Llinell Uchaf
Rockstar Games - datblygwyr y gyfres boblogaidd o gemau fideo Grand Theft Auto - oedd hacio ychydig ddyddiau ar ôl i weinyddion Uber, y cawr marchogaeth, gael eu targedu mewn toriad tebyg, yn ôl pob sôn gan yr un haciwr a ddefnyddiodd broses o'r enw peirianneg gymdeithasol, dull ymosod hynod effeithiol sy'n dibynnu ar dwyllo gweithwyr cwmni wedi'i dargedu ac a all fod yn anodd ei warchod. yn erbyn.
Llwyddodd haciwr honedig yn ei arddegau i dorri cronfa ddata fewnol Rockstar Games a gollwng … [+]
AFP trwy Getty Images
Ffeithiau allweddol
Yn debyg i'r Hac Uber, Honnodd yr haciwr sy'n mynd heibio'r alias “TeaPot” iddo gael mynediad at negeseuon mewnol Rockstar Games ar Slack a chod cynnar ar gyfer eu dilyniant dirybudd Grand Theft Auto gan sicrhau mynediad i fanylion mewngofnodi gweithiwr.
Er bod union fanylion toriad Rockstar yn aneglur, yn achos Uber yr haciwr hawlio masqueradodd fel person TG cwmni ac argyhoeddi gweithiwr i rannu eu rhinweddau mewngofnodi.
Yn wahanol i ddulliau eraill o ymosodiadau sy'n dibynnu ar ddiffygion ym mhensaernïaeth diogelwch cwmni, mae peirianneg gymdeithasol yn targedu pobl ac yn dibynnu ar drin a thwyll.
Arbenigwyr ymryson bod bodau dynol yn parhau i fod y “cyswllt gwannaf” mewn seiberddiogelwch gan y gellir eu twyllo’n hawdd i glicio ar ddolenni maleisus neu rannu eu rhinweddau mewngofnodi.
Yn wahanol i ddulliau eraill, mae peirianneg gymdeithasol hefyd yn effeithiol wrth drechu rhai uwch mesurau diogelwch fel cyfrineiriau un-amser a dulliau dilysu aml-ffactor eraill.
Dyfyniad Hanfodol
Rachel Tobac, Prif Swyddog Gweithredol y cwmni seiberddiogelwch SocialProof Security ac arbenigwr ar beirianneg gymdeithasol tweetio: “Y gwir anodd yw bod y mwyafrif o [sefydliadau]
yn y byd gallai gael ei hacio yn yr union ffordd y cafodd Uber ei hacio...Mae llawer o [sefydliadau] yn dal ddim yn defnyddio [Dilysiad Aml-ffactor] yn fewnol ... a pheidiwch â defnyddio rheolwyr cyfrinair (sy'n arwain at arbed credoau mewn mannau hawdd eu chwilio unwaith bob tresmaswr yn mynd i mewn). ”
Cefndir Allweddol
Mae peirianneg gymdeithasol wedi cael ei ddefnyddio i gynnal sawl darn o waith proffil uchel yn ystod y blynyddoedd diwethaf, gan gynnwys y herwgipio o fwy na 100 o gyfrifon Twitter amlwg - yn eu plith Elon Musk, y cyn-Arlywydd Barack Obama, Bill Gates a Kanye West - a ddefnyddiwyd wedyn i hyrwyddo sgam bitcoin. Cafodd yr haciau eu cyflawni gan bobl ifanc yn eu harddegau a lwyddodd i gael mynediad i rwydweithiau mewnol Twitter drwy dargedu “nifer fach o weithwyr” yn ôl y cwmni cyfryngau cymdeithasol. Y mis diwethaf, targedwyd Cloudflare a Twilio hefyd mewn math o ymosodiad peirianneg gymdeithasol o’r enw “phishing” lle cafodd gweithwyr eu twyllo i agor neges a oedd wedi’i chuddio i ymddangos fel cyfathrebiad cwmni cyfreithlon ond a oedd yn cynnwys cyswllt maleisus. Twilio, sy'n darparu gwasanaethau negeseuon a dilysu dau ffactor, datgelu bod yr hacwyr wedi llwyddo i dorri cronfeydd data mewnol y cwmni ac wedi cael mynediad at nifer o gyfrifon cwsmeriaid nas datgelwyd. Cloudflare, rhwydwaith darparu cynnwys ar-lein, nodi nid oedd yr hacwyr yn gallu cyrchu ei rwydwaith mewnol.
Contra
Yn wahanol i Twilio, Uber a Rockstar, y torrwyd eu systemau mewnol, llwyddodd Cloudflare i osgoi'r dynged hon oherwydd ei ddefnydd o allweddi diogelwch sy'n seiliedig ar galedwedd. Yn wahanol i ddulliau dilysu aml-ffactor eraill fel negeseuon testun a chyfrineiriau un-amser, mae allweddi diogelwch caledwedd yn llawer mwy diogel rhag ymosodiadau peirianneg gymdeithasol. Gall gweithiwr wedi'i dargedu gael ei dwyllo i rannu manylion neges destun neu gyfrinair un-amser ond mae angen i'r haciwr gael meddiant corfforol o allwedd diogelwch caledwedd i gael mynediad i gyfrif. Daw allweddi diogelwch caledwedd mewn sawl ffurf gan gynnwys ffyn USB neu donglau Bluetooth ac mae angen eu plygio i mewn neu eu cysylltu â dyfais sy'n ceisio cael mynediad i gyfrif gwarchodedig. Ni fydd hacwyr sy'n cael mynediad at fanylion gweithwyr cyflogedig yn gallu cael mynediad i'w cyfrifon sy'n defnyddio'r math hwn o ddiogelwch heb gael mynediad corfforol i'w allweddi. Yn 2018, Google cyhoeddodd nad oedd yr un o'i 85,000 wedi'i dargedu'n llwyddiannus trwy ymosodiad gwe-rwydo ar ôl iddo orfodi'r defnydd o allweddi diogelwch ffisegol flwyddyn ynghynt.
Rhif Mawr
323,972. Dyna gyfanswm nifer y cwynion am ymosodiadau peirianneg gymdeithasol a dderbyniwyd gan yr FBI yn 2021—bron deirgwaith yn uwch na’r hyn ydoedd yn 2019—yn ôl adroddiad blynyddol yr asiantaeth. Adroddiad Trosedd Rhyngrwyd. Yn ystod y cyfnod hwn, hacwyr llwyddo i ddwyn cyfanswm o $2.4 biliwn trwy gyfaddawdu cyfrifon e-bost busnes trwy dechnegau peirianneg gymdeithasol.
Beth i wylio amdano
Dyfalodd Jason Schreier o Bloomberg y gallai'r darnia diweddar annog Rockstar i wneud hynny gosod cyfyngiadau ar waith o bell. Mae gan arbenigwyr cybersecurity dadleuwyd yn flaenorol efallai y bydd angen mwy o ragofalon i weithio o bell gan ei fod yn gadael gweithwyr yn fwy agored i ymosodiadau peirianneg gymdeithasol.
Darllen Pellach
Mae Uber Hacker Yn Hawlio Wedi Hacio Gemau Rockstar, Yn Rhyddhau Fideos GTA 6 (Forbes)
FBI Probes Uber & GTA 6 Hacks, DU Teen Extortion Gang Arweinydd Amau (Forbes)
Ffynhonnell: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- gemau/