Hvordan stjele bedriftens hemmeligheter om 20 minutter: Spør

Noen få selskaper i Fortune 500 trenger å oppgradere sine nettlesere. Og mens de er på det, vil en liten internt trening på sosialteknikk heller ikke være en dårlig ide.

Sosialteknik hackere - folk som lurker ansatte til å gjøre og si ting de ikke bør - - tok sitt beste skudd på Fortune 500 i løpet av en konkurranse på Defcon Friday, og viste hvor lett det er å få folk til å snakke, hvis du bare forteller riktig løgn.

Sikkerhetskonferansen Defcon og Black Hat finner sted i Las Vegas denne uken.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Deltakere har IT-medarbeidere hos store selskaper, inkludert Microsoft, Cisco Systems, Apple og Shell, for å gi opp all slags informasjon som kan brukes i et datamaskinangrep, inkludert hvilken nettleser og versjonsnummer de brukte (de to første selskapene kalt fredag ​​brukte IE6), hvilken programvare de bruker til å åpne pdf-dokumenter, operativsystem og service pack nummer, e-postklient, antivirusprogramvaren de bruker, og til og med navnet på deres lokale trådløse nettverk.

De to første deltakerne gjorde det enkelt.

Wayne, en sikkerhetskonsulent fra Australia som ikke ville gi sitt etternavn, var først opp fredag ​​morgen. Hans oppdrag: Få data fra et stort amerikansk selskap. (IDG News Service har valgt å ikke rapportere hvilke selskaper som falt for hvilke angrep på grunn av mulige sikkerhetsrisikoer.)

Sitter bak en lydsikker messe før et publikum, han koblet seg til et IT-call center og fikk en ansatt som heter Ledoi og snakket. Wayne fikk ham til å spyle detaljer, stor tid.

Wayne ignorerte en forespørsel om et ansattes nummer og lanserte umiddelbart en historie om hvordan sjefen hans var på ryggen hvordan han virkelig trengte å få denne revisjonen ferdig. Han jobbet med sin Aussie-sjarm på arbeideren, som bare hadde vært med sin nye arbeidsgiver i en måned. I løpet av få minutter virket han villig til å gi Wayne ganske mye informasjon han ønsket - på et tidspunkt besøkte han til og med en falsk KMPG-nettside som Wayne hadde satt opp.

Han avsluttet samtalen lovende å kjøpe en ansatt en øl

"Hvilken øl liker du?"

"Nå er jeg på et Blue Moon-spark."

I et intervju etter samtalen kunne Wayne ikke tro på lykken. "Jeg tenkte at de er et ganske stort selskap, og jeg vet at de gjorde mange interne sikkerhetsrevisjoner."

Senere sa konkurransearrangørene at hans innsats var det beste i dag. Men alle som var målrettet ga opp informasjon. Chris Hadnagy, en av grunnleggerne av konkurransen, mener at ofrene ville ha gitt bort sensitiv informasjon som passord hadde de blitt spurt. "De ville ha gitt bilder av familien deres hvis de hadde bedt om det," sa han.

Konkurransebestemmelser forbudt å be om sensitiv informasjon, eller målrette mot bestemte typer organisasjoner som regjerings- eller finansinstitusjoner. Likevel rystet konkurransen nervene selv før den hadde startet. Hadnagy mottok i fjor en samtale fra FBI om konkurransen.

Wayne, som har gjort denne typen sosialteknikk i 15 år i sin daglige jobb som sikkerhetskonsulent, sa at han gjorde ca 20 timers rekognosering foran konkurransen. Han visste hvordan han skulle komme seg til IT-call centeret og hvilke navn å slippe da han kom igjennom.

Han innrømmet at han hadde lucked ut ved å få en så grønn medarbeider. Men nye medarbeidere gjør de beste kildene. "Hvis du velger noen som er en opptatt person i selskapet, får du ingenting," sa han. "De har mye å tape."

Talsmann nummer to, Shane MacDougall, bestemte seg for å hoppe over call center og gå rett til sikkerhetspersonalet ved et annet kjent selskap. Han tok en mer knappet ned tilnærming, og hevdet at han skulle gjennomføre en undersøkelse for CSO Magazine.

Den første personen han nådde visste hva han gjorde, og stanset, men høflig, lukket MacDougall høflig etter å ha nektet å svare på noen få spørsmål, og sa: "Dette er bestemte spørsmål jeg ikke føler meg komfortabel å svare på."

Deltakerne ble gitt bare 25 minutter på jobb. Så med klokken tikkende, spilte MacDougall ut på sitt neste merke - en kontraktsansatt i sikkerhetsingeniøravdelingen som hadde vært hos selskapet i to måneder. Etter noen få softballspørsmål om jobbtilfredshet og kvaliteten på kafeteria maten, gikk han for de harde dataene.

Merket levert: operativsystem: Windows XP, service pack 3; antivirus: McAfee VirusScan 8.7; e-post: Outlook 2003, service pack 3; nettleseren: IE 6.

MacDougall sa da til ham å besøke et nettsted for å samle sin undersøkelseskupong på US $ 25, og arbeideren fulgte.

Konkurransen går til Defcon gjennom søndag. Vinneren får en iPad.

Robert McMillan dekker datasikkerhet og generell teknologi som bryter nyheter for IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-postadresse er [email protected]