Overheidsinstantie gehackt via vals Facebookprofiel
Twee beveiligingsonderzoekers hebben een Amerikaanse overheidsinstantie via een vals Facebookprofiel weten te hacken. Aamir Lakhani en Joseph Muniz creëerden als onderdeel van een penetratietest, die door de overheidsinstantie in kwestie was aangevraagd, een fictief vrouwelijk personage.
Het personage genaamd "Emily Williams" was zowel op Facebook als LinkedIn actief. Eerst zorgden de onderzoekers ervoor dat Williams allerlei echte vrienden kreeg. In één geval wilde "Williams" een man toevoegen die haar vroeg waar ze hem van kende. De onderzoekers gaven antwoord met informatie uit het eigen profiel van de man, waarna hij liet weten dat hij de vrouw zich weer herinnerde.
Nadat er genoeg vrienden aan het valse profiel waren toegevoegd, besloten de onderzoekers haar een zogenaamde baan te geven binnen de overheidsinstantie waarvoor de penetratietest was bedoeld. Allerlei mensen, waaronder personen uit de betreffende overheidsinstantie, feliciteerden de niet bestaande vrouw met haar niet bestaande baan.
Wenskaart
Aangezien de test tijdens de feestdagen plaatsvond, verstuurden de twee onderzoekers via het Facebookprofiel allerlei wenskaarten. De wenskaarten linkten naar een kwaadaardig Java-applet waarmee de onderzoekers de browser van de slachtoffers compromitteerden. Er werd bewust gekozen om geen exploit van de Blackhole-exploitkit te gebruiken maar alleen de browser aan te vallen.
Zowel ambtenaren binnen de overheidsinstantie als werknemers van anti-virusbedrijven trapten in de wenskaart. Ook boden ambtenaren haar aan om buiten de gebruikelijke kanalen om toegang tot het netwerk en een laptop te krijgen.
Inloggegevens
De opdracht van de penetratietest werd binnen een week gehaald, maar de twee onderzoekers besloten het experiment 90 dagen door te laten lopen om te zien hoever ze konden gaan. Uiteindelijk werden domeininloggegevens bemachtigd om een intern e-mailadres voor Williams aan te maken, maar ook VPN-wachtwoorden, netwerkwachtwoorden en SalesForce inloggegevens werden gecompromitteerd.
De onderzoekers stellen dat mensen van nature anderen vertrouwen. Daarbij krijgen aantrekkelijke vrouwen in een door mannen gedomineerde industrie meer aandacht en ook meer voor elkaar. Hetzelfde onderzoek met een mannelijk personage leverde namelijk niets op. De onderzoekers presenteerden hun onderzoek tijdens de RSA Conferentie in Amsterdam.
Schitterend onderzoek.
Vooral de conclusie dat het 'gebruiken' van een mooie/charmante vrouw, tot geslaagd social engineering leidt is interessant. In mijn beleving ligt het voor de hand, maar het is mooi om te constateren dat het inderdaad ech zo werkt.
Ik heb eens een lezing ver Social Engineering bijgewoond. 't Is schokkend te horen wat men er mee kan bereiken.
't Zal onder de lezers deze site wat anders zijn, maar ook de conclusie "Humans are naturally trusting" is interessant. (haha vooral om dat ik van nature inderdaad bij de groep naïevelingen hoor :-))
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.