Como i infiltró una empresa de la lista Fortune 500 con sociales … blockchain cartera bitcoin

Aquí está el plan de fondo: Esta caída durante un ejercicio de seguridad en DerbyCon VII, yo gané la Ingeniería Social Capture el concurso Flag (SECTF), en la que todos nosotros técnicas de ingeniería social utilizadas para recopilar información que podría ser utilizada para comprometer una empresa. Fue una competición exigente en contra de cinco competidores de alto nivel, y tengo el placer de decir que salió victorioso.

Antes de la convención, nos fuimos cada uno asignado a una empresa de la lista Fortune 500 en Louisville, Kentucky, el área de y dado tres semanas para compilar un informe sobre ellos mediante el uso de la inteligencia de código abierto, o OSINT, que es un medio de recopilación de información de fuentes públicas, tales como motores de búsqueda, sitios web de empresas y medios de comunicación sociales bitcoin proyecciones para el año 2020. al DerbyCon, hicimos llamadas telefónicas en vivo a partir de una caja a prueba de sonido en frente de una audiencia para recoger más información.

el informativo "banderas" plasmada en el informe y las llamadas telefónicas fueron entonces anotó. (Un informe detallado de Defcon 24 que contiene todas las banderas disponibles para la captura está disponible aquí.)

Con Recon-ng (una herramienta de software que se utiliza para recoger y analizar OSINT) para analizar los metadatos de los archivos alojados públicamente valió una pieza clave de información: la sintaxis número de teléfono en los documentos oficiales. He utilizado el siguiente término de búsqueda en Google y encontró una mina de oro: "+(123) 456-." Esto me ha dado varios nombres, direcciones de email y números de teléfono.

Un ex-empleado había enviado una lista de discusión para obtener ayuda de solución de problemas del sistema de copia de seguridad de alrededor de un año antes. Esto me ha permitido ir a tu cuenta de GitHub y averiguar datos sobre las tecnologías utilizadas internamente con base en sus comentarios en el código y el propio código.

Yo envié mi informe y esperó a que DerbyCon y mi tiempo para sentarse en la cabina. En esta fase de la competición, llamé a algunos números, pero sólo alcanzó el correo de voz. Seguí intentando. Finalmente, una buena mujer respondió, y le expliqué que yo era de "seguridad" y que se preparaban para una auditoría externa y necesarios para validar parte de la información.

Me levanté relación con ella usando el tema de la cerveza artesanal, que era un tema común que observé en buscar personas en los alrededores de Louisville. Empecé a hacer preguntas básicas de mi pretexto aprobado (esto es, el engaño o el esquema usado), y ella Voluntariamente contestadas. Finalmente, le dije que yo había implementado una política de seguridad y instruyó a ir a un sitio web específico, y ella obligados bitcoin tasa en el INR. Se lo agradecí y terminada la llamada.

marqué más números. Todos buzón de voz. A continuación, una mujer en el departamento de recepción tomó. Yo di la misma historia, y yo he accedido a un caballero que más tarde reveló que trabajó en TI. Nota: yo estaba spoofing un número interno de TI para el Microsoft Office cuestiones de migración de correo electrónico 365 bitcoin escándalo. Le expliqué el pretexto para él, esta vez sin hablar de la cerveza artesanal. Empecé a hacer preguntas similares a la llamada anterior, y él respondió. Cuando mencioné Bitlocker, él me informó que él fue instalado porque él estaba usando el de Windows, pero un producto diferente, que fue usada para el cifrado y la protección contra el malware. Cuando yo le pregunté para ir a la página web, se quedó desconfiado y le pidió un número de identificación interno. Yo hice uno para arriba y cuando él me puso en espera para hacer válido el mismo, mis 20 minutos y expiró, y he terminado la llamada.

La forma más fácil para la empresa para haber evitado esta infiltración es a través de entrenamiento y simulación. el personal de una empresa, deben ser cautelosos con las llamadas telefónicas no solicitado de e-mails pidiendo para el acceso a la red o credenciales. El entrenamiento debe ser administrado con más frecuencia que una vez al año. Yo recomiendo formación trimestral para hacer frente a nuevas amenazas y tendencias, así como para mantenerlo fresco en la mente de los miembros del equipo. Algunos de los controles de seguridad técnica puede haber retardado el proceso para abajo, pero los administradores de estos sistemas también pueden ser objetivo y los sistemas eludan.

el teléfono se llama, simplemente responder a las solicitudes, diciendo: "Estoy a punto de entrar en una reunión rápida; Yo podría llamarlo de vuelta en X minutos?" me tendría que dejó en mis canciones. En vez de eso, me apalancado Dr bitcoin India sesión. de Robert Cialdini 6 Principios de la Persuasión y fue capaz de transmitir urgencia / escasez y simpatía para obtener los datos.

Las personas van a ser víctima de esfuerzos de ingeniería social. Me di cuenta de que una política de la empresa no de castigo, en respuesta a la auto-relato es un gran paso hacia la promoción de una cultura para prevenir tales ataques. Las personas necesitan tener competencias para informar de la forma de respuesta a incidentes para activar temprano en vez de después de que todos los sistemas han sido cifrados con ransomware. Además, los empleados gratificantes para los informes y ayudando a prevenir ataques va a estimular la concienciación de la seguridad. Un ejemplo simple sería un sorteo mensual para el e-mail más original phishing dirigido a la persona de seguridad.

Únase a Dark Reading vivir por dos días de discusiones de defensa cibernética práctica bloque bitcoin actual recompensa. Aprende con los expertos en seguridad de TI más experimentados del sector. Echa un vistazo a la agenda de la inseguridad aquí. Joe Gray se unió a la Marina de los estados UNIDOS directamente fuera de la escuela y trabajó durante siete años como técnico en electrónica de navegación submarina. Joe es un consultor de seguridad de la empresa de Espada & Escudo Enterprise Security en Knoxville, Tennessee. Joe también mantiene su propio blog y … Ver Bio completa

Aquí está el plan de fondo: Esta caída durante un ejercicio de seguridad en DerbyCon VII, yo gané la Ingeniería Social Capture el concurso Flag (SECTF), en la que todos nosotros técnicas de ingeniería social utilizadas para recopilar información que podría ser utilizada para comprometer una empresa. Fue una competición exigente en contra de cinco competidores de alto nivel, y tengo el placer de decir que salió victorioso.

Antes de la convención, nos fuimos cada uno asignado a una empresa de la lista Fortune 500 en Louisville, Kentucky, el área de y dado tres semanas para compilar un informe sobre ellos mediante el uso de la inteligencia de código abierto, o OSINT, que es un medio de recopilación de información de fuentes públicas, tales como motores de búsqueda, sitios web de empresas y medios de comunicación sociales. En DerbyCon, hicimos llamadas telefónicas en vivo a partir de una caja a prueba de sonido en frente de una audiencia para recoger más información. el informativo "banderas" plasmada en el informe y las llamadas telefónicas fueron entonces anotó. (Un informe detallado de Defcon 24 que contiene todas las banderas disponibles para la captura está disponible aquí.)

Con Recon-ng (una herramienta de software que se utiliza para recoger y analizar OSINT) para analizar los metadatos de los archivos alojados públicamente valió una pieza clave de información: la sintaxis número de teléfono en los documentos oficiales. He utilizado el siguiente término de búsqueda en Google y encontró una mina de oro: "+(123) 456-." Esto me ha dado varios nombres, direcciones de email y números de teléfono.

Un ex-empleado había enviado una lista de discusión para obtener ayuda de solución de problemas del sistema de copia de seguridad de aproximadamente un año antes de juegos de bitcoin libre. Esto me ha permitido ir a tu cuenta de GitHub y averiguar datos sobre las tecnologías utilizadas internamente con base en sus comentarios en el código y el propio código.

Yo envié mi informe y esperó a que DerbyCon y mi tiempo para sentarse en la cabina. En esta fase de la competición, llamé a algunos números, pero sólo alcanzó el correo de voz. Seguí intentando. Finalmente, una buena mujer respondió, y le expliqué que yo era de "seguridad" y que se preparaban para una auditoría externa y necesarios para validar parte de la información.

Me levanté relación con ella usando el tema de la cerveza artesanal, que era un tema común que observé en buscar personas en los alrededores de Louisville. Empecé a hacer preguntas básicas de mi pretexto aprobado (esto es, el engaño o el esquema usado), y ella Voluntariamente contestadas. Finalmente, le dije que yo había implementado una política de seguridad y instruyó a ir a un sitio web específico, y ella gracias linux bitcoin. Se lo agradecí y terminada la llamada.

marqué más números. Todos buzón de voz. A continuación, una mujer en el departamento de recepción tomó. Yo di la misma historia, y yo he accedido a un caballero que más tarde reveló que trabajó en TI. Nota: yo estaba spoofing un número interno de TI para Microsoft Office 365 cuestiones de migración de correo electrónico. Le expliqué el pretexto para él, esta vez sin hablar de la cerveza artesanal. Empecé a hacer preguntas similares a la llamada anterior, y él respondió. Cuando mencioné Bitlocker, él me informó que él fue instalado porque él estaba usando el de Windows, pero un producto diferente, que fue usada para el cifrado y la protección contra el malware. Cuando yo le pregunté para ir a la página web, se quedó desconfiado y le pidió un número de identificación interna bitcoin aplicación. Yo hice uno para arriba y cuando él me puso en espera para hacer válido el mismo, mis 20 minutos y expiró, y he terminado la llamada.

La forma más fácil para la empresa para haber evitado esta infiltración es a través de entrenamiento y simulación. el personal de una empresa, deben ser cautelosos con las llamadas telefónicas no solicitado de e-mails pidiendo para el acceso a la red o credenciales. El entrenamiento debe ser administrado con más frecuencia que una vez al año. Yo recomiendo formación trimestral para hacer frente a nuevas amenazas y tendencias, así como para mantenerlo fresco en la mente de los miembros del equipo. Algunos de los controles de seguridad técnica puede haber retardado el proceso para abajo, pero los administradores de estos sistemas también pueden ser objetivo y los sistemas eludan.

el teléfono se llama, simplemente responder a las solicitudes, diciendo: "Estoy a punto de entrar en una reunión rápida; Yo podría llamarlo de vuelta en X minutos?" me tendría que dejó en mis canciones. En vez de eso, me apalancado Dr mi cartera bitcoin. de Robert Cialdini 6 Principios de la Persuasión y fue capaz de transmitir urgencia / escasez y simpatía para obtener los datos.

Las personas van a ser víctima de esfuerzos de ingeniería social. Me di cuenta de que una política de la empresa no de castigo, en respuesta a la auto-relato es un gran paso hacia la promoción de una cultura para prevenir tales ataques. Las personas necesitan tener competencias para informar de la forma de respuesta a incidentes para activar temprano en vez de después de que todos los sistemas han sido cifrados con ransomware. Además, los empleados gratificantes para los informes y ayudando a prevenir ataques va a estimular la concienciación de la seguridad. Un ejemplo simple sería un sorteo mensual para el e-mail más original phishing dirigido a la persona de seguridad.

Únase a Dark Reading vivir por dos días de discusiones de defensa cibernética prácticos. Aprende con los expertos en seguridad de TI más experimentados del sector. Echa un vistazo a la agenda de la inseguridad aquí. Joe Gray se unió a la Marina de los estados UNIDOS directamente fuera de la escuela y trabajó durante siete años como técnico en electrónica de navegación submarina. Joe es un consultor de seguridad de la empresa de Espada & Escudo Enterprise Security en Knoxville, Tennessee bitcoin cambio de dinero. Joe también mantiene su propio blog y … Ver Bio completa