Hvordan en hacker hos IBM bruger forklædninger og enheder til at stjæle private oplysninger

Hvordan en hacker hos IBM bruger forklædninger og enheder til at stjæle privat information Et IBM X-Force Red-teammedlem forklarer, hvordan hendes baggrund inden for makeup og salg hjælper hendes socialtekniske karriere. Hun demonstrerer også, hvordan cyberkriminelle let kan klone dit arbejds-ID-badge.

CNET og CBS News Seniorproducent Dan Patterson og CBS Undersøgelsesreporter Graham Kates talte med Stephanie "Snow" Carruthers, hovedpersonhacker for IBMs X-Force Red team, om hvordan hun kom ind i hacking og specifikt social engineering. Følgende er en redigeret udskrift af deres samtale.

Dette er del tre i en firedelt serie. Download hele serien: Hvordan en IBM-ingeniør hackede to CBS-journalister - og afslørede derefter tricks bag hendes phishing- og spoofingangreb (gratis PDF).

Se del ét IBM-socialingeniør nemt hacket to journalisters oplysninger og del to Hvordan cyberkriminelle narrer dig til at give dine oplysninger over telefonen .

Dan Patterson: Stephanie, din baggrund er ikke nødvendigvis i computere eller i hacking. Du kommer fra makeupverdenen og fra den praktiske verden. Forklar mig lidt om din baggrund, og hvordan blev du en hacker, og hvordan kom du specifikt ind i social engineering?

Stephanie Carruthers: Min baggrund er i salg med makeup-produkter. Jeg nød virkelig at se, hvad der fik folk til at krydse, og hvilke salgsteknikker, der virkede og ikke virkede. Og med den kærlighed til makeup, lærte jeg derefter makeups specielle effekter, og jeg var i stand til virkelig at transformere mennesker. Og det nød jeg, og jeg havde ingen anelse om, at det var to ting, som jeg ville bruge i min karriere nu.

Men hvis du spoler et par år frem, deltog jeg på DEF CON for første gang, som er verdens største hackingkonference. Jeg gik med min ægtefælle og havde overhovedet ingen interesse i at være der. Da jeg var der, fandt jeg en social engineering konkurrence. Og den konkurrence er, hvor folk foretager live telefonopkald til mål, der prøver at få information fra dem. Og da jeg var derinde, hører vi i rummet og lytter til opkaldene; Jeg indså, at det var skabt til mig. Alle de tricks, som jeg tidligere havde lært med at overbevise folk om at købe ting, vidste jeg, at jeg kunne gøre det.

Derfra fik jeg hver bog om det emne, jeg kunne finde. Jeg gik til indkøbscenteret og ville tale med folk, og jeg konkurrerede tre år i træk i den konkurrence, og jeg vandt på mit tredje år. Og jeg har nu gjort dette professionelt i flere år.

Mastermind con mand bag Catch Me If You Can taler cybersikkerhed (gratis PDF)

Dan Patterson: Fortæl mig, hvordan en hacker i naturen kan kombinere faktiske hårde computerfærdigheder, som du har sammen med disse andre færdigheder, du har inden for social engineering.

Stephanie Carruthers: Et godt eksempel på det ville være phishing eller udsendelse af en ondsindet e-mail med links eller vedhæftede filer. Du har brug for det socialtekniske stykke for at lave den e-mail, der er specifik for dit mål. Du skal kende forskellige indflydelsesteknikker eller ting, som jeg lærte af salget for virkelig at overbevise dem og sælge det. Og så har du brug for de tekniske færdigheder til faktisk at opbygge webstedet eller nyttelasten.

Dan Patterson: Stephanie, jeg bliver faktisk fortalt, at du er i forklædning lige nu. Kan du hjælpe mig med at forstå, hvordan makeup og forklædninger hjælper dig med dit job som hacker?

Stephanie Carruthers: Absolut. Så jeg er i forklædning nu. Dette er slet ikke sådan, som mit hår ser ud, så jeg bruger forklædninger meget, når jeg går på stedet, fordi jeg ikke ønsker at blive genkendt, eller måske bliver jeg nødt til at bruge flere personligheder. Hvis noget ikke fungerer første gang, bliver jeg nødt til at prøve noget andet, og det hjælper mig virkelig. Eller hvis jeg foregiver at være en bestemt person, som en blomsterleveringsperson, vil jeg ændre mig til en uniform.

Parykken, som jeg bruger, er noget, jeg ville bruge til en revisor, og jeg ville bære en dragt. Jeg går faktisk online og prøver at finde information og billeder af mennesker i de samme jobroller for at ligne dem meget som jeg kan.

Graham Kates: Sne, du har nu taget din forklædning af, du er klædt som dig selv formodentlig, og du gør dig klar til at tage os igennem, hvordan du muligvis får adgang til CBS News-bygningen, hvis du forsøgte at snige inde. Du har medbragt værktøjer, der kunne vise os, hvordan du ville være i stand til det, hvis du ville.

Stephanie Carruthers: Absolut! Jeg har faktisk lavet dig et falskt kort. Kan jeg se det? For at vise, hvordan dette ville fungere, er dette som et almindeligt RFID-system, som mange bygninger har, så du er nødt til at badge ind for at få adgang til bygningen. Dit kort er programmeret, og det fungerer. Hvad jeg derefter ville gøre, er at tage min RFID-indfangningsenhed, som er en lang rækkevidere. Jeg skjuler det i min taske, og ingen ved, at det er der.

Hvad jeg gør er jeg bære min pung rundt, ikke? Bare på skuldrene er det normalt, og jeg stod ved siden af ​​dig i en elevator, i kø på kaffebaren, og alt hvad jeg skulle bruge, er 20 tommer afstand mellem min pung og din badge, og jeg ville være i stand til at fange alt de data, der er på din badge. Så gik jeg tilbage til mit hotelværelse, og jeg fik dataene fra denne læser.

Jeg har et micro SD-kort herinde, som jeg derefter ville trække ud, tilslutte min computer, og jeg vil bruge dette proxmark. Hvad dette gør er, at det kloner de data, jeg giver dem, på et nyt kort. Jeg tager de data, jeg har fanget, fra dit kort, og jeg programmerer det til dette nye kort. Det fungerer nu, som om det var dit kort.

Graham Kates: Jeg gjorde ikke noget forkert, men du var i stand til at få adgang til bygningen ved hjælp af mig som en sårbarhed.

Stephanie Carruthers: Præcis, og det er bare en meget, meget tæt afstand. Jeg behøver ikke engang at være i din bygning. Jeg kunne være i kø for frokost eller et sted bare tæt på ansatte.

Yderligere rapportering fra Graham Kates.

Gå ikke glip af denne relaterede dækning: En hacker invaderede 2 CBS-reporteres liv uden at skrive en enkelt kodelinje (CBS News) | Denne hacker vil narre dig, og du vil være glad for, at hun gjorde det (CNET)

Del fire af denne serie offentliggøres snart.

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2020 | mobilegn.com