Gornji red
Rockstar Games—programeri popularne serije videoigara Grand Theft Auto—bio je hakirana samo nekoliko dana nakon što su serveri Uberovog diva za usluge prijevoza bili napadnuti u sličnoj provali, navodno od strane istog hakera koji je koristio proces nazvan društveni inženjering, vrlo učinkovit način napada koji se oslanja na obmanjivanje zaposlenika ciljane tvrtke i može ga biti teško zaštititi protiv.
Navodni tinejdžerski haker uspio je probiti internu bazu podataka Rockstar Gamesa i procurio je … [+]
AFP putem Getty Imagesa
Ključne činjenice
Slično kao i Uberov hak, haker koji se naziva "TeaPot" tvrdi da je dobio pristup internim porukama Rockstar Gamesa na Slacku i ranom kodu za njihov nenajavljeni nastavak Grand Theft Auto stjecanje pristupa na vjerodajnice za prijavu zaposlenika.
Iako su točni detalji provale u Rockstar nejasni, u Uberovom slučaju haker tvrdio maskirao se u informatičara tvrtke i uvjerio zaposlenika da podijeli svoje vjerodajnice za prijavu.
Za razliku od drugih načina napada koji se oslanjaju na nedostatke u sigurnosnoj arhitekturi tvrtke, društveni inženjering cilja na ljude i oslanja se na manipulaciju i prijevaru.
Stručnjaci boriti se ljudi i dalje ostaju "najslabija karika" u kibernetičkoj sigurnosti jer ih se lako može prevariti da kliknu na zlonamjerne poveznice ili podijele svoje vjerodajnice za prijavu.
Za razliku od drugih metoda, društveni inženjering također je učinkovit u porazu određenih pojačanih sigurnosne mjere poput jednokratnih lozinki i drugih metoda višestruke provjere autentičnosti.
Presudna ponuda
Rachel Tobac, izvršna direktorica tvrtke za kibernetičku sigurnost SocialProof Security i stručnjakinja za društveni inženjering Tweetano: “Teška istina je da većina [organizacija]
u svijetu mogli biti hakirani na točno način na koji je Uber upravo hakiran…Mnoge [organizacije] još uvijek interno ne koriste [Multi Factor Authentication]…& ne koriste upravitelje lozinki (što dovodi do spremanja vjerodajnica na lako pretraživa mjesta jednom uljez ulazi)."
Ključna pozadina
Društveni inženjering korišten je za izvođenje nekoliko hakiranja visokog profila posljednjih godina, uključujući otmica više od 100 istaknutih Twitter računa — među kojima su Elon Musk, bivši predsjednik Barack Obama, Bill Gates i Kanye West — koji su zatim korišteni za promicanje bitcoin prijevare. Hakiranje su izveli tinejdžeri koji su uspjeli dobiti pristup Twitterovim internim mrežama ciljajući na “mali broj zaposlenika” prema tvrtka društvenih medija. Prošlog su mjeseca i Cloudflare i Twilio također bili meta napada društvenog inženjeringa pod nazivom "phishing" gdje su zaposlenici bili prevareni da otvore poruku koja je bila maskirana da izgleda kao legitimna komunikacija tvrtke, ali je uključivala zlonamjernu vezu. Twilio, koji pruža usluge slanja poruka i dvofaktorske autentifikacije, objaviti da su hakeri uspjeli provaliti u interne baze podataka tvrtke i dobiti pristup neobjavljenom broju korisničkih računa. Cloudflare, mrežna mreža za dostavu sadržaja, primijetio hakeri nisu mogli pristupiti njegovoj internoj mreži.
Protiv
Za razliku od Twilia, Ubera i Rockstara, kojima su probijeni interni sustavi, Cloudflare je uspio izbjeći tu sudbinu zahvaljujući korištenju sigurnosni ključevi temeljeni na hardveru. Za razliku od drugih metoda višestruke provjere autentičnosti kao što su tekstualne poruke i jednokratne lozinke, hardverski sigurnosni ključevi puno su sigurniji od napada društvenog inženjeringa. Ciljani zaposlenik može biti prevaren da podijeli pojedinosti tekstualne poruke ili jednokratne lozinke, ali haker treba fizički posjedovati hardverski sigurnosni ključ kako bi dobio pristup računu. Hardverski sigurnosni ključevi dolaze u različitim oblicima, uključujući USB memorije ili Bluetooth ključeve i moraju biti priključeni ili povezani s uređajem koji pokušava dobiti pristup zaštićenom računu. Hakeri koji dobiju pristup vjerodajnicama zaposlenika neće moći pristupiti njihovim računima koji koriste ovaj oblik sigurnosti bez fizičkog pristupa njihovim ključevima. U 2018. Google najavio da niti jedan od njegovih 85,000 nije bio uspješno napadnut phishing napadom nakon što je godinu dana ranije odredio upotrebu fizičkih sigurnosnih ključeva.
Veliki broj
323,972. To je ukupan broj pritužbi na napade socijalnog inženjeringa koje je FBI primio 2021. — gotovo tri puta više nego 2019. — prema godišnjem izvještaju agencije Izvješće o internetskom kriminalu. U tom razdoblju hakeri uspio ukrasti ukupno 2.4 milijarde dolara kompromitirajući račune poslovne e-pošte putem tehnika društvenog inženjeringa.
Što gledati
Jason Schreier iz Bloomberga nagađao je da bi nedavni hak mogao potaknuti Rockstar na ograničenja mjesta na daljinski rad. Stručnjaci za kibernetičku sigurnost imaju prethodno argumentirano da rad na daljinu može zahtijevati više mjera opreza jer ostavlja zaposlenike ranjivijima na napade socijalnog inženjeringa.
Daljnje čitanje
Uber kaže da reagira na 'kibersigurnosni incident' nakon navodnog hakiranja internih baza podataka (Forbes)
Uber Hacker tvrdi da je hakirao Rockstar Games, objavljuje GTA 6 videe (Forbes)
Izvor: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- igre/