image

Overheidsinstantie gehackt via vals Facebookprofiel

vrijdag 1 november 2013, 14:50 door Redactie, 1 reacties

Twee beveiligingsonderzoekers hebben een Amerikaanse overheidsinstantie via een vals Facebookprofiel weten te hacken. Aamir Lakhani en Joseph Muniz creëerden als onderdeel van een penetratietest, die door de overheidsinstantie in kwestie was aangevraagd, een fictief vrouwelijk personage.

Het personage genaamd "Emily Williams" was zowel op Facebook als LinkedIn actief. Eerst zorgden de onderzoekers ervoor dat Williams allerlei echte vrienden kreeg. In één geval wilde "Williams" een man toevoegen die haar vroeg waar ze hem van kende. De onderzoekers gaven antwoord met informatie uit het eigen profiel van de man, waarna hij liet weten dat hij de vrouw zich weer herinnerde.

Nadat er genoeg vrienden aan het valse profiel waren toegevoegd, besloten de onderzoekers haar een zogenaamde baan te geven binnen de overheidsinstantie waarvoor de penetratietest was bedoeld. Allerlei mensen, waaronder personen uit de betreffende overheidsinstantie, feliciteerden de niet bestaande vrouw met haar niet bestaande baan.

Wenskaart

Aangezien de test tijdens de feestdagen plaatsvond, verstuurden de twee onderzoekers via het Facebookprofiel allerlei wenskaarten. De wenskaarten linkten naar een kwaadaardig Java-applet waarmee de onderzoekers de browser van de slachtoffers compromitteerden. Er werd bewust gekozen om geen exploit van de Blackhole-exploitkit te gebruiken maar alleen de browser aan te vallen.

Zowel ambtenaren binnen de overheidsinstantie als werknemers van anti-virusbedrijven trapten in de wenskaart. Ook boden ambtenaren haar aan om buiten de gebruikelijke kanalen om toegang tot het netwerk en een laptop te krijgen.

Inloggegevens

De opdracht van de penetratietest werd binnen een week gehaald, maar de twee onderzoekers besloten het experiment 90 dagen door te laten lopen om te zien hoever ze konden gaan. Uiteindelijk werden domeininloggegevens bemachtigd om een intern e-mailadres voor Williams aan te maken, maar ook VPN-wachtwoorden, netwerkwachtwoorden en SalesForce inloggegevens werden gecompromitteerd.

De onderzoekers stellen dat mensen van nature anderen vertrouwen. Daarbij krijgen aantrekkelijke vrouwen in een door mannen gedomineerde industrie meer aandacht en ook meer voor elkaar. Hetzelfde onderzoek met een mannelijk personage leverde namelijk niets op. De onderzoekers presenteerden hun onderzoek tijdens de RSA Conferentie in Amsterdam.

Image

Reacties (1)
02-11-2013, 11:40 door maboc
Hoe mooi is dat.
Schitterend onderzoek.
Vooral de conclusie dat het 'gebruiken' van een mooie/charmante vrouw, tot geslaagd social engineering leidt is interessant. In mijn beleving ligt het voor de hand, maar het is mooi om te constateren dat het inderdaad ech zo werkt.

Ik heb eens een lezing ver Social Engineering bijgewoond. 't Is schokkend te horen wat men er mee kan bereiken.
't Zal onder de lezers deze site wat anders zijn, maar ook de conclusie "Humans are naturally trusting" is interessant. (haha vooral om dat ik van nature inderdaad bij de groep naïevelingen hoor :-))
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.