Overheidsinstantie gehackt via vals Facebookprofiel
Twee beveiligingsonderzoekers hebben een Amerikaanse overheidsinstantie via een vals Facebookprofiel weten te hacken. Aamir Lakhani en Joseph Muniz creëerden als onderdeel van een penetratietest, die door de overheidsinstantie in kwestie was aangevraagd, een fictief vrouwelijk personage.
Het personage genaamd "Emily Williams" was zowel op Facebook als LinkedIn actief. Eerst zorgden de onderzoekers ervoor dat Williams allerlei echte vrienden kreeg. In één geval wilde "Williams" een man toevoegen die haar vroeg waar ze hem van kende. De onderzoekers gaven antwoord met informatie uit het eigen profiel van de man, waarna hij liet weten dat hij de vrouw zich weer herinnerde.
Nadat er genoeg vrienden aan het valse profiel waren toegevoegd, besloten de onderzoekers haar een zogenaamde baan te geven binnen de overheidsinstantie waarvoor de penetratietest was bedoeld. Allerlei mensen, waaronder personen uit de betreffende overheidsinstantie, feliciteerden de niet bestaande vrouw met haar niet bestaande baan.
Wenskaart
Aangezien de test tijdens de feestdagen plaatsvond, verstuurden de twee onderzoekers via het Facebookprofiel allerlei wenskaarten. De wenskaarten linkten naar een kwaadaardig Java-applet waarmee de onderzoekers de browser van de slachtoffers compromitteerden. Er werd bewust gekozen om geen exploit van de Blackhole-exploitkit te gebruiken maar alleen de browser aan te vallen.
Zowel ambtenaren binnen de overheidsinstantie als werknemers van anti-virusbedrijven trapten in de wenskaart. Ook boden ambtenaren haar aan om buiten de gebruikelijke kanalen om toegang tot het netwerk en een laptop te krijgen.
Inloggegevens
De opdracht van de penetratietest werd binnen een week gehaald, maar de twee onderzoekers besloten het experiment 90 dagen door te laten lopen om te zien hoever ze konden gaan. Uiteindelijk werden domeininloggegevens bemachtigd om een intern e-mailadres voor Williams aan te maken, maar ook VPN-wachtwoorden, netwerkwachtwoorden en SalesForce inloggegevens werden gecompromitteerd.
De onderzoekers stellen dat mensen van nature anderen vertrouwen. Daarbij krijgen aantrekkelijke vrouwen in een door mannen gedomineerde industrie meer aandacht en ook meer voor elkaar. Hetzelfde onderzoek met een mannelijk personage leverde namelijk niets op. De onderzoekers presenteerden hun onderzoek tijdens de RSA Conferentie in Amsterdam.
Schitterend onderzoek.
Vooral de conclusie dat het 'gebruiken' van een mooie/charmante vrouw, tot geslaagd social engineering leidt is interessant. In mijn beleving ligt het voor de hand, maar het is mooi om te constateren dat het inderdaad ech zo werkt.
Ik heb eens een lezing ver Social Engineering bijgewoond. 't Is schokkend te horen wat men er mee kan bereiken.
't Zal onder de lezers deze site wat anders zijn, maar ook de conclusie "Humans are naturally trusting" is interessant. (haha vooral om dat ik van nature inderdaad bij de groep naïevelingen hoor :-))
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
