Topline
Rockstar Games – utviklerne av den populære Grand Theft Auto-serien med videospill – var hacket bare dager etter at giganten Ubers servere ble målrettet i et lignende brudd, angivelig av den samme hackeren som brukte en prosess kalt social engineering, en svært effektiv angrepsmåte som er avhengig av å lure ansatte i et målrettet selskap og som kan være vanskelig å beskytte. imot.
En angivelig tenåringshacker klarte å bryte den interne databasen til Rockstar Games og lekket ... [+]
AFP via Getty Images
Nøkkelord
Ligner på Uber hack, hackeren som går under aliaset "TeaPot" påsto at han fikk tilgang til Rockstar Games interne meldinger på Slack og tidlig kode for deres uanmeldte Grand Theft Auto-oppfølger av får tilgang til en ansatts påloggingsinformasjon.
Mens de nøyaktige detaljene om Rockstar-bruddet er uklare, er hackeren i Ubers tilfelle hevdet han maskerte seg som en bedrifts IT-person og overbeviste en ansatt om å dele påloggingsinformasjonen deres.
I motsetning til andre angrepsmåter som er avhengige av feil i et selskaps sikkerhetsarkitektur, er sosial teknikk rettet mot mennesker og er avhengig av manipulasjon og bedrag.
Eksperter strides at mennesker fortsatt er den "svakeste lenken" innen cybersikkerhet, da de lett kan bli lurt til å klikke på ondsinnede lenker eller dele påloggingsinformasjonen sin.
I motsetning til andre metoder, er sosial ingeniørkunst også effektiv til å beseire visse forbedrede sikkerhetstiltak som engangspassord og andre multifaktorautentiseringsmetoder.
Avgjørende sitat
Rachel Tobac, administrerende direktør i cybersikkerhetsfirmaet SocialProof Security og en ekspert på sosial ingeniørkunst twitret: «Den harde sannheten er at de fleste [organisasjoner]
i verden kan bli hacket på nøyaktig samme måte som Uber nettopp ble hacket ... Mange [organisasjoner] bruker fortsatt ikke [Multi Factor Authentication] internt ... og bruker ikke passordadministratorer (noe som fører til lagring av kreditt på lett søkbare steder en gang en gang inntrenger kommer inn)."
Nøkkelbakgrunn
Social engineering har blitt brukt til å utføre flere høyprofilerte hacks de siste årene, inkludert kapring av mer enn 100 fremtredende Twitter-kontoer – blant dem Elon Musk, tidligere president Barack Obama, Bill Gates og Kanye West – som deretter ble brukt til å fremme en bitcoin-svindel. Hackene ble utført av tenåringer som klarte å få tilgang til Twitters interne nettverk ved å målrette mot «et lite antall ansatte» ifølge det sosiale medieselskapet. I forrige måned ble både Cloudflare og Twilio også målrettet i en type sosialt ingeniørangrep kalt "phishing" der ansatte ble lurt til å åpne en melding som var forkledd for å fremstå som legitim bedriftskommunikasjon, men inkluderte en ondsinnet lenke. Twilio, som tilbyr meldingstjenester og tofaktorautentiseringstjenester, avslørt at hackerne hadde klart å bryte selskapets interne databaser og fått tilgang til et ukjent antall kundekontoer. Cloudflare, et nettbasert innholdsleveringsnettverk, bemerket hackerne fikk ikke tilgang til det interne nettverket.
Contra
I motsetning til Twilio, Uber og Rockstar, som fikk sine interne systemer brutt, klarte Cloudflare å unngå denne skjebnen på grunn av bruken av maskinvarebaserte sikkerhetsnøkler. I motsetning til andre multifaktorautentiseringsmetoder som tekstmeldinger og engangspassord, er maskinvaresikkerhetsnøkler mye sikrere mot angrep fra sosial ingeniørkunst. En målrettet ansatt kan bli lurt til å dele detaljene i en tekstmelding eller et engangspassord, men hackeren må få fysisk besittelse av en maskinvaresikkerhetsnøkkel for å få tilgang til en konto. Maskinvaresikkerhetsnøkler kommer i ulike former, inkludert USB-pinner eller Bluetooth-dongler, og de må kobles til eller kobles til en enhet som prøver å få tilgang til en beskyttet konto. Hackere som får tilgang til ansattes legitimasjon vil ikke kunne få tilgang til kontoene deres som bruker denne formen for sikkerhet uten å fysisk få tilgang til nøklene deres. I 2018, Google annonsert at ingen av deres 85,000 XNUMX hadde blitt målrettet gjennom et phishing-angrep etter at det ga mandat til bruk av fysiske sikkerhetsnøkler et år tidligere.
Stort antall
323,972. Det er det totale antallet klager på sosiale ingeniørangrep mottatt av FBI i 2021 - nesten tre ganger høyere enn hva det var i 2019 - ifølge byråets årlige Internettkriminalitetsrapport. I løpet av denne perioden, hackere klarte å stjele totalt 2.4 milliarder dollar ved å kompromittere bedriftens e-postkontoer gjennom sosiale ingeniørteknikker.
Hva skal du se etter?
Bloombergs Jason Schreier spekulerte i at det nylige hacket kan få Rockstar til å gjøre det sette restriksjoner på fjernarbeid. Eksperter på nettsikkerhet har tidligere hevdet at eksternt arbeid kan kreve flere forholdsregler ettersom det gjør ansatte mer sårbare for sosiale ingeniørangrep.
Videre Reading
Uber sier den svarer på "cybersikkerhetshendelsen" etter påstått hack av interne databaser (Forbes)
Uber Hacker hevder å ha hacket Rockstar-spill, lanserer GTA 6-videoer (Forbes)
FBI undersøker Uber- og GTA 6-hack, leder for ungdomsutpressing i Storbritannia mistenkt (Forbes)
Kilde: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- spill/