Topline
Ang Rockstar Games—ang mga nag-develop ng sikat na serye ng Grand Theft Auto ng mga video game—ay hack ilang araw lamang matapos ma-target ang mga server ng ride-hailing na higanteng Uber sa isang katulad na paglabag, na sinasabing ng parehong hacker na gumamit ng prosesong tinatawag na social engineering, isang napaka-epektibong paraan ng pag-atake na umaasa sa panlilinlang sa mga empleyado ng isang naka-target na kumpanya at maaaring mahirap bantayan laban sa.
Nagawa ng isang di-umano'y teenager na hacker na lumabag sa panloob na database ng Rockstar Games at nag-leak ... [+]
Ang AFP sa pamamagitan ng Getty Images
key Katotohanan
Katulad sa Uber hack, ang hacker na gumagamit ng alyas na "TeaPot" ay nagsabing nakakuha siya ng access sa mga panloob na mensahe ng Rockstar Games sa Slack at maagang code para sa kanilang hindi ipinaalam na sequel ng Grand Theft Auto ni pagkakaroon ng access sa mga kredensyal sa pag-log in ng isang empleyado.
Habang ang eksaktong mga detalye ng paglabag sa Rockstar ay hindi malinaw, sa kaso ng Uber ang hacker inaangkin nagpanggap siya bilang isang IT person ng kumpanya at kinumbinsi ang isang empleyado na ibahagi ang kanilang mga kredensyal sa pag-log in.
Hindi tulad ng iba pang mga paraan ng pag-atake na umaasa sa mga bahid sa arkitektura ng seguridad ng isang kumpanya, tinatarget ng social engineering ang mga tao at umaasa sa pagmamanipula at panlilinlang.
Eksperto ng makipagtalo na ang mga tao ay nananatiling "pinakamahinang link" sa cybersecurity dahil madali silang malinlang na mag-click sa mga nakakahamak na link o ibahagi ang kanilang mga kredensyal sa pag-log in.
Hindi tulad ng iba pang mga pamamaraan, ang social engineering ay epektibo rin sa pagtalo sa ilang pinahusay mga hakbang sa seguridad tulad ng mga minsanang password at iba pang paraan ng pagpapatunay ng multifactor.
Croteal Quote
Rachel Tobac, ang CEO ng cybersecurity firm na SocialProof Security at isang eksperto sa social engineering tweeted: “Ang mahirap na katotohanan ay ang karamihan sa [mga organisasyon]
sa mundo ay maaaring ma-hack sa eksaktong paraan na na-hack lang ang Uber...Maraming [organisasyon] ang hindi pa rin gumagamit ng [Multi Factor Authentication] sa loob...at hindi gumagamit ng mga tagapamahala ng password (na humahantong sa pag-save ng mga kredo sa madaling mahahanap na mga lugar minsan sa isang nakapasok ang nanghihimasok).
Pangunahing background
Ang social engineering ay ginamit upang magsagawa ng ilang mga high-profile na hack sa mga nakaraang taon, kabilang ang hijacking ng higit sa 100 kilalang mga account sa Twitter-kabilang ang mga ito Elon Musk, dating Pangulong Barack Obama, Bill Gates at Kanye West-na noon ay ginamit upang i-promote ang isang bitcoin scam. Ang mga pag-hack ay isinagawa ng mga teenager na nakakuha ng access sa mga panloob na network ng Twitter sa pamamagitan ng pag-target sa “maliit na bilang ng mga empleyado” ayon sa ang kumpanya ng social media. Noong nakaraang buwan, parehong na-target ang Cloudflare at Twilio sa isang uri ng pag-atake ng social engineering na tinatawag na "phishing" kung saan nalinlang ang mga empleyado sa pagbubukas ng isang mensahe na nagkukunwaring lumabas bilang lehitimong komunikasyon ng kumpanya ngunit may kasamang malisyosong link. Twilio, na nagbibigay ng mga serbisyo sa pagmemensahe at two-factor authentication, isiwalat na ang mga hacker ay nagawang labagin ang mga panloob na database ng kumpanya at nakakuha ng access sa isang hindi natukoy na bilang ng mga account ng customer. Cloudflare, isang online na network ng paghahatid ng nilalaman, kilala hindi na-access ng mga hacker ang panloob na network nito.
Kontra
Hindi tulad ng Twilio, Uber at Rockstar, na nasira ang kanilang mga internal system, nagawa ng Cloudflare na maiwasan ang kapalarang ito dahil sa paggamit nito ng mga security key na nakabatay sa hardware. Hindi tulad ng iba pang paraan ng pagpapatotoo ng multifactor tulad ng mga text message at isang beses na password, mas secure ang mga security key ng hardware laban sa mga pag-atake ng social engineering. Ang isang naka-target na empleyado ay maaaring dayain sa pagbabahagi ng mga detalye ng isang text message o isang beses na password ngunit ang hacker ay kailangang makakuha ng pisikal na pagmamay-ari ng isang hardware na security key upang makakuha ng access sa isang account. Ang mga security key ng hardware ay may iba't ibang anyo kabilang ang mga USB stick o Bluetooth dongle at kailangan nilang isaksak o konektado sa isang device na sumusubok na makakuha ng access sa isang protektadong account. Ang mga hacker na nakakuha ng access sa mga kredensyal ng empleyado ay hindi maa-access ang kanilang mga account na gumagamit ng ganitong paraan ng seguridad nang hindi pisikal na nakakakuha ng access sa kanilang mga susi. Noong 2018, ang Google anunsyado na wala sa 85,000 nito ang matagumpay na na-target sa pamamagitan ng pag-atake ng phishing pagkatapos nitong i-utos ang paggamit ng mga pisikal na security key noong nakaraang taon.
Malaking Numero
323,972. Iyan ang kabuuang bilang ng mga reklamo ng mga pag-atake sa social engineering na natanggap ng FBI noong 2021—halos tatlong beses na mas mataas kaysa noong 2019—ayon sa taunang ahensiya. Ulat sa Krimen sa Internet. Sa panahong ito, ang mga hacker nagawang magnakaw kabuuang $2.4 bilyon sa pamamagitan ng pagkompromiso sa mga email account ng negosyo sa pamamagitan ng mga diskarte sa social engineering.
Ano Upang Panoorin Para
Iniisip ni Jason Schreier ng Bloomberg na ang kamakailang pag-hack ay maaaring mag-udyok sa Rockstar mga paghihigpit sa lugar sa malayong trabaho. Mayroon ang mga eksperto sa cybersecurity dati na argued na ang malayong trabaho ay maaaring mangailangan ng higit pang pag-iingat dahil nagiging mas mahina ang mga empleyado sa mga pag-atake ng social engineering.
Karagdagang Reading
Inaangkin ng Uber Hacker na May Na-hack na Mga Larong Rockstar, Naglabas ng Mga GTA 6 na Video (Forbes)
FBI Probes Uber & GTA 6 Hacks, Pinaghihinalaang Pinuno ng Gang ng Pangingikil ng Teen sa UK (Forbes)
Source: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- laro/