Πώς μπορεί ένας εισβολέας να πείσει έναν υπάλληλο μιας μεγάλης εταιρείας να του δώσει οικειοθελώς μυστικές πληροφορίες ή πρόσβαση στο δίκτυο των υπολογιστών; Τηλεφωνεί στην εταιρεία, λέει μια ιστορία και ζητά βοήθεια.
Ναι, λειτουργεί…
Οι επιτιθέμενοι ισχυρίζονται ότι εργάζονται στην IT υποστήριξη και χρειάζονται επειγόντως πληροφορίες σχετικά με το VPN που χρησιμοποιείται για να εντοπίσουν σφάλματα σε ένα πρόβλημα στο δίκτυο.
Αυτές οι απάτες ονομάζονται vishing και σε αντίθεση με το κλασικό phishing, δεν υπάρχουν σχεδόν καθόλου παραδείγματα επιθέσεων. Δεν υπάρχουν βίντεο στο YouTube. Τίποτα!
Γιατί;
Επειδή είναι παράνομο στις ΗΠΑ και την Ευρώπη να ηχογραφείτε μια τηλεφωνική κλήση χωρίς τη συγκατάθεση και των δύο μερών. Ό,τι δεν ηχογραφείται δεν μπορεί να καταλήξει στο YouTube.
Ωστόσο, για να κατανοήσετε και να προστατευτείτε από τις επιθέσεις vishing, είναι απαραίτητο να ακούσετε τέτοιες τηλεφωνικές κλήσεις. Αυτός είναι ο μόνος τρόπος για να κατανοήσετε πώς οι εισβολείς χρησιμοποιούν ηχογραφημένους θορύβους που ακούγονται στο υπόβαθρο (πληκτρολόγηση, θόρυβος τηλεφωνικού κέντρου, ανακοινώσεις στο αεροδρόμιο, κλάμα ενός παιδιού) για να δημιουργήσουν μια ατμόσφαιρα στην οποία μια κλήση φαίνεται αξιόπιστη και επείγουσα. Έτσι όσοι απαντούν μπορεί να ξεστομίσουν πράγματα που θα έπρεπε στην πραγματικότητα να παραμείνουν εμπιστευτικά.
Μία φορά το χρόνο λοιπόν, υπάρχει μια λύση σε αυτό το πρόβλημα: ο Διαγωνισμός Vishing ( Vishing Competition) στο Social Engineering Village στο συνέδριο hacker Def Con που πραγματοποιείται στο Las Vegas. Στις αρχές Αυγούστου, η αμερικανική αφρόκρεμα των συμβούλων κοινωνικής μηχανικής έδινε “παραστάσεις” και οι τηλεφωνικές τους κλήσεις μπορούσαν να ακουστούν ζωντανά.
Ο διαγωνισμός λαμβάνει χώρα σε διαφορετικές φάσεις. Οι συμμετέχουσες ομάδες εγγράφονται μήνες νωρίτερα και τους ανατίθεται ένας στόχος (φέτος ήταν εταιρείες από το Fortune 500 με πολλά υποκαταστήματα).
Θα πρέπει να αναλύσουν τον στόχο τους χρησιμοποιώντας την Ανοιχτή Πηγή Ευφυΐας (OSINT από το Open Source Intelligence) και να συλλέξουν διαθέσιμες πληροφορίες.
Η εργασία των ομάδων στο OSINT αξιολογείται από μια τριμελή κριτική επιτροπή του διαγωνισμού χρησιμοποιώντας ένα σύστημα βαθμολόγησης. Αυτοί οι πόντοι περιλαμβάνονται στην τελική βαθμολογία και καθορίζουν τη σειρά του διαγωνισμού. Οι κλήσεις σε ιδιωτικά κινητά τηλέφωνα απαγορεύονται σύμφωνα με τον Κώδικα Δεοντολογίας του διαγωνισμού. Απαγορεύεται επίσης η χρήση πίεσης ή φόβου σαν μέθοδος και εδώ είναι που ο διαγωνισμός αποκλίνει σημαντικά από την πραγματικότητα.
Οι συμμετέχοντες πραγματοποιούν κλήσεις σε ηχομονωμένα δωμάτια. Η συζήτηση μεταδίδεται ζωντανά μέσω μεγαφώνων στους περίπου 300 επισκέπτες που υπάρχουν στην αίθουσα. Λαμβάνονται βέβαια αυστηρά μέτρα ώστε να μην καταγράφει καμία συζήτηση.
Ο διαγωνισμός είναι πολύ δημοφιλής στους επισκέπτες του Def-Con. Πριν από την είσοδο, η ουρά εκτείνεται σε ολόκληρο τον τρίτο όροφο του Las Vegas Convention Center West Hall. Αν χρειαστεί να χρησιμοποιήσετε την τουαλέτα κατά τη διάρκεια της ημέρας, έχετε ένα πρόβλημα: αν φύγετε από την αίθουσα, χάνετε τη θέση σας και πρέπει να παραταχθείτε ξανά απ έξω.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
