Une étude de cas dans la façon dont les pirates utilisent l'ingénierie sociale

Dans cette étude de cas, Ira Winkler, un ingénieur social professionnel, a gracieusement partagé une étude intéressante sur la façon de pirater avec l'ingénierie sociale. Ceci est un excellent exemple de comment ne pas prêter attention peut vous piraté!

La situation

Le client de M. Winkler voulait une jauge générale du niveau de sensibilisation à la sécurité de l'organisation. Ira et son complice sont allés pour le pot d'or et testés la sensibilité de l'organisme à l'ingénierie sociale.

Pour commencer, ils scope sur l'entrée principale de l'immeuble et a constaté que la zone de réception et un bureau de sécurité étaient au milieu d'un grand hall et ont été dotés par un réceptionniste. Le lendemain, les deux hommes sont entrés dans le bâtiment pendant la pointe du matin tout en faisant semblant de parler sur les téléphones cellulaires. Ils sont restés au moins 15 pieds à partir du poste et sa ignorés alors qu'ils marchaient par.

Après, ils étaient à l'intérieur de l'établissement, ils ont trouvé une salle de conférence pour mettre en place boutique. Ils se sont assis pour planifier le reste de la journée et ont décidé d'un badge d'installation serait un bon début. M. Winkler a appelé le numéro principal de l'information et a demandé pour le bureau qui rend les badges.

Il a été transmis au bureau de réception / sécurité. Ira alors semblant d'être le CIO et a dit à la personne à l'autre bout de la ligne qu'il voulait badges pour un couple de sous-traitants. La personne a répondu, “. Envoyer les sous-traitants dans le hall principal ”

Lorsque M. Winkler et son complice sont arrivés, un garde en uniforme a demandé ce qu'ils travaillent, et ils mentionné ordinateurs. Le gardien leur a ensuite demandé si elles devaient avoir accès à la salle informatique! Bien sûr, ils ont dit, “ Cela aiderait ”.

En quelques minutes, ils avaient tous deux badges avec accès à toutes les zones de bureaux et le centre des opérations informatiques. Ils sont allés au sous-sol et ont utilisé leurs badges pour ouvrir la porte principale de la salle informatique. Ils sont entrés et ont pu accéder à un serveur Windows, charger l'outil de gestion des utilisateurs, ajouter un nouvel utilisateur au domaine, et de faire de l'utilisateur un membre du groupe des administrateurs. Puis ils sont partis rapidement.

Les deux hommes ont eu accès à l'ensemble du réseau d'entreprise avec des droits d'administration dans les deux heures. Ils ont également utilisé les badges d'effectuer soluces après les heures de l'immeuble. Ce faisant, ils ont trouvé la clé pour le bureau du chef de la direction et ont planté un bug maquette là.

Le résultat

Personne en dehors de l'équipe savait ce que les deux hommes avaient fait jusqu'à ce qu'ils ont dit après le fait. Après les employés ont été informés, le superviseur de garde a appelé M. Winkler et voulait savoir qui a publié les badges. M. Winkler a informé que le fait que le bureau de la sécurité ne savait pas qui a émis les badges était un problème en soi, et qu'il ne divulgue pas cette information.

Comment Cela aurait pu être évité

Selon M. Winkler, le bureau de la sécurité devrait être situé près de l'entrée, et l'entreprise doit avoir un processus formel pour la délivrance de badges. L'accès aux zones spéciales comme la salle de l'ordinateur doit être approuvé par une entité connue, aussi bien.

Après l'accès est accordé, une confirmation doit être envoyé à l'approbateur. En outre, l'écran du serveur doit être verrouillé, et le compte Windows ne devrait pas être connecté sans surveillance. Tout ajout d'un compte de niveau administrateur doit être vérifié, et les parties concernées doit être alerté.