төштүү
Rockstar Games — популярдуу Grand Theft Auto видео оюндарынын сериясын иштеп чыгуучулар болгон дептир Бир нече күн өткөндөн кийин, алп Uberдин серверлери ушундай эле бузукулук менен бутага алынган, болжолдуу түрдө ошол эле хакер социалдык инженерия деп аталган процессти колдонгон. каршы.
Өспүрүм деп шектелген хакер Rockstar Games оюнунун ички маалымат базасын бузуп, ачыкка чыгарган. ... [+]
AFP аркылуу Getty Images
Негизги маалымат
окшош Uber хакер, "TeaPot" каймана аты менен жүргөн хакер ал Rockstar Gamesтин Slackтеги ички билдирүүлөрүнө жана алардын жарыяланбаган Grand Theft Auto уландысы үчүн алгачкы коддоруна кире алган деп ырастады. мүмкүнчүлүк алуу кызматкердин каттоо эсебине.
Rockstar бузуунун так чоо-жайы түшүнүксүз болсо да, Uberде хакер өтүнмө ал компаниянын IT адамынын кейпин кийип, кызматкерди логиндик маалыматтарын бөлүшүүгө көндүргөн.
Компаниянын коопсуздук архитектурасындагы кемчиликтерге таянган чабуулдардын башка түрлөрүнөн айырмаланып, социалдык инженерия адамдарды бутага алат жана манипуляцияга жана алдамчылыкка таянат.
Эксперттер талашуу адамдар дагы эле киберкоопсуздуктун "эң алсыз шилтемеси" бойдон калууда, анткени алар зыяндуу шилтемелерди чыкылдатууга же логиндик дайындарын бөлүшүүгө оңой эле алданып калышы мүмкүн.
Башка ыкмалардан айырмаланып, социалдык инженерия да белгилүү бир өркүндөтүлгөн ыкмаларды жеңүүдө натыйжалуу коопсуздук чаралары бир жолку сырсөздөр жана башка көп факторлуу аутентификация ыкмалары сыяктуу.
Маанилүү цитата
Рэйчел Тобак, SocialProof Security киберкоопсуздук фирмасынын башкы директору жана социалдык инженерия боюнча эксперт шопурлуктан: "Катуу чындык, көпчүлүк [уюмдар]
дүйнөдө Uber жаңы эле бузулгандай эле бузулушу мүмкүн... Көптөгөн [уюмдар] дагы эле [Мультифактордук аутентификацияны] ичтен колдонушпайт... жана сырсөз башкаргычтарды колдонушпайт (бул бир жолу оңой изделүүчү жерлерде кредиттерди сактоого алып келет) кирүүчү кирет).
Негизги фондо
Социалдык инженерия акыркы жылдары бир нече жогорку деңгээлдеги хакерлерди, анын ичинде карактоо 100дөн ашуун белгилүү Twitter аккаунттарынын, алардын арасында Илон Маск, мурдагы президент Барак Обама, Билл Гейтс жана Канье Уэст – алар кийин биткойндор боюнча алдамчылыкты жайылтуу үчүн колдонулган. Хакерлерди "аз сандагы кызматкерлерди" бутага алуу менен Twitterдин ички тармактарына кире алган өспүрүмдөр ишке ашырышкан. ылайык коомдук медиа компаниясы. Өткөн айда Cloudflare да, Twilio да "фишинг" деп аталган социалдык инженердик чабуулдун бир түрүнө багытталган, мында кызматкерлер компаниянын мыйзамдуу байланышы катары көрүнгөн, бирок зыяндуу шилтемени камтыган билдирүү ачууга алданып кетишкен. Кабарлашуу жана эки фактордук аутентификация кызматтарын камсыз кылган Twilio, ачылган хакерлер компаниянын ички маалымат базасын бузуп, кардарлардын белгисиз сандагы эсептерине кирүү мүмкүнчүлүгүнө ээ болгон. Cloudflare, онлайн мазмун жеткирүү тармагы, белгиленген хакерлер анын ички тармагына кире алышкан эмес.
каршы
Ички системалары бузулган Twilio, Uber жана Rockstarдан айырмаланып, Cloudflare бул тагдырдан кутулууга жетишти. жабдыкка негизделген коопсуздук ачкычтары. Тексттик билдирүүлөр жана бир жолку сырсөздөр сыяктуу башка көп факторлуу аутентификация ыкмаларынан айырмаланып, аппараттык коопсуздук ачкычтары социалдык инженердик чабуулдардан алда канча коопсуз. Максаттуу кызматкер текст кабарынын же бир жолку сырсөздүн чоо-жайын бөлүшүү үчүн алданып калышы мүмкүн, бирок хакер аккаунтка кирүү үчүн аппараттык коопсуздук ачкычына физикалык ээ болушу керек. Аппараттык коопсуздук ачкычтары ар кандай формаларда болот, анын ичинде USB таякчалары же Bluetooth жабдыктары жана алар корголгон каттоо эсебине кирүүгө аракет кылып жаткан түзмөккө сайылып же туташтырылышы керек. Кызматкерлердин эсептик дайындарына кирүү мүмкүнчүлүгүнө ээ болгон хакерлер алардын ачкычтарына физикалык түрдө жетпестен, коопсуздуктун бул түрүн колдонгон аккаунттарына кире алышпайт. 2018-жылы Google жарыялады бир жыл мурун физикалык коопсуздук ачкычтарын колдонууну талап кылгандан кийин анын 85,000инин бири да фишингдик чабуул аркылуу ийгиликтүү бутага алынган эмес.
Чоң сан
323,972. Бул 2021-жылы ФБРге түшкөн социалдык инженердик чабуулдар боюнча даттануулардын жалпы саны — агенттиктин жылдык отчетуна ылайык, 2019-жылдагыдан дээрлик үч эсе көп. Интернет кылмыштуулугу боюнча отчет. Бул мезгилде хакерлер уурдоого жетишкен социалдык инженерия ыкмалары аркылуу бизнес электрондук почта эсептерин бузуп, жалпысынан $2.4 млрд.
Эмнени көрүш керек
Bloomberg'тин кабарчысы Джейсон Шрайердин айтымында, акыркы хакерлик Rockstarга түрткү болушу мүмкүн чектөөлөрдү коюу аралыктан иштөө боюнча. Киберкоопсуздук боюнча эксперттер бар мурда талашкан алыстан иштөө көбүрөөк сактык чараларын талап кылышы мүмкүн, анткени ал кызматкерлерди социалдык инженердик чабуулдарга көбүрөөк алсыз кылат.
андан ары окуу
Uber хакери Rockstar оюндарын бузуп алганын ырастап, GTA 6 видеолорун чыгарды (Forbes)
Source: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- оюндар/