Cómo robar secretos corporativos en 20 minutos: Pregunte

Algunas compañías en Fortune 500 necesitan actualizar sus navegadores web. Y mientras lo hacen, una pequeña capacitación interna en ingeniería social tampoco sería una mala idea.

Hackers de ingeniería social: personas que engañan a los empleados para que hagan y digan cosas que no deberían hacer. - Hicieron su mejor intento en el Fortune 500 durante un concurso en Defcon Friday y demostraron lo fácil que es hacer que la gente hable, si solo dices la mentira correcta.

Las conferencias de seguridad Defcon y Black Hat están teniendo lugar en Las Vegas esta semana.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Los concursantes consiguieron personal de TI en las principales corporaciones, incluyendo Microsoft, Cisco Systems, Apple y Shell, para renunciar a todo tipo de información que podría usarse en un ataque informático, incluido el navegador y el número de versión que estaban usando (las dos primeras compañías llamadas Friday usaban IE6), qué software usan para abrir documentos PDF, su sistema operativo y número de paquete de servicio, su cliente de correo electrónico, el software antivirus que usan, e incluso el nombre de su red inalámbrica local.

Los primeros dos concursantes lo hicieron parecer fácil.

Wayne, un consultor de seguridad de Australia que no dio su apellido, fue el primero de la mañana del viernes. Su misión: obtener datos de una importante empresa de EE. UU. (IDG News Service ha elegido no informar qué empresas se enamoraron de cada ataque debido a posibles riesgos de seguridad.)

Sentado detrás de un stand insonorizado ante un público, se conectó con un centro de llamadas de TI y consiguió que un empleado llamado Ledoi hablara. Fingiendo ser un consultor de KPMG haciendo una auditoría bajo presión de fecha límite, Wayne lo hizo derramar detalles, a lo grande.

Wayne ignoró una solicitud de número de empleado y se lanzó inmediatamente a una historia sobre cómo su jefe estaba sobre su espalda, y cómo realmente necesitaba terminar esta auditoría. Trabajó su encanto australiano en el trabajador, que solo había estado con su nuevo empleador durante un mes. En cuestión de minutos, parecía que estaba dispuesto a darle a Wayne casi toda la información que quería, en un momento incluso visitó una página falsa de KMPG que Wayne había establecido.

Terminó la llamada prometiendo comprarle una cerveza al empleado..

"¿Qué cerveza te gusta?"

"Ahora estoy en una patada Blue Moon".

En una entrevista después de la llamada, Wayne no podía creer su suerte. "Estaba pensando que eran una gran empresa y sé que hicieron muchas auditorías de seguridad internas". Más adelante, los organizadores del concurso dijeron que su esfuerzo fue el mejor del día. Pero todos los que fueron atacados dieron información. Chris Hadnagy, uno de los fundadores del concurso, cree que las víctimas habrían regalado información confidencial como contraseñas si se les hubiera preguntado. "Habrían dado imágenes de su familia si lo hubiesen pedido", dijo.

Las reglas del concurso prohibían solicitar información confidencial o dirigirse a ciertos tipos de organizaciones, como el gobierno o las instituciones financieras. Aun así, la competencia sacudió los nervios incluso antes de que comenzara. El mes pasado, Hadnagy recibió una llamada del FBI para preguntar sobre el concurso.

Wayne, quien ha realizado este tipo de ingeniería social durante 15 años en su trabajo diario como consultor de seguridad, dijo que realizó unas 20 horas de reconocimiento antes de la competencia. el concurso. Sabía cómo llegar al centro de llamadas de TI y qué nombres dejar cuando llegara.

Reconoció que había tenido suerte al conseguir un empleado tan verde. Pero los nuevos empleados hacen las mejores fuentes. "Si eliges a alguien que sea una persona sobresaliente en la empresa, no obtendrás nada", dijo. "Tienen mucho que perder".

El concursante número dos, Shane MacDougall, decidió saltarse el centro de llamadas y dirigirse directamente al personal de seguridad de otra compañía conocida. Adoptó un enfoque más abotonado, alegando que estaba realizando una encuesta para CSO Magazine.

La primera persona a la que llegó sabía lo que estaba haciendo y, con firmeza, cortésmente cerró MacDougall después de negarse a responder algunas preguntas, diciendo: "Estas son preguntas específicas que no me siento cómodo respondiendo".

Los concursantes solo recibieron 25 minutos para trabajar. Así que con el tiempo corriendo, MacDougall tuvo suerte en su próxima marca: un empleado contratado en el departamento de ingeniería de seguridad que había estado con la compañía durante dos meses. Después de algunas preguntas de softball sobre la satisfacción laboral y la calidad de la comida de la cafetería, recurrió a los datos concretos.

La marca entregada: sistema operativo: Windows XP, Service Pack 3; antivirus: McAfee VirusScan 8.7; correo electrónico: Outlook 2003, service pack 3; navegador: IE 6.

MacDougall le dijo que visite un sitio web para recoger su cupón de encuesta de $ 25, y el trabajador cumplió.

El concurso se ejecuta en Defcon hasta el domingo. El ganador obtiene un iPad.

Robert McMillan cubre las últimas noticias de seguridad informática y tecnología general para The IDG News Service. Sigue a Robert en Twitter en @bobmcmillan. La dirección de correo electrónico de Robert es [email protected]