ผู้จัดงาน FBI Rings Organizer Over Defcon Contest

Defcon ประกวดที่เชิญผู้เข้าแข่งขันเพื่อหลอกลวงพนักงานที่ บริษัท สหรัฐเปิดเผยข้อมูลที่ไม่ไวต่อความรู้สึกได้ทำให้เส้นประสาทบางส่วน

ผู้จัดประกวดถูกเรียกโดย US Federal Bureau of Investigation และได้รับคำเตือนจากกลุ่มรักษาความปลอดภัยและข้อมูลบริการทางการเงิน ศูนย์ข้อมูลและการวิเคราะห์ (FS-ISAC) ซึ่งเป็นกลุ่มอุตสาหกรรมที่ให้ข้อมูลเกี่ยวกับภัยคุกคามด้านความปลอดภัยที่มีผลกระทบต่ออุตสาหกรรมการธนาคาร

"เรื่องราวที่ฉันได้รับเป็นจำนวนมากของผู้คนทางการเงินกังวลมากว่าเราจะเป็น การกำหนดเป้าหมายข้อมูลส่วนบุคคลและสิ่งที่ต้องการ "คริส Hadnagy ผู้จัดการการดำเนินงานที่มีการรักษาความปลอดภัยเป็นที่น่ารังเกียจที่เป็นผู้จัดประกวดกล่าวว่า ความกังวลเหล่านี้ไม่มีเหตุผลใด ๆ เขาพูด

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากพีซีที่ใช้ Windows ของคุณ]

ในอีก 3 วันข้างหน้าผู้เข้าร่วมจะพยายามอย่างสุดยอดเพื่อค้นหาข้อมูลจากรายการที่ไม่ได้เปิดเผยประมาณ 30 บริษัท ของสหรัฐอเมริกา การประกวดจะจัดขึ้นที่ห้องพักในโรงแรมริเวียร่าในลาสเวกัสซึ่งติดตั้งตู้บูธติดกันและลำโพงเพื่อให้ผู้ชมสามารถฟังผู้เข้าแข่งขันโทรหา บริษัท และพยายามไล่ล่าข้อมูลที่ได้รับจากพนักงานโดยไม่เจตนา

นี่คือวิศวกรรมทางสังคม: ศิลปะในการหลอกลวงให้ผู้คนเปิดเผยข้อมูลและทำสิ่งต่างๆที่พวกเขาไม่ควร

ผู้จัดงานการประชุมต้องเดินไปในเส้นทางที่เหมาะสมในการดำเนินการแข่งขันซึ่งมุ่งเน้นไปที่เป้าหมายในโลกแห่งความจริง แต่หลังจากได้ปรึกษากับมูลนิธิ Electronic Frontier Foundation แล้วพวกเขาก็มีกฎเกณฑ์การประกวดและ - ที่สำคัญกว่าคือรายการ do not do do

ผู้แข่งขันไม่สามารถขอข้อมูลที่สำคัญหรือรหัสผ่านได้ พวกเขาไม่สามารถทำให้ผู้ที่ตกเป็นเหยื่อของพวกเขารู้สึกว่าพวกเขามีความเสี่ยง พวกเขาไม่สามารถหลอกว่าเป็นผู้บังคับใช้กฎหมายหรือโดยทั่วไปทำในสิ่งที่รู้สึกผิดพลาด "ถ้าสิ่งที่ดูเหมือนผิดจรรยาบรรณ - ไม่ทำมันถ้าคุณมีคำถามถามผู้พิพากษา" รัฐกฎ

สิ่งที่ผู้เข้าร่วมประชุมสามารถทำคือการเก็บรวบรวมข้อมูลในเรื่องที่มีความสำคัญน้อยกว่าเช่น "ใครจะกำจัดถังขยะของคุณ; ผู้ดูแลกระดาษคราฟท์ของคุณ "Hadnagy กล่าวผู้ชนะจะได้รับการคัดเลือกจากผู้พิพากษาไม่เพียง แต่จะขึ้นอยู่กับปริมาณข้อมูลที่เก็บรวบรวมเท่านั้น แต่ยังเป็นเลิศด้านงานวิศวกรรมสังคมอีกด้วย รางวัลที่หนึ่ง: iPad

บริษัท รักษาความปลอดภัยมักให้แสงสีเขียวเพื่อใช้เทคนิควิศวกรรมโซเชียลกับลูกค้าเพื่อทดสอบสิ่งที่อาจเกิดขึ้นในเหตุการณ์ในโลกแห่งความเป็นจริงและระบุจุดอ่อน ในการทดสอบเหล่านี้ผู้เชี่ยวชาญด้านความปลอดภัยมักพยายามแอบเข้าไปในพื้นที่ที่ปลอดภัยหรือหลอกลวงให้พนักงานใส่รหัสผ่านด้วยอีเมลฟิชชิ่งสิ่งที่ต้องห้ามในการประกวดนี้

เครื่องมือหลักของ Defcon contestant คือโทรศัพท์ ผู้เข้าแข่งขันได้รับอนุญาตให้ทำ Internet reconnaissance ในเป้าหมายของพวกเขาและจะได้รับ 20 นาทีในตู้โทรศัพท์เพื่อเรียก บริษัท เป้าหมายและพยายามโจมตีของพวกเขา Hadnagy เห็นการประกวดเป็นแบบทดสอบ รายงานการวิเคราะห์สิ่งที่เกิดขึ้น "เราเริ่มต้นขึ้นเพื่อสร้างความตระหนักในด้านวิศวกรรมทางสังคมและจัดสถานที่เพื่อเรียนรู้สิ่งที่ทำให้วิศวกรทางสังคมที่ดี" เขากล่าว "เส้นทางที่ง่ายที่สุดใน บริษัท ก็ยังเป็นคนอยู่"

เมื่อเดือนที่แล้ว FS-ISAC ได้ออกคำเตือนเกี่ยวกับการประกวดซึ่ง Hadnagy โพสต์ไว้ในบล็อกของเขา "สถาบันการเงินควรตระหนักถึงการแข่งขันที่จะเกิดขึ้นนี้และควรสรุปบุคลากรของตนโดยเฉพาะอย่างยิ่งศูนย์บริการทางโทรศัพท์และฝ่ายกฎหมายเกี่ยวกับเหตุการณ์นี้" ที่ปรึกษารัฐต่างๆ

ในเวลาเดียวกัน Hadnagy ได้รับโทรศัพท์จากแผนก Cyber ​​Division ของเอฟบีไอ "พวกเขามีคำถามเกี่ยวกับความตั้งใจของเราจริงๆและสิ่งที่เรากำลังทำอยู่และเป้าหมายของเราคืออะไรกับการประกวด" เขากล่าว เขาส่งต่อกฎของการประกวดไปยังเอฟบีไอ "เมื่อฉันผ่านที่ผ่านพวกเขา … ฉันคิดว่านั่นเป็นความกังวลของรัฐบาลจำนวนมาก" เขาพูด

ผู้ก่อตั้งเจฟฟ์มอสส์ของ Defcon กล่าวเมื่อวันพฤหัสบดีที่ผ่านมาว่าเขาได้สอบถามรายละเอียดเพิ่มเติมรวมถึงหนึ่งใน FS-ISAC

พวกเขาไม่จำเป็นต้องกังวล เป้าหมายของ บริษัท จะมาจากภาคเทคโนโลยีและอุตสาหกรรมอื่น ๆ แต่จะไม่มีการเงินการดูแลสุขภาพองค์กรด้านการศึกษาหรือรัฐบาล Hadnagy กล่าวว่าโรเบิร์ตแมคมิลแลนได้ให้ความสำคัญกับการรักษาความปลอดภัยคอมพิวเตอร์และข่าวเทคโนโลยีทั่วไปสำหรับ

บริการข่าว IDG

ติดตาม Robert ที่ Twitter ที่ @obobcmillan ที่อยู่อีเมลของ Robert คือ [email protected]