topline
Rockstar Games-ը` Grand Theft Auto տեսախաղերի հանրահայտ շարքի մշակողներն էին hacked Ընդամենը օրեր անց հսկա Uber-ի սերվերները թիրախ դարձան նմանատիպ խախտման, ենթադրաբար նույն հաքերի կողմից, ով օգտագործել է սոցիալական ինժեներ կոչվող գործընթացը, հարձակման շատ արդյունավետ եղանակ, որը հիմնված է թիրախավորված ընկերության աշխատակիցներին խաբելու վրա և կարող է դժվար լինել պաշտպանելը: դեմ.
Ենթադրյալ դեռահաս հաքերին հաջողվել է կոտրել Rockstar Games-ի ներքին տվյալների բազան և արտահոսել ... [+]
AFP- ի միջոցով Getty Images- ի միջոցով
Հիմնական փաստեր
Նման է Uber հաքեր«TeaPot» մականունով հաքերն ասել է, որ իրեն հասանելի են դարձել Rockstar Games-ի ներքին հաղորդագրությունները Slack-ում և վաղ կոդ՝ իրենց չհայտարարված Grand Theft Auto-ի շարունակության համար: մուտք ձեռք բերելով աշխատակցի մուտքի հավատարմագրերին:
Թեև Rockstar-ի խախտման ճշգրիտ մանրամասները պարզ չեն, Uber-ի դեպքում հաքերն է պնդում նա ներկայացավ որպես ընկերության ՏՏ անձնավորություն և աշխատակցին համոզեց կիսվել իրենց մուտքի հավատարմագրերով:
Ի տարբերություն այլ հարձակումների, որոնք հիմնված են ընկերության անվտանգության ճարտարապետության թերությունների վրա, սոցիալական ճարտարագիտությունը թիրախավորում է մարդկանց և հիմնվում է մանիպուլյացիայի և խաբեության վրա:
Փորձագետները վիճել որ մարդիկ դեռևս մնում են կիբերանվտանգության «ամենաթույլ օղակը», քանի որ նրանց հեշտությամբ կարելի է խաբել՝ կտտացնելով վնասակար հղումներին կամ կիսվել իրենց մուտքի հավատարմագրերով:
Ի տարբերություն այլ մեթոդների, սոցիալական ճարտարագիտությունը նույնպես արդյունավետ է որոշակի ուժեղացվածներին հաղթելու համար անվտանգության միջոցառումներ ինչպես միանգամյա գաղտնաբառերը և բազմագործոն նույնականացման այլ մեթոդներ:
Վճռորոշ մեջբերում
Ռեյչել Տոբակը՝ կիբերանվտանգության ընկերության SocialProof Security ընկերության գործադիր տնօրեն և սոցիալական ճարտարագիտության փորձագետ tweeted«Դժվար ճշմարտությունն այն է, որ [կազմակերպությունների] մեծ մասը]
աշխարհում կարող են կոտրվել այնպես, ինչպես պարզապես կոտրել են Uber-ը… Շատ [կազմակերպություններ] դեռ չեն օգտագործում [Multi Factor Authentication] ներքին ներսում… և չեն օգտագործում գաղտնաբառերի կառավարիչներ (ինչը հանգեցնում է հավատարմագրերի պահպանմանը հեշտությամբ որոնելի վայրերում մեկ անգամ: ներխուժողը ներս է մտնում):
Հիմնական նախապատմություն
Սոցիալական ճարտարագիտությունը վերջին տարիներին օգտագործվել է մի քանի բարձր մակարդակի հաքերներ իրականացնելու համար, ներառյալ առևանգում Twitter-ի ավելի քան 100 հայտնի էջերից, որոնց թվում են Իլոն Մասկը, նախկին նախագահ Բարաք Օբաման, Բիլ Գեյթսը և Քանյե Ուեսթը, որոնք այնուհետև օգտագործվել են բիթքոյնների խարդախությունը խթանելու համար: Հաքերները կատարվել են դեռահասների կողմից, որոնց հաջողվել է մուտք գործել Twitter-ի ներքին ցանցեր՝ թիրախավորելով «փոքր թվով աշխատակիցներ»։ ըստ սոցիալական մեդիա ընկերությունը։ Անցյալ ամիս և՛ Cloudflare-ը, և՛ Twilio-ն թիրախ դարձան սոցիալական ինժեներական հարձակման, որը կոչվում էր «ֆիշինգ», որտեղ աշխատակիցներին խաբում էին բացել հաղորդագրություն, որը քողարկված էր որպես օրինական ընկերության հաղորդակցություն, բայց ներառում էր վնասակար հղում: Twilio-ն, որն ապահովում է հաղորդագրությունների փոխանակման և երկգործոն նույնականացման ծառայություններ, բացահայտվել որ հաքերներին հաջողվել է կոտրել ընկերության ներքին տվյալների բազաները և մուտք են գործել հաճախորդների չբացահայտված թվով հաշիվներ: Cloudflare, առցանց բովանդակության առաքման ցանց, նշել է, հաքերները չեն կարողացել մուտք գործել նրա ներքին ցանց։
Հակա -
Ի տարբերություն Twilio-ի, Uber-ի և Rockstar-ի, որոնց ներքին համակարգերը խափանվել են, Cloudflare-ին հաջողվել է խուսափել այս ճակատագրից՝ իր օգտագործման շնորհիվ: ապարատային վրա հիմնված անվտանգության բանալիներ. Ի տարբերություն այլ բազմագործոն նույնականացման մեթոդների, ինչպիսիք են տեքստային հաղորդագրությունները և մեկանգամյա գաղտնաբառերը, ապարատային անվտանգության բանալիները շատ ավելի ապահով են սոցիալական ինժեներական հարձակումներից: Թիրախավորված աշխատակցին կարող են խաբել՝ կիսելու տեքստային հաղորդագրության կամ մեկանգամյա գաղտնաբառի մանրամասները, սակայն հաքերին անհրաժեշտ է ֆիզիկական անվտանգության ապարատային բանալի ձեռք բերել՝ հաշիվ մուտք գործելու համար: Անվտանգության ապարատային բանալիները տարբեր ձևերով են՝ ներառյալ USB կրիչները կամ Bluetooth դոնգլները, և դրանք պետք է միացվեն կամ միացվեն սարքին, որը փորձում է մուտք գործել պաշտպանված հաշիվ: Հաքերները, ովքեր մուտք են ստանում աշխատակիցների հավատարմագրերը, չեն կարողանա մուտք գործել իրենց հաշիվներ, որոնք օգտագործում են անվտանգության այս ձևը՝ առանց ֆիզիկապես մուտք ունենալու իրենց բանալիները: Google-ը 2018թ հայտարարել որ իր 85,000-ից ոչ մեկը հաջողությամբ չի թիրախավորվել ֆիշինգային հարձակման միջոցով, այն բանից հետո, երբ այն մեկ տարի առաջ պարտադրեց օգտագործել անվտանգության ֆիզիկական բանալիները:
Մեծ թիվ
323,972. Դա 2021 թվականին ՀԴԲ-ի կողմից ստացված սոցիալական ինժեներական հարձակումների վերաբերյալ բողոքների ընդհանուր թիվն է, որը գրեթե երեք անգամ ավելին է, քան 2019 թվականին, ըստ գործակալության տարեկան զեկույցի: Համացանցային հանցագործության մասին զեկույց. Այս ընթացքում հաքերները հաջողվել է գողանալ ընդհանուր առմամբ 2.4 միլիարդ դոլար՝ սոցիալական ինժեներական տեխնիկայի միջոցով բիզնես էլփոստի հաշիվները վտանգելով:
Ինչ դիտելու համար
Bloomberg-ի լրագրող Ջեյսոն Շրայերը ենթադրել է, որ վերջին հաքերային հարձակումը կարող է դրդել Rockstar-ին տեղային սահմանափակումներ հեռավոր աշխատանքի վրա. Կիբերանվտանգության փորձագետներն ունեն նախկինում պնդում էին որ հեռավոր աշխատանքը կարող է պահանջել ավելի շատ նախազգուշական միջոցներ, քանի որ այն աշխատակիցներին ավելի խոցելի է դարձնում սոցիալական ինժեներական հարձակումների նկատմամբ:
Further Reading
Uber հաքերը պնդում է, որ կոտրել է Rockstar խաղերը և թողարկել է GTA 6 տեսանյութեր (Ֆորբս)
Աղբյուր՝ https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- խաղեր/