Diğer birçok hack gibi, Uber’in büyük güvenlik ihlali bir kısa mesajla başladı. İddia edilen bilgisayar korsanı tarafından sağlanan ayrıntılara atıfta bulunmak, New York Times rapor edildi Sahte bir metin mesajının bir Uber çalışanını şifre ayrıntılarını ifşa etmesi için kandırdığını ve araç paylaşım şirketinin BT sistemlerinde büyük ölçekli bir uzlaşmaya yol açan bir dizi olayı tetiklediğini söyledi.
Uber’in kaynaklarına sahip bir şirket için bile, bu tür sosyal mühendislik tehditlerine karşı tamamen savunmak imkansızdır. Bir firmanın parola politikalarının ne kadar iyi olduğu, hassas bilgilerin uygun şekilde saklanıp saklanmadığı veya şifrelenmiş olup olmadığı ve hatta çok faktörlü kimlik doğrulamanın kullanılıp kullanılmadığı önemli değildir – her zaman bir insan çalışanın kandırılarak saldırganın içeri girmesine izin vermesi ihtimali vardır. ön kapı.
Sosyal mühendislik, bu tür saldırılar için genel bir terimdir: dikkatli bir şekilde uyarlanmış kimlik avı kampanyaları veya diğer psikolojik hileler kullanarak, hassas bilgileri ifşa etmeye yönelik hedefleri kandıran çok çeşitli teknikler. onun içinde üç aylık tehdit raporu Q2 2022 için kurumsal siber güvenlik sağlayıcısı ZeroFox, “sosyal mühendisliğin ikinci çeyrekte en sık bildirilen izinsiz giriş taktiklerinden biri olmaya devam ettiğini ve bunun öngörülebilir gelecekte neredeyse kesinlikle böyle kalacağını” değerlendirdi. Büyük şirketler için, insanların saf olması gibi basit bir nedenden dolayı korunması en zor saldırılardan biridir.
E-posta güvenlik sağlayıcısı Tessian’ın CISO’su Josh Yavor da aynı fikirde. Yavor, “Sosyal mühendislik, şirketlerin ihlallere kurban gitmesinin en yaygın yoludur ve rakipler bunun işe yaradığını bilir” dedi.
Bu durumda, saldırganın, doğru kullanıcı adı ve parola ile bile genellikle yetkisiz oturum açmayı önleyecek çok faktörlü kimlik doğrulama süreçlerinin etrafından dolaşmasına izin veren sosyal mühendislik tekniklerinin kullanılmasıydı.
Ekran görüntüleri paylaşılan bilgisayar korsanıyla yapılan konuşmalardan, saldırının nasıl geliştiğine dair bir fikir verebilir. Bilgisayar korsanı, çalışanın şifresini aldıktan sonra, bir kimlik doğrulama uygulamasında art arda push bildirimlerini tetiklediklerini ve ardından Uber’in BT departmanından olduğunu iddia eden bir WhatsApp mesajı göndererek, çalışana giriş girişiminin meşru olduğunu onaylaması talimatını verdiğini iddia ediyor.
Bu, onlara Uber’in kurumsal intranetine bağlanabilecekleri bir VPN’e erişmelerini ve oradan VPN dışındaki bir bağlantıdan erişilemeyecek hassas dosyalar ve uygulamalar için ağı tarayabilmelerini sağladı. Bir PowerShell betiğinde (Windows makinelerinde görevleri otomatikleştirmek için kullanılır), Thycotic’te oturum açmak için bir yönetici parolası buldukları bildirildi: şirket tarafından kullanılan diğer yazılımlara erişimi kontrol eden ayrıcalıklı bir erişim yönetimi (PAM) aracı.
Bilgisayar korsanı bir Telegram mesajında “Bunu kullanarak tüm hizmetler için sırları çıkarabildim” dedi.
Şirketleri yeterince hazırlamak büyük bir zorluktur – çoğu hata ödül programından sosyal mühendisliğin çıkarılması daha da zorlaşır. Sosyal mühendislik saldırıları, bilgisayar korsanlarına sistemlere nasıl girebileceklerini açıkladıkları için finansal bir ödül sunan bu planlar tarafından nadiren kapsanır. Bu, özellikle sosyal mühendislik ilan eden Uber için doğruydu.kapsam dışında” kendi hata ödül programı için – bilgisayar korsanının halka açılmadan önce istismarlarının ayrıntılarını Uber ile paylaşması için hiçbir teşvik (en azından parasal teşvik) sağlamaz.
Sosyal mühendislik değerlendirmeleri sunan bir siber güvenlik firması olan Snowfensive’in başkanı JC Carruthers, şunları söyledi: Sınır sosyal mühendislik saldırılarını hata ödül programlarından hariç tutmak standart prosedürdür, aksi takdirde saldırganları çalışanları hedef almaya teşvik eder.
Carruthers, “Hedef bir IP adresi veya uç nokta değil – bir insan” dedi. “Bir kuruluşun bakış açısından, ödül avcısına yasal yetkileri olmayan veya etik kaygılar olabilecek bir kişiyi test etme yetkisi veriyorlar.”
Etik meydan okumadan bile daha inatçı, sorunu etkili bir şekilde çözmenin zorluğudur. Bir yazılım güvenlik açığı ifşa edildikten sonra düzeltilebilir – ancak bir şirketin çalışanlarının belirli bir tür talep tarafından kandırılabileceğini bilmek, güvenlik yöneticilerine sorunu çözmek için birkaç seçenek bırakır.
Carruthers, “Organizasyonların hata ödül programlarına sosyal mühendisliği dahil etmemelerinin en önemli nedeni, bir sosyal mühendislik saldırısının işe yarayacağını bilmeleridir” dedi.
“Hedef bir IP adresi veya uç nokta değil – bir insan.”
Genellikle şirketler, çalışanlarının sistemlerini kimlik avı e-postaları, metin mesajları veya diğer benzer taktiklerle tehlikeye atmaya çalışmak ve ardından nasıl iyileştirebilecekleri konusunda bir rapor sağlamak için bir güvenlik firması tutarak çalışanlarını bu tür saldırılara karşı “kırmızı ekip oluşturma” ile hazırlamaya çalışırlar. Bu, kuşkusuz güvenliği artıran bir stratejidir, ancak etik kısıtlamalar nedeniyle gerçek dünyadaki sosyal mühendislik hack’lerinin sinsiliğini ve kalıcılığını taklit etmede başarısız olabilir.
Önleme söz konusu olduğunda, çalışan kimlik doğrulaması, uygulama tabanlı bildirimler yerine oturum açmak için fiziksel güvenlik anahtarları gerektirerek de geliştirilebilir. Olumlu bir örnekte, Cloudflare yakın zamanda sofistike bir kimlik avı dolandırıcılığı tarafından hedef alındı ancak donanım belirteci kimlik doğrulamasının kullanılması nedeniyle etkiyi en aza indirmeyi başardı. Uber’e yapılan saldırı durumunda, hedeflenen çalışanın bir güvenlik anahtarı olsaydı, bilgisayar korsanı, anahtara veya çalışanın makinesine fiziksel erişim olmadan VPN sistemini ihlal edemezdi.
Nihayetinde, sosyal mühendisliğin çok yönlülüğü, tehdidi tamamen ortadan kaldırmanın imkansız olduğu anlamına gelir.
Carruthers, “Saldırı vektörü doğada insan olduğunda, onu basitçe yamalayamazsınız” diyor.