Un estudio de caso en cómo los hackers utilizan la ingeniería social

En este estudio de caso, Ira Winkler, un ingeniero social profesional, compartió amablemente un interesante estudio sobre cómo hackear con la ingeniería social. Este es un excelente ejemplo de cómo no prestar atención puede hacer que te hackeado!

La situacion

Cliente del señor Winkler quería un medidor general del nivel de concienciación sobre la seguridad de la organización. Ira y su cómplice fueron al caldero de oro y probaron la susceptibilidad de la organización para la ingeniería social.

Para empezar, que con ámbito fuera de la entrada principal del edificio y encontraron que la zona de recepción y mostrador de seguridad estaban en medio de un gran vestíbulo y fueron atendidos por una recepcionista. Al día siguiente, los dos hombres entraron en el edificio durante el pico de la mañana mientras fingía hablar por teléfonos celulares. Se quedaron por lo menos 15 pies de distancia de la operadora y la ignoraron, mientras caminaban por.

Después de que estaban dentro de las instalaciones, se encontraron con una sala de conferencias para establecerse en. Se sentaron a planear el resto del día y decidieron una insignia instalación sería un gran comienzo. El Sr. Winkler llamó al número de información principal y pidió a la oficina que hace las insignias.

Fue remitida a la recepción / seguridad. Ira a continuación, se hizo pasar por el CIO y le dijo a la persona en el otro extremo de la línea que quería insignias por un par de subcontratistas. La persona respondió, ". Enviar los subcontratistas hasta el vestíbulo principal "

Cuando el señor Winkler y su cómplice llegaron, un guardia uniformado le preguntó lo que estaban trabajando, y mencionó las computadoras. El guardia entonces les preguntó si necesitaban acceso a la sala de ordenadores! Por supuesto, ellos dijeron: " Eso ayudaría ".

En cuestión de minutos, los dos tenían insignias con acceso a todas las zonas de oficinas y el centro de operaciones de la computadora. Se fueron al sótano y usaron sus tarjetas de identificación para abrir la puerta principal de la sala de ordenadores. Caminaron y pudieron acceder a un servidor de Windows, cargue la herramienta de administración de usuarios, agregar un nuevo usuario al dominio, y hacer que el usuario de un miembro del grupo de administradores. Entonces rápidamente se fueron.

Los dos hombres tenían acceso a toda la red corporativa con derechos administrativos dentro de dos horas. También usaron las insignias para realizar recorridos fuera de horario del edificio. Al hacerlo, se encontraron con la tecla a la oficina del director general y plantaron un error simulacro allí.

El resultado

Nadie fuera del equipo sabía lo que los dos hombres habían hecho hasta que se les dijo después de los hechos. Después de que los empleados fueron informados, el supervisor de guardia llamó al señor Winkler y quería saber que emitió las insignias. El Sr. Winkler le informó de que el hecho de que la oficina de seguridad no sabía quién emitió las insignias era un problema en sí mismo, y que él no da a conocer esa información.

¿Cómo Esto podría haberse evitado

Según el Sr. Winkler, el mostrador de seguridad debe colocar más cerca de la entrada, y la empresa debe tener un proceso formal para la expedición de placas. El acceso a áreas especiales como la sala de ordenadores debe requerir la aprobación de una entidad conocida, también.

Después de que se conceda el acceso, la confirmación debe ser enviada al aprobador. Además, la pantalla del servidor debe ser bloqueado, y la cuenta de Windows no debe iniciar sesión desatendida. Cualquier adición de una cuenta de administrador debe ser auditado, y las partes correspondientes debe ser alertado.




» » » » Un estudio de caso en cómo los hackers utilizan la ingeniería social