В этом году победитель традиционного чемпионата по социальной инженерии в рамках хакерской конференции Defcon Шейн Макдугал сумел "взломать" по телефону корпоративную сеть корпорации Wal-Mart, при этом выполнив абсолютно все задания.
Социальной инженерией, напомним, называются приемы, с помощью которых хакер атакует не компьютер, а человека, работающего с компьютером. Социальные хакеры знают, как можно "взломать человека", запрограммировав его на совершение нужных действий, прибегнув, например, к трансактному анализу и нейролингвистическому программированию.
Шейн Макдугал является основателем компании в области информационной безопасности Tactical Intelligence, которая специализируется на широком спектре задач, от корпоративного шпионажа до систем защиты. Для своих клиентов он регулярно осуществляет атаки методом социальной инженерии, обзванивая сотрудников компании и проверяя, насколько они готовы к такому нападению.
Победитель чемпионата говорит, что очень важно правильно выбрать жертву: лучше всего для этого подходят сотрудники отделов продаж, которые уязвимы перед возможностью заработать деньги. Как только речь заходит о коммерческой или личной выгоде, у многих слабеет логическое мышление и пропадает осторожность.
Чемпионат по социальной инженерии Capture The Flag проходит по следующим правилам: за две недели до финального раунда каждый социальный инженер получает по электронной почте письмо с названием и URL жертвы. Каждая компания выбирается случайным образом. В этом году в список жертв попали, среди прочих, UPS, Verizon, FedEx, Shell, Exxon Mobil, Target, Cisco, Hewlett-Packard и AT&T.
Две недели инженер изучает жертву, изучая открытые источники информации, такие как Google, LinkedIn, Facebook, собственный сайт компании-жертвы и пр. На этом этапе он начинает получать очки за каждый собранный флаг, то есть за нахождение той информации, которая указана в задании. Там обычно большой список пунктов, начиная от названий фирм-партнеров до названия версии почтового клиента, который установлен у жертвы.
Конкурсанту запрещено звонить, писать письма или иным способом связываться с жертвой до финала (организаторы стараются отслеживать это и дисквалифицируют читеров). Потом проходит очный финал, где участник соревнований получает 20 минут на телефонный разговор. Шоу транслируется в зрительный зал.
Макдугал позвонил в отдел продаж компании Wal-Mart и поговорил с менеджером одного из магазинов. Хакер представился как Гэри Дарнелл и сказал, что он новый менеджер по логистике в одном из государственных учреждений. Затем взломщик заявил, что Wal-Mart может получить многомиллионный правительственный контракт, и сейчас проходит процедура изучения всех кандидатов на этот контракт.
В процессе разговора менеджер магазина сообщил базовую информацию о предприятии, расписании работы сотрудников, организации складов и т.д. Затем он сообщил, на каких компьютерах работает офис компании, какая у него версия операционной системы, браузер и марка антивируса. В конце концов, менеджер запустил браузер и зашел на адрес, который Гэри сообщил ему по телефону.
Так Шейн Макдугал (он же Гэри Дарнелл) поставил рекорд по количеству собранных флагов за три года проведения конкурса.