مهندسی اجتماعی، حمله به کاربران!

ماهنامه ی الکترونیکی شبکه امن - شماره سوم - صفحه ی ۱۱
یک داستان واقعی!
يک روز صبح در همين چند سال پيش گروهي ناشناس وارد يک شرکت بزرگ ترابري شدند و هنگامي که از اين شرکت خارج شدند به کليه اطلاعات حقوقي موجود بر روي شبکه ي کمپاني مذکور دست پيدا کرده بودند. اما آنها چگونه اينکارا را کرده بودند؟ این گروه از طريق حفره هاي کوچک موجود و به صورت ذره ذره جلو رفته بودند و از تعدادي از کارمندان خود کمپاني نيز بهره برده بودند. ابتدا آنها براي مدت دو روز به تحقيق درباره ي شرکت پرداخته بودند تا بتوانند اولين دريچه هاي نفوذشان را پيدا کنند. به عنوان مثال آنها از طريق تماس با بخش اطلاعات شرکت توانسته بودند نام يکي از کارمندان کليدي را ياد بگيرند سپس وانمود کرده بودند کليدشان را بر روي يکي از درهاي شرکت جا گذاشته اند و با استفاده از همين حقه وارد کمپاني شده بودند. بعد از آن سعي کرده بودند به گونه يي رفتار کنند که هويت واقعيشان مشخص نگردد و هنگامي که وارد طبقه ي سوم که همان منطقه ي امنيتي شرکت محسوب ميشد شده بودند با يک لبخند يک کارمند نسبتاً مهربان و ساده در را به روي آنها گشوده بود.

گروه ناشناس داستان ما آگاه بودند که مدير ارشد بخش مالي شرکت در خارج از شهر به سر ميبرد پس بنابراين آنها ميتوانستند وارد دفتر کار وي شوند و به اطلاعات مالي شرکت از طريق برداشتن قفل کامپيوتر وي دست يابند. سپس آنها به بررسي سطلهاي زباله شرکت پرداختند و از اين طريق به کليه پرونده هايي که ميتوانست از نظر کارمندان شرکت کم اهميت ولي براي آنان مفيد باشد دست يافتند. همچنين گروه مذکور پيش از نفوذشان به شرکت صدايي شبيه به صداي مدير ارشد بخش مالي کمپاني را آماده و تقليد کرده بودند تا در صورتي که به مشکل برخوردند از طريق تلفن زدن و تقليد صدا پسورد وي براي دسترسي به شبکه ي شرکت را به دست آورند. بعد از آن آنها با استفاده از ابزارهاي تکنيکي هک و نفوذ يک دسترسي نامحدود و قوي به سيستم هاي شرکت ايجاد نموده بودند.

در اين حالت آنها خود را بک بازرس ويژه معرفي کرده بودند که بدون حضور هيچ يک از کارمندان مشغول بررسي اطلاعات مربوط به مدير ارشد بخش مالي شرکت است. آنها هرگز اطلاعاتي راجع به مدير ارشد بخش مالي شرکت نداده بودند ولي توانسته بودند به هر آنچه که موردن نيازشان بود دست يابند و اين کاريست که تنها از طريق روشي تحت عنوان social engineering يا مهندسي اجتماعی امکان پذير است. داستان بالا توسط فردي با نام Kapil Raina که هم اکنون يکي از متخصصين امنيتي کمپاني Verisign ميباشد و همچنين کتابي تحت عنوان mCommerce Security: A Beginner's Guide را از طريق تجربيات کاري اش تاليف و منتشر کرده است بيان گرديده بود.

تعاریف
بيشتر مقالاتي که من با موضوع مهندسي اجتماعی خواندم شامل تعريف خاصي در رابطه با اين موضوع بودند و سعي کرده بودند آن را به صورت ساده براي کاربران توضيح دهند، هر چند اشاره کاملي به اصل مطلب نداشتند به عنوان مثال Bernz 2 مهندسي اجتماعی را اينگونه تعريف ميکند: هنر و دانش به کارگيري مردم براي رسيدن به خواسته هاي شخصي٬ Palumbo آورده است: يک هکر با استفاده از حليه هاي روانشناسي اطلاعات لازم براي دسترسي به سيستم کامپيوتري کاربران عادي را به دست مي آورد. اما در حقيقت مهندسي اجتماعی ميتواند هر کدام از اينها باشد و شامل همه يشان ميشود. به نظر ميرسد در فطرت همه ي مردم خصلتي به نام اعتماد کردن موجود است. مهندسي اجتماعی به صورت عمومي و ساده زيرکي يک هکر در بهره گيري از روحيات انسان و استعداد آن در اعتماد کردن است.

هدف يک نفوذگر دسترسي به اطلاعاتي است که به او کمک کند تا به يک سيستم که براي او داراي ارزش ميباشد دسترسي پيدا کند و نهايتاً آنچه که معمولا براي نفوذگر اهميت دارد به احتمال زياد اطلاعات موجود بر روي آن سيستم است. شايد ما سيستم را با استفاده از وصله ها٬ به روز رساني ها٬ ضد ويروسها و ... ايمن سازيم ولي ايمن ساختن کاربران و ذهنيتشان در مقابل پديده يي تحت عنوان مهندسي اجتماعی کار چندان ساده يي نيست٬ نبوده و نخواهد بود!

هدف و حمله
هدف ابتدايي مهندسي اجتماعی مسلماً با هدف اصلي نفوذگران يکي است: دسترسي نامحدود و آسان به سيستم ها و اطلاعات با استفاده از حيله ها و حقه هاي هوشمندانه٬ ورود بدون اجازه به شبکه ها٬ جاسوسي هاي صنعتي٬ سرقت هويت افراد٬ يا به هم ريختن سيستم ها و شبکه ها از جمله اهداف نفوذگران ميباشد. معمولاً اهداف خاصي از قيبل کمپاني هاي تلفن٬ سرويسهاي پاسخگويي٬ کمپاني هاي صاحب نام٬ موسسات مالي٬ سازمانهاي و آژانسهاي ارتشي و دواتي و همچنين بيمارستانها مورد انتخاب نفوذگران ميباشد. اگرچه ذات اينترنت از نظر صنعتي و مهندسي ساختاري آن نفوذ پذير است ولي حملات معمولا بر روي داده هاي عظيم صورت ميپذيرد.

در زندگي واقعي ميتوان مثالهاي بسيار خوبي در رابطه با دشواریهاي حملات مهندسي جامعه پيدا کرد. اما نکته يي که جالب ميباشد اينجاست که سازمانها و تشکيلاتي که مورد هدف قرار گرفته اند هرگز نميخواهند اقرار نمايند که دستخوش حيله هايي بسيار ساده يي شده اند، علت اين امر هم بسيار واضح است٬ بعد از اقرار به آنچه که اتفاق افتاده چيزي که حاصل ميشود شرمساري به خاطر ضعفهاي امنيتي زيربنايي سازمان نيست بلکه به احتمال بسيار زياد به شهرت و اعتبار يک تشکيلات آسيبهاي فرواني خواهد رسيد.

اينکه چرا غالباً سازمانها توسط مهندسي اجتماعی مورد تهاجم قرار ميگيرند پاسخي بسيار ساده دارد. به کار گيري مهندسي اجتماعی براي ايجاد يک دسترسي نامشروع به اطلاعات يک سازمان يا تشکيلات بسيار ساده تر از به کار گيري تعداد زيادي از شيوه ها و تکنيکهاي ويژه نفوذ ميباشد. به طور قطع براي يک فرد تکنيسين نيز به جای اینکه به شیوه های پیچیده نفوذ برای دسترسی به رمز عبور یک نفر متوسل شود بسيار ساده تر است گوشي تلفن را بردارد و از همان نفر شماره ي رمز عبورش را بپرسد و اين دقيقاً همان علتي است که نفوذگران را جذب مهندسي اجتماعی ميکند.

مهندسي اجتماعی شامل دو بخش ميشود: محيط و يا محوطه يي که هدف نفوذ است و بهره گيري مناسب از آن و در نهايت بهره برداري از ترفندهاي روانشناسي. ابتدا ما بر روي حيطه يي که ميخواهم بر آن نفوذ کنيم و ابزارهاي موجود در آن تمرکز ميکنيم: محيط کار٬ تلفن٬ زباله ها٬ و در برخي موارد خطوط آنلاين. در يک محل کار، يک نفوذگر ميتواند به سادگي از در وارد شود و همانند فيلمهاي سينمايي وانمود کند که يک کارگر ساده خدماتي است٬ يا جهت مشاوره با کساني که دسترسي به اطلاعات سازمان دارد آمده است. سپس نفوذگر داستان ما با زيرکي و دقت هر چه تمام تر در درون اداره ي مورد نفوذ شروع به گشت و گذار ميکند تا زماني که به لايه هاي اطلاعاتي اوليه جهت اهدافش دسترسي پيدا کند و سپس با اطلاعاتي مسلماً بيش از آنچه که نياز داشته از ساختمان خارج شده تا شب هنگام و از خانه اش با استفاده از همان اطلاعات به شبکه ي مورد نظرش نفوذ نمايد. شيوه ي ديگري که براي دسترسي به اطلاعات وجود دارد اين است که در همانجا بايستي و منتظر شوي تا يک کارمند بي توجه که هرگز توجيه نيز نشده است رمز عبورش را تايپ نمايد!

مهندسی اجتماعی بر مبنای تلفن
يکي از رايج ترين شيوه هاي حمله ي مهندسي اجتماعی حمله از طريق تلفن است. يک نفوذگر با استفاده از يک تماس تلفني ساده سعي ميکند اطلاعات مورد نیازش را به دست آورد. هکرها ميتوانند با استفاده از شيوه هاي خاص خودشان و از طريق اپراتورهاي خود کمپاني مورد حمله، وانمود کنند که از داخل کمپاني تماس ميگيرند پس بنابراين caller-ID هميشه شيوه ي دفاعي مناسبي در مقابل اينگونه حملات نيست.

بگذاريد مثالي بزنم٬ در نيمه ي شب با شما تماس ميگيرند و به شما ميگويند: آيا در شش ساعت گذشته تماسي با مصر داشته ايد و مسلماً شما ميگوييد خير٬ سپس به شما ميگويند بسيار خوب ولي ما يک تماس از جانب شما با مصر داشته ايم که در حقيقت از طريق کارت تلفن شما صورت گرفته و هزينه ي شارژي معادل ۲۰۰۰ دلار داشته و شما ميبايستي اونرو پرداخت کنيد٬ ولي من مطلع هستم که اون تماس رو شما انجام نداديد و به همين علت هم حاضرم با وجود به خطر افتادن شغلم اين شارژ ۲۰۰۰ دلاري رو از حساب شما پاک کنم فقط کافي شماره ي کارت AT&T خودتون را به همراه پين کدش رو براي من بخونيد تا من بتونم به شما کمک کنم! و به همين سادگي اکثر کاربران ساده لوح فريب ميخورند. (نقل شده از: Computer Security Institute )

بخش اطلاعات هر سازماني نیز در اصل يکي از بزرگترين آسيب پذيريهاي امنيتي آن سازمان است اين بخش در هر تشکيلاتي يقيناً براي کمک رساني و دادن اطلاعات ضروري ايجاد شده است٬ يک مکالمه کوتاه با اين بخش ميتواند سبب فاش شدن يک نام يا بخشي از اطلاعات مهم گردد. کارمندان بخش اطلاعات همواره سعي ميکنند برخوردي دوستانه داشته باشند و به دادن اطلاعات بپردازند پس بنابراين اين بخش يک فرصت طلايي براي کساني است که از تکنيکهاي مهندسي اجتماعی بهره ميگيرند. در اکثر موارد کارمندان بخش اطلاعات از پايين ترين سطح تحصيلات برخوردارند و معمولا کمترين حقوق را نيز دريافت ميکنند پس بايد به آنها حق داد که تلاش ميکنند هر چه سريعتر جواب سئوالات را بدهند و به سراغ تلفن بعدي بروند٬ با توجه به آنچه گفته شد موارد مذکور ميتواند در هر سازمان و تشکيلاتي يک حفره ي امنيتي بسيار خطرناک پديد آورد.

کساني که مهندسي اجتماعی را از طريق تلفن پياده ميکنند معمولاً سعي در دسترسي به شماره ي کارت اعتباري يا پين کد کارتهاي تلفن دارند بنابراين ميبايستي در هر تماس تلفني که انجام ميدهید يا به هر تماسي که پاسخ ميدهد دقت فراواني کنيد زيرا هميشه افرادي زيرک با ترفندهايي مشابه آنچه که ذکر شد در کمينتان هستند.

حفره یی عمیق: زباله ها
زباله ها نيز يکي از ابزارهاي محبوب و تکنيکهاي خاص مهندسي اجتماعی ميباشد. حجم کلاني از اطلاعات ارزشمند ميتواند در لابه لاي زباله هاي يک کمپاني موجود باشد. بر اساس ليستي که The LAN Times منتشر کرده است اين آيتمها ميتوانند جز زباله هايي باشند که باعث فاش شدن اطلاعات مهم يک کمپاني ميگردند: دفترچه ي تلفن کمپاني٬ چارتهاي سازماني٬ يادداشتها٬ اسناد و اوراق مکتوب کمپاني٬ تقويم ملاقاتها٬ ليست مسافرتها٬ ملاقتها و مرخصي ها٬ راهنماهاي چاپي سيستمها٬ نسخه هاي پرينت شده از اطلاعات مربوط به شناسه هاي کاربري و کلمات عبور٬ نسخه هاي پرينت شده از کدهاي منبع٬ ديسکها و نوارها٬ سربرگ های کمپاني و فرمهاي يادداشت و در آخر سخت افزارهاي از رده خارج شده.

اينها منابعي هستند که ميتواند به يک نفوذگر اطلاعات بسيار وسيعي بدهند. دفترچه ي تلفن ميتواند به هکر ها کمک کند تا با توجه به اسم و شماره تلفنهاي موجود در دفترچه به جعل هويت و کسب اطلاعات بپردازد. چارتهاي سازماني شامل اطلاعاتي راجع به جايگاه افراد و سطح دسترسيشان به اطلاعات ميباشند. يادداشتها خودشان يک لغمه ي حاضر و آماده هستند و همواره شامل اطلاعاتي مفيد ميباشند. اوراق مکتوب ميتواند شيوه هاي حفاظتي يک تشکيلات را براي يک نفوذگر فاش سازد. و تقويم ها از ايده آل ترين ابزارها هستند چون نفوذگران را آگاه ميسازند که کداميک از کارمندان چه مدت زماني خارج از شهر هستند. راهنماي سيستمها٬ داده هاي حساس و ساير منابع حاوي اطلاعات تکنيکي ممکن است به يک نفوذگر کليدي طلايي جهت نفوذ به هر سازمان٬ تشکيلات يا شبکه يي را بدهد. و در آخر سخت افزارهاي از رده خارج، منظور از سخت افزارهاي از رده خارج بيش از هر چيزي ديسکهاي سخت ميباشد٬ چون ميتوان به سادگي بسياری از اطلاعات مفيد و کاربردي را از روي آنها بازيابي نمود.

مهندسی اجتماعی در دنیای آنلاین
اينترنت براي مهندسين اجتماعی زمينيست حاصلخيز که ميتوانند به سادگي از آن محصولي به نام پسورد درو کنند. بزرگترين ضعف آنجاست که بسياري از کاربران از يک پسورد بسيار ساده ي چند حرفي براي همه ي اشتراکهايشان بهره ميبرند. زماني که يک نفوذگر پسورد يک اشترک را به دست مي آورد ميتواند به وسيله ي همان يک پسورد به چندين اشتراک ديگر نيز دسترسي پيدا کند.

روشي که بيشتر نفوذگران براي دسترسي به اينگونه پسوردها استفاده ميکنند بهره گيري از فرمهاي آنلاين است٬ معمولا نفوذگران يک فرم شبيه سازي شده را براي شما ارسال ميکنند و از شما ميخواهند تا نام کاربري و کلمه عبور يکي از اشتراکهايتان را در آن فرم وارد کنيد و سپس اين فرم اطلاعاتی که شما در آن وارد نموديد را به وسيله ي ايميل براي فرد خاصي ارسال مينمايد.

روش ديگري که نفوذگران به کار ميگيرند تا پسورد کاربران را به صورت آنلاين سرقت نمايند اين است که وانمود کنند مدير يک شبکه هستند٬ و با ارسال يک ايميل از طرف شبکه از کاربر بخواهند تا پسوردش را براي آنها ايميل کند. اين شیوه از مهندسي اجتماعی هميشه جواب نميدهد زيرا کاربران زماني که آنلاين هستند بيشتر متوجه نفوذگران و رفتارهايشان ميباشند. از طرف ديگر پنجره هاي موسوم به Pop up نيز ميتوانند وانمود کنند بخشي از شبکه هستند و از کاربران بخواهند تا براي رفع يک مشکل نام کاربري و کلمه ي عبورشان را در آن وارد کنند. با توجه به آنچه گفته شد بهتر است مديران شبکه کاربرانشان را از اين شيوه ها آگاه سازند و از آنان بخواهند تا پسوردشان را به هيچ عنوان به کسي ندهند مگر اينکه با يکي از مسئولان شبکه به صورت رو در رو و از نزديک در تماس باشند.

ايميلها نيز ميتوانند به صورت مستقيم زمينه را براي دسترسي به سيستم ديگران فراهم آورند. به عنوان مثال يک فايل ضميمه که به ظاهر از جانب يکي از دوستان شما ارسال شده است ميتواند حامل ويروس٬ کرمها و يا اسبهاي تروجان باشد و به سادگی هر چه تمام تر پس از باز شدن از جانب شما کل سیستمتان را آلوده سازد.

بهره گیری از حس اعتماد
نفوذگران سعي ميکنند شيوه هاي مختلف مهندسي اجتماعی را از طريق ياد گرفتن ديدگاه هاي روانشناسي پياده سازند٬ آنچه که براي آنها اهميت دارد اين است که بتوانند احساسات و حالتهاي ساختگي را به محيط اطرافشان کاملا القا نمايند. مهمترين شيوه هايي که نفوذگران به کار ميگيرند تا اعتماد ديگران را جالب نمايند عبارتند از: جعل هويت٬ خود را مورد توجه ديگران قرار دادن٬ هم عقيده نشان دادن خود با ديگران٬ جعل مسئوليت ديگران يا دادن اطلاعات و در آخر بهره برداري از دوستي هاي ديرينه. صرفنظر از شيوه هاي گفته شده٬ هدف اصلي اين ميباشد که افراد قانع شوند تا فردي که بر مهندسي اجتماعی تکيه کرده است فردي قابل اعتماد است و ميتوان به وي اطلاعات بسيار حساس خود را داد. و اما نکته کليدي مهم ديگري که وجود دارد هرگز نميبايستي به يکباره بخواهيد اطلاعات زيادي را دريافت نماييد٬ ولي ميتوان از هر فردي مقدار کمي اطلاعات دريافت نمود و با کليه ي افراد رابطه ي خود را براي دفعات بعد و اطلاعات بيشتر حفظ نمود.

جعل هويت به معناي اين است که يک شخصيت بسازيد و سپس نقش آن را بازي کند به عنوان مثال: سلام من جو هستم و از MIS تماس ميگيريم در اينجا مشکلي پيش اومده و ما احتياج به پسورد شما داريم. اما اين شيوه هميشه جواب نميدهد. در بيشتر اوقات نفوذگران يک شخصيت وافعي در يک سازمان را مورد بررسي قرار ميدهند و سپس صبر ميکنند تا وي از شهر براي مدتي خارج شود در آن هنگام از طريق تلفن به جعل هويت وي ميپردازند. بر طبق گزارشي که در Bernz منتشر شده است يک نفوذگر با استفاده از BOX هاي کوچک سعي ميکرده تا صداي شخصيتهاي مختلف را جعل نمايد و در عين حال الگوهاي گفتاري آنها را شبيه سازي نمايد. اين روش از مهندسي اجتماعی در اکثر موارد يکي از موفق ترين روشها بوده است.

البته شخصيتهاي ايده آل براي جعل هويت عبارتند از: تعميرکار٬ يک پشتيبان مسائل IT ٬ يک کارمند اخراج شده و ... . و مسلماً پيدا کردن چنين شخصيتي در اکثر کمپاني هايي که آسيب پذير هستند بسيار آسان است٬ هيچ راهي هم وجود ندارد که بتوان فهميد چه شخصيتي قرار است جعل شود. همه ي آنچه که گقته شد يک علت دارد و علت آن هم چيزي نيست جز خود شيريني کردن کارمندان! همه ي کارمندان دوست دارند خودشان را مورد توجه رئيسشان قرار دهند بنابراين به هر کسي که در ظاهر در مسند قدرت باشد به سادگي اطلاعات ميدهند.

زماني که در اطلاعاتي که با استفاده از متدهاي مهندسي اجتماعی به دست آورده ايد شک ميکنيد بهترين راه حل اينست که رفتاري دوستانه با ديگران داشته باشد. اکثر کارمندان سعي ميکنند در پشت تلفن رفتاري بسيار صميمانه داشته باشند و به همکاران خود در هر زمينه يي کمک کنند آنچه اينجا اهميت میابد اين است که شما خود را به آنها به باورانيد. چیزی که سبب ميشود تا به نفوذگران کمک قابل توجهي گردد بيتوجهي برخي از کارمندان سعي در خود نمايي و پر حرفيشان است و صد البته که يک نفوذگر به خوبي ميداند در کجا دريافت اطلاعات را متوقف کند تا مورد شک واقع نشود. يک لبخند يا گفتن عبارت متشکرم در بسياري موارد شک را از بين ميبرد و اگر اطلاعات دريافتي کافي نباشد همواره نفر بعدي هست که به سادگي بتوان از وي اطلاعات گرفت.

مهندسی اجتماعی و ترفندهایی متفاوت
روش نهايي و حرفه يي تري که براي دسترسي به اطلاعات محرمانه وجود دارد اين است يک نفوذگر شخصيتي را ميسازد که در جايگاه بالاتري نسبت به ساير کارمندان است و کارمندان سعي ميکنند از وي اطلاعات دريافت کنند٬ ولي به جاي دريافت اطلاعات بيشتر به وي اطلاعات ميدهند. اگر پژوهشها٬ نقش اوليه و اجرا کامل باشد نفوذگر شانس بسيار بيشتري دارد تا به اطلاعات مورد نيازش از طريق کارمندان دسترسي پيدا کند٬ هر چند که چنين شيوه ي محتاج تدارکات بسيار دقيق و اطلاعات اوليه ي کاملي است.

بر طبق آنچه در Methods of Hacking: Social Engineering آمده است نفوذگران با استفاده از سه شيوه ي ايجاد خطا٬ تبليغات٬ و کمک رساني و ترکيب اين سه روش مي توانند به سادگي به اهداف خود برسند. به عنوان مثال يک نفوذگر يک اشکال را در شبکه يي به وجود مي آورد و سپس با استفاده از ترفندهاي تبليغاتي مسئولين شبکه را به سمت خود جهت رفع اشکال هدايت ميکند و در نهايت از وي خواسته مي شود تا اشکال را برطرف نمايد. زماني که وي براي رفع اشکال به نزد مسئولين شبکه ميرود ضمن رفع اشکال سعي ميکند مقداري اطلاعات راجع به آن شبکه از کارمندان کسب نمايد و متاسفانه غالباً هم هر آنچه که ميخواهد را به دست مي آورد و پس از اينکه آنجارا ترک ميکند هيچکس فکر نميکند فرد مذکور يک نفوذگر بوده است زيرا همه خوشحال هستند چون مشکل شبکه شان حل شده است.

حرف آخر
به یقین هیچ مقاله یی با موضوع مهندسی اجتماعی بدون ذکر نام Kevin Mitnick کامل نیست وی یکی از بزرگان این مقوله محسوب میشود که توانسته است با بهره گیری از متدهای مهندسی اجتماعی نفوذهای بسیار مهم و بزرگی را انجام دهد جهت دریافت اطلاعات بیشتر رجع به وی وی ترفندهایش بد نیست سری به اینجا بزنید.

[ + منبع: X party - ماهنامه ی الکترونیکی شبکه امن به نقل از SecurityFocus ]
ادامه دارد ...


Excerpt / Social Engineering Fundamentals, Part I: Hacker Tactics: One morning a few years back, a group of strangers walked into a large shipping firm and walked out with access to the firm’s entire corporate network. How did they do it? By obtaining small amounts of access, bit by bit, from a number of different employees in that firm. First, they did research about the company for two days before even attempting to set foot on the premises. For example, they learned key employees’ names by calling HR. Next, they pretended to lose their key to the front door, and a man let them in. Then they "lost" their identity badges when entering the third floor secured area, smiled, and a friendly employee opened the door for them.
The strangers knew the CFO was out of town, so they were able to enter his office and obtain financial data off his unlocked computer. They dug through the corporate trash, finding all kinds of useful documents. They asked a janitor for a garbage pail in which to place their contents and carried all of this data out of the building in their hands. The strangers had studied the CFO's voice, so they were able to phone, pretending to be the CFO, in a rush, desperately in need of his network password. From there, they used regular technical hacking tools to gain super-user access into the system.
In this case, the strangers were network consultants performing a security audit for the CFO without any other employees' knowledge. They were never given any privileged information from the CFO but were able to obtain all the access they wanted through social engineering. (This story was recounted by Kapil Raina, currently a security expert at Verisign and co-author of mCommerce Security: A Beginner's Guide, based on an actual workplace experience with a previous employer.) [ + Read full story in SecurityFocus ]

1 comments:

nima said...

salam.
maghaleye jalebi bood. rastesho bekhay ta hala vajeye "mohandesie ejtemayi" ziad be goosham nakhorde bood ! ke ba in ham ashna shodim :D

rasti chera tazegia dir be dir update mikoni ? makhsoosan minde musicalat ra !

Bybyez !