Twee beveiligingsonderzoekers hebben een Amerikaanse overheidsinstantie via een vals Facebookprofiel weten te hacken. Aamir Lakhani en Joseph Muniz creëerden als onderdeel van een penetratietest, die door de overheidsinstantie in kwestie was aangevraagd, een fictief vrouwelijk personage.
Het personage genaamd "Emily Williams" was zowel op Facebook als LinkedIn actief. Eerst zorgden de onderzoekers ervoor dat Williams allerlei echte vrienden kreeg. In één geval wilde "Williams" een man toevoegen die haar vroeg waar ze hem van kende. De onderzoekers gaven antwoord met informatie uit het eigen profiel van de man, waarna hij liet weten dat hij de vrouw zich weer herinnerde.
Nadat er genoeg vrienden aan het valse profiel waren toegevoegd, besloten de onderzoekers haar een zogenaamde baan te geven binnen de overheidsinstantie waarvoor de penetratietest was bedoeld. Allerlei mensen, waaronder personen uit de betreffende overheidsinstantie, feliciteerden de niet bestaande vrouw met haar niet bestaande baan.
Aangezien de test tijdens de feestdagen plaatsvond, verstuurden de twee onderzoekers via het Facebookprofiel allerlei wenskaarten. De wenskaarten linkten naar een kwaadaardig Java-applet waarmee de onderzoekers de browser van de slachtoffers compromitteerden. Er werd bewust gekozen om geen exploit van de Blackhole-exploitkit te gebruiken maar alleen de browser aan te vallen.
Zowel ambtenaren binnen de overheidsinstantie als werknemers van anti-virusbedrijven trapten in de wenskaart. Ook boden ambtenaren haar aan om buiten de gebruikelijke kanalen om toegang tot het netwerk en een laptop te krijgen.
De opdracht van de penetratietest werd binnen een week gehaald, maar de twee onderzoekers besloten het experiment 90 dagen door te laten lopen om te zien hoever ze konden gaan. Uiteindelijk werden domeininloggegevens bemachtigd om een intern e-mailadres voor Williams aan te maken, maar ook VPN-wachtwoorden, netwerkwachtwoorden en SalesForce inloggegevens werden gecompromitteerd.
De onderzoekers stellen dat mensen van nature anderen vertrouwen. Daarbij krijgen aantrekkelijke vrouwen in een door mannen gedomineerde industrie meer aandacht en ook meer voor elkaar. Hetzelfde onderzoek met een mannelijk personage leverde namelijk niets op. De onderzoekers presenteerden hun onderzoek tijdens de RSA Conferentie in Amsterdam.
Deze posting is gelocked. Reageren is niet meer mogelijk.