Topline
Rockstar Games - udviklerne af den populære Grand Theft Auto-serie af videospil - var hacket få dage efter, at giganten Ubers servere blev ramt af et lignende brud, angiveligt af den samme hacker, der brugte en proces kaldet social engineering, en yderst effektiv angrebsmetode, der er afhængig af at bedrage medarbejdere i en målrettet virksomhed, og som kan være svær at beskytte. mod.
En påstået teenage-hacker formåede at bryde den interne database af Rockstar Games og lækket ... [+]
AFP via Getty Images
Fakta
Svarende til Uber hack, hackeren, der går under aliaset "TeaPot" påstod, at han fik adgang til Rockstar Games' interne beskeder på Slack og tidlig kode til deres uanmeldte Grand Theft Auto-efterfølger af får adgang til en medarbejders loginoplysninger.
Mens de nøjagtige detaljer om Rockstar-bruddet er uklare, er hackeren i Ubers tilfælde hævdede han forklædte sig som en virksomheds IT-person og overbeviste en medarbejder om at dele deres loginoplysninger.
I modsætning til andre angrebsformer, der er afhængige af fejl i en virksomheds sikkerhedsarkitektur, er social engineering rettet mod mennesker og er afhængig af manipulation og bedrag.
Eksperter hævder at mennesker stadig forbliver det "svageste led" inden for cybersikkerhed, da de nemt kan snydes til at klikke på ondsindede links eller dele deres loginoplysninger.
I modsætning til andre metoder er social engineering også effektiv til at besejre visse forbedrede sikkerhedsforanstaltninger som engangsadgangskoder og andre multifaktorgodkendelsesmetoder.
Afgørende citat
Rachel Tobac, administrerende direktør for cybersikkerhedsfirmaet SocialProof Security og ekspert i social engineering Tweetet: "Den hårde sandhed er, at de fleste [organisationer]
i verden kunne blive hacket på den nøjagtige måde, Uber lige blev hacket...Mange [organisationer] bruger stadig ikke [Multi Factor Authentication] internt...& bruger ikke adgangskodeadministratorer (hvilket fører til at gemme creds på let søgbare steder, når en ubuden gæst kommer ind).
Nøglebaggrund
Social engineering er blevet brugt til at udføre adskillige højprofilerede hacks i de senere år, herunder kapring af mere end 100 prominente Twitter-konti – blandt dem Elon Musk, tidligere præsident Barack Obama, Bill Gates og Kanye West – som derefter blev brugt til at promovere et bitcoin-svindel. Hackene blev udført af teenagere, der formåede at få adgang til Twitters interne netværk ved at målrette mod "et lille antal ansatte" efter det sociale medieselskab. Sidste måned blev både Cloudflare og Twilio også målrettet i en type social engineering-angreb kaldet "phishing", hvor medarbejdere blev narret til at åbne en besked, der var forklædt til at fremstå som legitim virksomhedskommunikation, men som indeholdt et ondsindet link. Twilio, der leverer meddelelser og to-faktor autentificeringstjenester, videregives at hackerne havde formået at bryde virksomhedens interne databaser og fået adgang til et ikke oplyst antal kundekonti. Cloudflare, et online indholdsleveringsnetværk, bemærkede hackerne var ikke i stand til at få adgang til dets interne netværk.
Contra
I modsætning til Twilio, Uber og Rockstar, som fik deres interne systemer brudt, lykkedes det Cloudflare at undgå denne skæbne på grund af dets brug af hardwarebaserede sikkerhedsnøgler. I modsætning til andre multifaktorautentificeringsmetoder som tekstbeskeder og engangsadgangskoder, er hardwaresikkerhedsnøgler meget mere sikre mod social engineering-angreb. En målrettet medarbejder kan blive narret til at dele detaljerne i en tekstbesked eller en engangsadgangskode, men hackeren skal have fysisk besiddelse af en hardwaresikkerhedsnøgle for at få adgang til en konto. Hardwaresikkerhedsnøgler kommer i forskellige former, herunder USB-sticks eller Bluetooth-dongler, og de skal tilsluttes eller tilsluttes en enhed, der forsøger at få adgang til en beskyttet konto. Hackere, der får adgang til medarbejders legitimationsoplysninger, vil ikke kunne få adgang til deres konti, der bruger denne form for sikkerhed, uden fysisk at få adgang til deres nøgler. I 2018, Google annoncerede at ingen af dets 85,000 med succes var blevet målrettet gennem et phishing-angreb, efter at det gav mandat til brug af fysiske sikkerhedsnøgler et år tidligere.
Big Number
323,972. Det er det samlede antal klager over sociale ingeniørangreb modtaget af FBI i 2021 - næsten tre gange højere end hvad det var i 2019 - ifølge agenturets årlige Internetkriminalitetsrapport. I denne periode, hackere lykkedes at stjæle i alt 2.4 milliarder dollars ved at kompromittere virksomheds-e-mail-konti gennem social engineering-teknikker.
Hvad skal man se på
Bloombergs Jason Schreier spekulerede på, at det seneste hack kan få Rockstar til placere restriktioner på fjernarbejde. Cybersikkerhedseksperter har tidligere argumenteret at fjernarbejde kan kræve flere forholdsregler, da det efterlader medarbejderne mere sårbare over for social engineering-angreb.
Yderligere læsning
Uber siger, at det reagerer på 'cybersikkerhedshændelse' efter påstået hack af interne databaser (Forbes)
Uber Hacker hævder at have hacket Rockstar-spil, udgiver GTA 6-videoer (Forbes)
FBI undersøger Uber- og GTA 6-hack, UK Teen-afpresningsbandeleder mistænkt (Forbes)
Kilde: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- spil/