偽のFacebookの魅力によって損なわれた政府機関

ソーシャルメディアのプロフィールと現実の(同意した)女性の写真を使用して、2人のハッカーが政府の雇用者を騙して彼女が従業員であると信じて、会社のノートパソコンやネットワーク資格などから奪取しました。

彼らは “彼女の” FacebookとLinkedInの接続を使って、政府職員が訪問した攻撃サイトにリンクされたホリデーカードを送り、1人の従業員を詐欺させて仕事用ラップトップに送り込んだり、SalesForceログイン。

研究者は仮想のかわいい女の子の休日の電子カードを使って管理者権限を得、パスワードを取得し、アプリケーションをインストールし、機密情報を含む文書を盗み出した。そのうちのいくつかには、国家主導の攻撃と国家指導者に関する情報が含まれていた。

パペットマスターのセキュリティ研究者であるAamir LakhaniとJoseph Munizによって運営されていたEmily Williams氏は、セキュリティチームの役員にバースデーカードとして偽装されたjavascriptの不正行為をクリックしてラップトップを脅かすことさえ確信さえした。

ラカニ氏は、10月30日の水曜日、RSA Europe 2013の聴衆に、「この男はすべてにアクセスできました。彼はシステムにクラウンの宝石を持っていました。

Lakhani氏はRSA Europeの研究成果を2012年末に米国政府機関に提出した90日間の「Emily Williams」侵入テスト実験の結果であるSocial Media Deceptionというトークで発表しました。

Lakhaniは、偽のMiss Williamsによって米国の政府機関が侵入し、損害を受けたことを明らかにしなかった。彼はRSAの聴衆に、スノーデン前の攻撃は、攻撃的なサイバーセキュリティと秘密の保護を専門とする非常に安全な機関で行われたと伝えました。

ラハニ氏は、チームは架空の男性キャラクターで攻撃を試みたが、男性は成功しなかったと説明した。

彼は実際にエミリー・ウィリアムズのプラットフォームを通じて、チームは展開の1週間以内に目標を達成しましたが、どれくらいの距離を行くことができるか完全な90日間実験を実行したと言いました。

そしてそれはかなり遠くに行きました。

注:提示された研究は実際のものです。これを読んでいる多くの人がエミリーと友人で、おそらく私たちに怒っています。

あなたが私たちから聞いたことがないならば、あなたはエミリーとのソーシャルネットワークの友達です。 – ソーシャルメディア詐欺プロジェクト:私たちがエミリーウィリアムズを創造して目標を妥協する方法

エミリー・ウィリアムズ(Robin Sage)は、2009年にソーシャルネットワークを介して米軍関係者の情報収集を容易にするためのデモンストレーションとして作成された別の架空の人物Robin Sageに拠点を置いていたが、 Robin Sageと一緒にベッドに入る “)、多くの人の怒りと恥ずかしさ。

ミスウィリアムズは、2011年にFacebookとLinkedInに登場しました。

架空のキャラクターの写真をボランティアしたウェイトレスは、対象の社員(フーターズ近く)が頻繁に訪れた施設で働いていましたが、実験中いつでも自分のことを認識した従業員はいませんでした。

ねえ、私の顔はここにいる

:ソーシャルメディア詐欺(.PDF)のためのRSAプレゼンテーションスライド

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

私たちはレストラン業界の非技術的な女性従業員(私たちの目標から数ブロック離れたところにあった)を見つけ、エミリーの姿のために写真をボランティアにしました。

私たちは、偽の社会保障番号、住居、およびエミリーを現実に見せるために検索されるかもしれない他の領域を開発しました。エミリーにテキサス大学のITバックグラウンドを与え、彼女のプロフィールを一致する雇用の背景に更新しました。

政府の目標の従業員に着手する前に、LakhaniとMunizは、ウィリアムズの存在をソーシャルメディア上に構築し、何百人もの接続を網羅しました。

もう1人の男がエミリーがどのように彼を知っているかを尋ねた。研究者が男性のプロフィールで得た情報で答えたとき、彼は実際に想像上の女の子を覚えていたと語った。

ウィリアムズに友人がいれば、ハッカーたちは彼女のFacebookとLinkedInのプロフィールを政府の目標で公正な雇用状態に更新し、彼女にエンジニアリングタイトルを与えた。ソーシャルメディアを介してターゲットの従業員とつながり、人事、ITサポート、エンジニアリング、エグゼクティブリーダーシップの役割を果たす魅力的な架空の若い女性。

「彼女」の新しい仕事が巻き込まれたことをお祝いします。

ターゲットとする友人の数が増えたので、私たちは最終的にランク付けを始め、人事とエンジニアリングの人たちを捕まえ、存在していればEmilyを雇うことになりました。

エグゼクティブリーダーシップに至るまで、私たちは全力で取り組みました…

ウィリアムズさんは休暇の近くにいたので、ミス・ウィリアムズが同僚の特定のターゲットに向かってFacebookに季節限定のカードを掲示した。

もちろん、カードはハッカーの欺瞞の一部でした。

報告によると、FacebookとAppleの両方の従業員 – Twitterを含む他の人たちも、Javaの脆弱性を悪用したマルウェアを含む感染したWebサイトを訪問したことが示唆されています。原因が特定されたので、ここであなたができることがあります。

セキュリティ研究者は、彼らは目標に害を及ぼすことを意図していないと述べた。

彼らには、ソーシャルメディアを通じてホストシステムへのネットワークアクセスを得るための多くのオプションがありました。彼らが使用を断念した人気のあるものの1つはBlackholeで、これは悪質なペイロードを配信しますが、彼らは「Blackholeは目標のシステムにとって安全ではないと感じました」と指摘しました。

代わりに、彼らはブラウザ脆弱性フレームワーク(BeEF)を使用していました。「ブラウザーを危険にさらすことはマルウェアを使用するほど悪くないという我々の感情に基づいています。ホリデーカードのルーズを介してターゲットがクリックされ、SSL接続を介してLakhaniとMunizに逆シェルを開いた署名付きJavaアプレットを実行しました。

ターゲットを絞ったら、ターゲット機関にアクセスするためのパスワードとインサイダー情報を探します。感謝祭、クリスマス、新年の3つのキャンペーンを開始しました。

私たちはEmily Williamsの内部電子メールアドレス、内部アクセスを得るためのVPNパスワード、および目標を妥協するための他の方法を作成するためのドメイン資格情報を把握することができました。

Lakhaniは、RSAの聴衆に、政府の請負業者は、ウィルス対策会社の従業員を含めて、創作の汚れた休日のために落ち込んだと語った。

しばらくして、チームの社会工学が続きました。

政府機関に勤務する男性はかわいい女の子に特別扱いをしました。何人かの男性は、ウィリアムズさんに新しい仕事をさせるために、彼女に仕事用ラップトップを手に入れるための通常のチャンネルを迂回し、組織のネットワークへのアクセスを援助することを提案しました。

LakhaniはRSAの参加者に対し、Pygmalionが入手したアクセスレベルは、「彼女」が適切なチャネルを通過した場合に新たな雇用者が得たレベルよりも高いと語った。

LakhaniとMunizは多くの公務員を怒らせたかもしれないが、このペアは非常に多くの成功を収め、他の企業や組織から同じテストを試みるよう求められた。

今週のRSA欺瞞トークでは、「銀行やクレジットカード会社、医療機関などの大規模な金融機関に対しても同様のタイプの侵入テストを実施した結果、ほぼ同じ結果になった」と述べた。

ラハニ氏はRSAヨーロッパの参加者に対し、「侵入テストにソーシャルエンジニアリングを組み込む度に、成功率は100%に達します」と警告しました。

エミリー・ウィリアムズの攻撃の被害者になるのを避けたい場合は、企業が従うべきいくつかの勧告と話し合った。これらのうちのいくつかは、ソーシャルエンジニアリングについて従業員を教育する方法のチームの記事に詳述されています。

しかし、従業員が一定の状況認識を理解していなければ、ソーシャルエンジニアリングの研修では十分ではないと考えていました。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン