ビデオ: 🏃💨 Subway Surfers - Official Launch Trailer (十一月 2024)
Social-Engineer、IncのチーフヒューマンハッカーであるChris Hadnagyは、過去5年間、Def Conで異常な競争を行ってきました。 ソーシャルエンジニアリングキャプチャーザフラッグと呼ばれるこのゲームは、競技者にさまざまな企業の情報を収集するように要求します(必要に応じてフラグ)。 これはソーシャルエンジニアリングです。建物に侵入したり、ネットワークをハッキングしたりすることなく、ターゲットから情報を収集する技術です。
最初のフェーズでは、20人の参加者が、公開されているソースからターゲット企業に関する情報を取得します。 最後の段階は、競技者が情報を求めて被害者を送り出す25分間の電話マラソンです。 これは、ありふれたもの(「カフェテリアはありますか?」)から重大なもの(「ディスク暗号化を使用しますか?」)から壊滅的な可能性まで、被害者をだまして偽のURLを訪問させます。 今年の競争には、アップル、ボーイング、ゼネラルダイナミクスなど、10社が含まれます。
男女の戦い
「最初から私たちは常に女性に参加するよう呼びかけてきました」とハドナジーは言いました。 「男性対女性」形式を採用し、競争における女性の役割を積極的に促進することにより、過去2年間でより良い平等性をもたらしました。 Hadnagyは、プロジェクトでの女性の認知度を高めることが重要であると述べ、他の人が参加することを奨励しました。 「今年は女性の数が増えました」と彼は言いました。
女性は男性の男性に対してどのようにしたのですか? 「今年、女性は勝っただけではない」とハドナジーは言った。 「彼らは男性を抹殺しました。」 上位5スロットのうち3スロットは女性向けで、上位スコアのソーシャルエンジニアは、次に上位のスコアの参加者よりも200ポイント以上多く得点しました。
このデータから多くの結論を導き出すのは簡単ですが、ソーシャルエンジニアリングにおける女性の成功に関する限り、Hadnagy氏は十分な情報がないと述べました。 「人々が本質的に女性を信頼していることを証明するとは思わない」と彼は言った。 「勝利した女性は何かを示していますが、男性と話している女性だったことを示すデータはありません。」
とはいえ、女性は男性と比較して幅広いスコアを獲得しており、これはコンテストの最終レポートに記載されていました。 「多様性は、彼らが非常に多様なグループであり、非常に異なる背景と異なる経験レベルから来ているという事実から仮定されるかもしれません。」 一方、男性は、より少ない外れ値で同じ範囲のスコアをぶらぶらする傾向がありました。 「グループとしての多様性を確保しましたが、男性はバックグラウンドと経験レベルがより均質である傾向があり、おそらくこれはより小さな範囲のスコアに反映されていました。」
バックアップする情報はありませんが、このデータは、さまざまなバックグラウンドを持つ個人をチームに含めることの重要性を示していると思います。 しかし、それは私だけです。
情報はすでにそこにあります
競争の最終報告は性別の役割について決定的ではないかもしれませんが、入念な研究が勝者にとって重要であることは明らかです。 出場者は、オンラインで自由に入手できる衝撃的な量の情報を発見し、研究段階でより高いスコアを獲得した人は、実際の召集中にはるかに良くなる傾向がありました。
あるケースでは、出場者が従業員向けの公開Webポータルを見つけました。 参加者はパスワードログインで保護されていましたが、ターゲット企業から提供された一般公開されているヘルプドキュメントに、例として有効なユーザー名とパスワードが含まれていることを発見しました。 「2013年であり、私たちはまだこのようなものを見ています」とHadnagy氏は述べています。
しかし、出場者が求めていた情報のほとんどを見つけるのに、セキュリティの重大な侵害は受けませんでした。 その多くはソーシャルメディアを通じて利用可能であり、企業のメールを公共サービスにリンクした個人が投稿することもありました。 Hadnagyを驚かせた情報源の1つは、「Myspace、それを信じるか信じないか」です。
より良い変装
Hadnagyはまた、オープンソースの情報収集に加えて、競技者は競争の最終段階で企業に電話をかける際に、はるかに複雑な口実を使用したことにも注目しました。 過去には、多くの出場者が調査の受験者や学生を装ってレポートを書いていました。 ハドナジーは今年、このアプローチを積極的に推奨せず、競技者にこれらのコールにおそらくハングアップすることを思い起こさせました。 「企業環境のだれかがこれらの質問に答えるのはなぜですか?」 彼は尋ねた。
これらの口実は、多かれ少なかれ匿名であり、発信者に対するリスクが低いため、魅力的です。 ただし、今年は、ターゲット企業と協力する仲間の従業員またはベンダーを装った参加者が増えました。 Hadnagyは、より本質的なリスクを抱えていますが、より本質的な信頼があると述べました。 「自動的に、出場者は信頼され、即座に情報を与えられた」と彼は言った。
競技者の口実は、性別の線に沿っていくつかの興味深い相違を示した。 10人の女性のうち、9人は技術的に精通していないと自称し、「仲間」の従業員からの助けを求めていました。 競争のすべての男性は、技術の専門家、そして場合によってはCEOになりました。
脅威を知る
競争の方法と理由を熟考することは興味深いことですが、議論の余地のない事実は、10社が膨大な情報を電話やオンラインで公開することをあきらめたことです。 競技者が求めていた情報は必ずしも本質的に危険なものではありませんでしたが、多層攻撃の確実な最初のステップのように読みます。 ある日はカフェテリアについて尋ね、翌日はログインを求めています。
Hadnagyは、通常、高等教育による貧弱な教育に起因する、従業員の認識不足に問題を固定しています。 Hadnagy氏によると、オンラインでの投稿内容や電話での発言について批判的に考えるように従業員をトレーニングすると、攻撃の成功を減らすことができます。
彼の最も興味深い提案の1つは、企業が詐欺に陥った個人を罰せず、違反の可能性の結果を無料で報告することを奨励することでした。 Hadnagy氏はSecurityWatchに対し、これらの慣行に従う企業は一般的にこれらの脅威への対処が優れていると語った。
あなたが会社の一員であるか、自宅の個人であるかに関係なく、ソーシャルエンジニアリングの危険性を知ることは重要です。 そのため、次に誰かが電話またはメールで助けを求めたとき、王冠の宝石を渡す前にいくつか質問をしてください。
FlickrユーザーCGP Gray経由の画像