Cara Mencuri Rahasia Perusahaan dalam 20 Menit: Tanyakan

Beberapa perusahaan di Fortune 500 perlu memperbarui browser Web mereka. Dan sementara mereka melakukannya, sedikit pelatihan in-house tentang rekayasa sosial juga bukan ide yang buruk.

Hacker peretas sosial - orang yang menipu karyawan untuk melakukan dan mengatakan hal-hal yang seharusnya tidak boleh mereka lakukan - - mengambil kesempatan terbaik mereka di Fortune 500 selama kontes di Defcon Friday dan menunjukkan betapa mudahnya membuat orang berbicara, jika hanya Anda mengatakan kebohongan yang tepat.

Konferensi keamanan Defcon dan Black Hat berlangsung di Las Vegas minggu ini.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Kontestan mendapatkan staf TI di perusahaan besar, termasuk Microsoft, Cisco Systems, Apple, dan Shell, untuk menyerahkan segala macam informasi yang dapat digunakan dalam serangan komputer, termasuk browser dan nomor versi yang mereka gunakan (dua perusahaan pertama yang disebut Jumat menggunakan IE6), perangkat lunak apa yang mereka gunakan untuk membuka dokumen pdf, sistem operasi dan nomor paket layanan, klien email mereka, perangkat lunak antivirus yang mereka gunakan, dan bahkan nama jaringan nirkabel lokal mereka.

Dua kontestan pertama membuatnya terlihat mudah. ​​

Wayne, konsultan keamanan dari Australia yang tidak akan memberikan nama belakangnya, pertama kali Jumat pagi. Misinya: Dapatkan data dari perusahaan besar AS. (Layanan Berita IDG telah memilih untuk tidak melaporkan perusahaan mana yang jatuh karena serangan mana yang mungkin karena risiko keamanan.)

Duduk di belakang stan kedap suara di depan audiensi, ia terhubung dengan pusat panggilan IT dan memanggil seorang karyawan bernama Ledoi berbicara. Berpura-pura menjadi konsultan KPMG yang melakukan audit di bawah tekanan tenggat waktu, Wayne membuatnya membeberkan detail, waktu besar.

Wayne mengabaikan permintaan untuk nomor karyawan dan segera meluncurkan ke dalam cerita tentang bagaimana bosnya di punggungnya, dan bagaimana dia benar-benar diperlukan untuk menyelesaikan audit ini. Dia bekerja pesona Aussie pada pekerja, yang baru saja dengan majikan barunya selama sebulan. Dalam beberapa menit, sepertinya dia bersedia memberi Wayne cukup banyak informasi yang dia inginkan - pada satu titik dia bahkan mengunjungi halaman Web KMPG palsu yang telah dibuat oleh Wayne.

Dia mengakhiri panggilan yang menjanjikan untuk membeli karyawan itu bir.

"Bir apa yang kamu suka?"

"Saat ini aku sedang melakukan tendangan Blue Moon."

Dalam sebuah wawancara setelah panggilan itu, Wayne tidak bisa mempercayai keberuntungannya. "Aku berpikir mereka adalah perusahaan yang cukup besar dan aku tahu mereka melakukan banyak audit keamanan di rumah."

Kemudian, penyelenggara kontes mengatakan usahanya adalah yang terbaik hari ini. Tetapi semua orang yang menjadi target menyerah untuk memberikan informasi. Chris Hadnagy, salah satu pendiri kontes, percaya bahwa korban akan memberikan informasi sensitif seperti kata sandi yang diminta. "Mereka akan memberikan foto-foto keluarga mereka jika mereka memintanya," katanya.

Peraturan kontes dilarang meminta informasi sensitif, atau menargetkan jenis organisasi tertentu seperti pemerintah atau lembaga keuangan. Meski begitu, kontes menggetarkan saraf bahkan sebelum dimulai. Bulan lalu, Hadnagy menerima telepon dari FBI menanyakan tentang kontes.

Wayne, yang telah melakukan teknik sosial semacam ini selama 15 tahun di pekerjaannya sebagai konsultan keamanan, mengatakan dia melakukan 20 jam pengintaian sebelum kontes. Dia tahu bagaimana cara menghubungi pusat panggilan IT dan nama-nama apa yang harus dijatuhkan saat dia selesai.

Dia mengakui bahwa dia beruntung dengan mendapatkan seorang karyawan hijau seperti itu. Tetapi karyawan baru membuat sumber terbaik. "Jika Anda memilih seseorang yang merupakan orang tinggi di perusahaan, Anda tidak akan mendapat apa-apa," katanya. "Mereka banyak kehilangan."

Kontestan nomor dua, Shane MacDougall, memutuskan untuk melewati call center dan pergi ke kanan untuk staf keamanan di perusahaan terkenal lain. Dia mengambil pendekatan lebih kancing-bawah, mengklaim akan melakukan survei untuk CSO Magazine.

Orang pertama yang dia capai tahu apa yang dia lakukan, dan dengan tegas tetapi dengan sopan menutup MacDougall setelah menolak menjawab beberapa pertanyaan, mengatakan, "Ini adalah pertanyaan khusus yang saya tidak merasa nyaman menjawabnya."

Kontestan hanya diberikan 25 menit untuk bekerja. Jadi dengan jam terus berdetak, MacDougall beruntung pada tanda berikutnya - seorang karyawan kontrak di departemen teknik keamanan yang telah bersama perusahaan selama dua bulan. Setelah beberapa pertanyaan softball tentang kepuasan kerja dan kualitas makanan kafetaria, ia memilih data yang sulit.

Tanda yang dikirimkan: sistem operasi: Windows XP, paket layanan 3; antivirus: McAfee VirusScan 8.7; e-mail: Outlook 2003, paket layanan 3; browser: IE 6.

MacDougall kemudian menyuruhnya untuk mengunjungi sebuah situs web untuk mengumpulkan kupon survei US $ 25, dan pekerja tersebut mematuhinya.

Kontes berlangsung di Defcon hingga Minggu. Pemenang mendapatkan iPad.

Robert McMillan mencakup keamanan komputer dan teknologi umum untuk Berita IDG News Service. Ikuti Robert di Twitter di @bobmcmillan. Alamat e-mail Robert adalah [email protected]