Горна линија
Rockstar Games - развивачите на популарната серија на видео игри Grand Theft Auto - беше пробиени само неколку дена откако серверите на гигантот Uber беа цел на слична повреда, наводно од истиот хакер кој користел процес наречен социјален инженеринг, многу ефикасен начин на напад кој се потпира на измама на вработените во целната компанија и може да биде тешко да се заштити. против.
Наводен тинејџерски хакер успеа да ја пробие внатрешната база на податоци на Rockstar Games и протече … [+]
АФП преку Гети Слики
Клучни факти
Слично на Убер хакирање, хакерот кој се нарекува алијас „TeaPot“ тврди дека добил пристап до внатрешните пораки на Rockstar Games на Slack и раниот код за нивното ненајавено продолжение на Grand Theft Auto од добивање пристап до ингеренциите за најава на вработен.
Иако точните детали за пробивањето на Rockstar се нејасни, во случајот на Uber хакерот тврдеше тој се маскирал како лице за ИТ на компанијата и убедил вработен да ги сподели своите ингеренциите за најава.
За разлика од другите начини на напади кои се потпираат на недостатоци во безбедносната архитектура на компанијата, социјалниот инженеринг цели на луѓето и се потпира на манипулации и измами.
Експертите се борат дека луѓето сè уште остануваат „најслабата алка“ во сајбер безбедноста, бидејќи тие лесно можат да бидат измамени да кликнат на малициозни врски или да ги споделат своите ингеренции за најавување.
За разлика од другите методи, социјалниот инженеринг е исто така ефикасен во поразот на одредени подобрени безбедносни мерки како еднократни лозинки и други мултифакторски методи за автентикација.
Клучен цитат
Рејчел Тобак, извршен директор на фирмата за сајбер безбедност SocialProof Security и експерт за социјален инженеринг Твитер: „Тешката вистина е дека повеќето [организации]
во светот може да биде хакиран на точен начин како што беше хакиран Uber...Многу [организации] сè уште не користат [Multi Factor Authentication] внатрешно...и не користат менаџери за лозинки (што води до зачувување на кредити на лесно пребарливи места еднаш на влегува натрапникот).“
Главна позадина
Социјалниот инженеринг се користи за извршување на неколку хакери од висок профил во последниве години, вклучително и киднапирање на повеќе од 100 истакнати профили на Твитер - меѓу нив Илон Маск, поранешниот претседател Барак Обама, Бил Гејтс и Канје Вест - кои потоа беа користени за промовирање на измама со биткоин. Хакерите беа извршени од тинејџери кои успеаја да добијат пристап до внатрешните мрежи на Твитер таргетирајќи „мал број вработени“. според компанијата за социјални медиуми. Минатиот месец, и Cloudflare и Twilio, исто така, беа цел на еден вид социјален инженерски напад наречен „фишинг“ каде што вработените беа измамени да отворат порака која беше маскирана да изгледа како легитимна комуникација на компанијата, но вклучуваше злонамерна врска. Twilio, кој обезбедува услуги за размена на пораки и двофакторна автентикација, откриени дека хакерите успеале да ги пробијат внатрешните бази на податоци на компанијата и добиле пристап до непознат број на сметки на клиенти. Cloudflare, онлајн мрежа за испорака на содржина, Истакна хакерите не беа во можност да пристапат до нејзината внатрешна мрежа.
Контра
За разлика од Twilio, Uber и Rockstar, на кои им беа пробиени внатрешните системи, Cloudflare успеа да ја избегне оваа судбина поради употребата на безбедносни клучеви базирани на хардвер. За разлика од другите методи за автентикација со повеќе фактори, како што се текстуални пораки и еднократни лозинки, хардверските безбедносни клучеви се многу побезбедни од напади од социјален инженеринг. Целниот вработен може да биде измамен да ги сподели деталите за текстуална порака или еднократна лозинка, но хакерот треба физички да поседува хардверски безбедносен клуч за да добие пристап до сметката. Хардверските безбедносни клучеви доаѓаат во различни форми, вклучително и USB-стикови или Bluetooth клучеви и тие треба да бидат приклучени или поврзани со уред кој се обидува да добие пристап до заштитена сметка. Хакерите кои ќе добијат пристап до ингеренциите на вработените нема да можат да пристапат до нивните сметки што ја користат оваа форма на безбедност без физички да добијат пристап до нивните клучеви. Во 2018 година, Google објави дека ниту еден од неговите 85,000 не бил успешно таргетиран преку фишинг напад откако наложил употреба на физички безбедносни клучеви една година порано.
Голем број
323,972. Тоа е вкупниот број поплаки за напади од социјален инженеринг примени од ФБИ во 2021 година - речиси три пати поголем од оној во 2019 година - според годишниот извештај на агенцијата Извештај за криминал на Интернет. Во овој период хакерите успеал да украде вкупно 2.4 милијарди долари со загрозување на деловните сметки за е-пошта преку техники за социјално инженерство.
Што да внимавате
Џејсон Шрајер од Блумберг шпекулираше дека неодамнешното хакирање може да го поттикне Rockstar поставете ограничувања на работа на далечина. Експертите за сајбер безбедност имаат претходно се расправаше дека работата на далечина може да бара повеќе мерки на претпазливост бидејќи ги остава вработените поранливи на напади од социјалниот инженеринг.
Дополнителни информации
Хакер на Uber тврди дека ги хакирал игрите на Rockstar, објавил видеа од GTA 6 (Форбс)
Извор: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- игри/