflare κατάφερε να αποφύγει αυτή τη μοίρα λόγω της χρήσης του κλειδιά ασφαλείας που βασίζονται σε υλικό. Σε αντίθεση με άλλες μεθόδους ελέγχου ταυτότητας πολλαπλών παραγόντων, όπως μηνύματα κειμένου και κωδικούς πρόσβασης μίας χρήσης, τα κλειδιά ασφαλείας υλικού είναι πολύ πιο ασφαλή έναντι επιθέσεων κοινωνικής μηχανικής. Ένας στοχευμένος υπάλληλος μπορεί να εξαπατηθεί ώστε να μοιραστεί τις λεπτομέρειες ενός μηνύματος κειμένου ή ενός κωδικού πρόσβασης μίας χρήσης, αλλά ο χάκερ πρέπει να αποκτήσει φυσική κατοχή ενός κλειδιού ασφαλείας υλικού για να αποκτήσει πρόσβαση σε έναν λογαριασμό. Τα κλειδιά ασφαλείας υλικού διατίθενται σε διάφορες μορφές, όπως USB sticks ή Bluetooth dongles και πρέπει να είναι συνδεδεμένα ή συνδεδεμένα σε μια συσκευή που προσπαθεί να αποκτήσει πρόσβαση σε έναν προστατευμένο λογαριασμό. Οι χάκερ που αποκτούν πρόσβαση στα διαπιστευτήρια των εργαζομένων δεν θα μπορούν να έχουν πρόσβαση στους λογαριασμούς τους που χρησιμοποιούν αυτή τη μορφή ασφάλειας χωρίς να αποκτήσουν φυσική πρόσβαση στα κλειδιά τους. Το 2018, η Google ανακοίνωσε ότι κανένα από τα 85,000 του δεν είχε στοχοποιηθεί επιτυχώς μέσω επίθεσης phishing, αφού είχε επιβάλει τη χρήση φυσικών κλειδιών ασφαλείας ένα χρόνο νωρίτερα.
Μεγάλος αριθμός
323,972. Αυτός είναι ο συνολικός αριθμός καταγγελιών για επιθέσεις κοινωνικής μηχανικής που έλαβε το FBI το 2021 —σχεδόν τρεις φορές υψηλότερος από ό,τι ήταν το 2019—σύμφωνα με την ετήσια έκθεση της υπηρεσίας Έκθεση εγκλήματος στο Διαδίκτυο. Κατά τη διάρκεια αυτής της περιόδου, οι χάκερ κατάφερε να κλέψει ένα σύνολο 2.4 δισεκατομμυρίων δολαρίων διακυβεύοντας επαγγελματικούς λογαριασμούς email μέσω τεχνικών κοινωνικής μηχανικής.
Τι να προσέχεις
Ο Jason Schreier του Bloomberg υπέθεσε ότι το πρόσφατο hack μπορεί να ωθήσει τη Rockstar να το κάνει θέσεις περιορισμούς σε εξ αποστάσεως εργασία. Οι ειδικοί στον κυβερνοχώρο έχουν προηγουμένως υποστήριξε ότι η απομακρυσμένη εργασία μπορεί να απαιτεί περισσότερες προφυλάξεις, καθώς αφήνει τους εργαζόμενους πιο ευάλωτους σε επιθέσεις κοινωνικής μηχανικής.
Περισσότερες Πληροφορίες
Πηγή: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- Παιχνίδια/