топлине
Роцкстар Гамес—програмери популарне серије видео игрица Гранд Тхефт Ауто—је био хакован само неколико дана након што су сервери гиганта Убера за вожњу били мета сличног пробоја, наводно од стране истог хакера који је користио процес који се зове друштвени инжењеринг, веома ефикасан начин напада који се ослања на обману запослених у циљаној компанији и може бити тешко заштитити против.
Наводни тинејџер хакер успео је да провали интерну базу података Роцкстар Гамеса и процури … [+]
АФП преко Гетти Имагес-а
Кључне чињенице
Сличан Убер хак, хакер који носи псеудоним „ТеаПот“ тврди да је добио приступ интерним порукама Роцкстар Гамес-а на Слацк-у и раном коду за њихов ненајављени наставак Гранд Тхефт Ауто од добијање приступа на акредитиве за пријаву запосленог.
Док су тачни детаљи кршења Роцкстар-а нејасни, у Уберовом случају хакер тврди маскирао се у ИТ особу компаније и убедио запосленог да подели своје акредитиве за пријаву.
За разлику од других начина напада који се ослањају на недостатке у безбедносној архитектури компаније, друштвени инжењеринг циља људе и ослања се на манипулацију и обману.
Стручњаци борити се да људи и даље остају „најслабија карика“ у сајбер безбедности јер се лако могу преварити да кликну на злонамерне везе или поделе своје акредитиве за пријаву.
За разлику од других метода, социјални инжењеринг је такође ефикасан у побеђивању одређених побољшаних мере безбедности попут једнократних лозинки и других метода вишефакторске аутентификације.
Пресудна цита
Рејчел Тобак, извршна директорка фирме за сајбер безбедност СоциалПрооф Сецурити и експерт за друштвени инжењеринг твеетед: „Тешка истина је да већина [организација]
у свету би могао да буде хакован на исти начин на који је Убер управо хакован…Многе [организације] још увек не користе [Мултифакторску аутентификацију] интерно… и не користе менаџере лозинки (што доводи до чувања кредита на местима која се лако могу претраживати једном уљез улази).“
Кључна позадина
Социјални инжењеринг је коришћен за извођење неколико високопрофилних хакова последњих година, укључујући отмица од више од 100 истакнутих Твитер налога — међу њима Елон Маск, бивши председник Барак Обама, Бил Гејтс и Кање Вест — који су тада коришћени за промовисање биткоин преваре. Хакове су извршили тинејџери који су успели да добију приступ Твитер интерним мрежама циљајући на „мали број запослених“ према компанија друштвених медија. Прошлог месеца, и Цлоудфларе и Твилио су такође били мета напада друштвеног инжењеринга названог „пхисхинг“ где су запослени преварени да отворе поруку која је била прикривена да изгледа као легитимна комуникација компаније, али је укључивала злонамерну везу. Твилио, који пружа услуге размјене порука и двофакторске аутентификације, обелодањују да су хакери успели да провале интерне базе података компаније и да добију приступ неоткривеном броју корисничких налога. Цлоудфларе, мрежа за испоруку садржаја на мрежи, напоменути хакери нису могли да приступе њеној интерној мрежи.
Против
За разлику од Твилио-а, Убер-а и Роцкстар-а, којима су интерни системи пробијени, Цлоудфларе је успео да избегне ову судбину због коришћења сигурносни кључеви засновани на хардверу. За разлику од других метода вишефакторске аутентификације као што су текстуалне поруке и једнократне лозинке, хардверски сигурносни кључеви су много сигурнији од напада друштвеног инжењеринга. Циљани запослени може бити преварен да подели детаље текстуалне поруке или једнократне лозинке, али хакер треба да добије физички посед хардверског безбедносног кључа да би добио приступ налогу. Хардверски безбедносни кључеви долазе у различитим облицима укључујући УСБ стикове или Блуетоотх кључеве и морају да буду укључени или повезани са уређајем који покушава да добије приступ заштићеном налогу. Хакери који добију приступ акредитивима запослених неће моћи да приступе својим налозима који користе овај облик безбедности без да физички добију приступ својим кључевима. У 2018. Гоогле најавила да ниједан од њених 85,000 није био успешно мета пхисхинг напада након што је годину дана раније наложио употребу физичких безбедносних кључева.
Велики број
323,972. То је укупан број притужби на нападе социјалног инжењеринга које је ФБИ примио 2021. — скоро три пута већи него што је био 2019. — према годишњем извештају агенције Извештај о интернет криминалу. Током овог периода, хакери успео да украде укупно 2.4 милијарде долара компромитовањем налога пословне е-поште путем техника друштвеног инжењеринга.
Вхат То Ватцх Фор
Блоомбергов Џејсон Шрајер спекулише да би недавни хак могао да подстакне Роцкстар поставити ограничења на даљински рад. Стручњаци за сајбер безбедност имају претходно аргументовано да рад на даљину може захтевати више мера предострожности јер оставља запослене рањивијим на нападе социјалног инжењеринга.
Даље читање
Убер каже да реагује на „инцидент сајбер безбедности“ након наводног хаковања интерних база података (Форбес)
Убер Хакер тврди да је хаковао Роцкстар игре, објављује ГТА 6 видео записе (Форбес)
Извор: хттпс://ввв.форбес.цом/ситес/силадитиараи/2022/09/20/социал-енгинееринг-хов-а-теен-хацкер-аллегедли-манагед-то-бреацх-ботх-убер-анд-роцкстар- игре/