Table des matières:
Vidéo: Apprendre à l'horizon 2035 : Conférence d'Eric Bruillard. 2024
Dans cette étude de cas, Ira Winkler, un ingénieur social professionnel, a gracieusement partagé une étude intéressante sur la façon de pirater l'ingénierie sociale. Ceci est un excellent exemple de comment ne pas faire attention peut vous faire pirater!
La situation
M. Le client de Winkler voulait un indicateur général du niveau de sensibilisation à la sécurité de l'organisation. Ira et son complice sont allés chercher le pot d'or et ont testé la susceptibilité de l'organisation à l'ingénierie sociale.
Pour commencer, ils ont découvert l'entrée principale du bâtiment et ont découvert que la réception et le bureau de sécurité se trouvaient au milieu d'un grand hall d'entrée et étaient occupés par une réceptionniste. Le lendemain, les deux hommes sont entrés dans le bâtiment pendant la ruée du matin tout en faisant semblant de parler au téléphone. Ils sont restés à au moins 15 pieds du préposé et l'ont ignorée pendant qu'ils passaient.
Après avoir été à l'intérieur de l'établissement, ils ont trouvé une salle de conférence pour s'installer. Ils se sont assis pour planifier le reste de la journée et ont décidé qu'un badge de l'établissement serait un bon début. M. Winkler a appelé le numéro d'information principal et a demandé le bureau qui fabrique les badges.
Il a été transféré au bureau de réception / sécurité. Ira a alors prétendu être le CIO et a dit à la personne à l'autre bout de la ligne qu'il voulait des badges pour quelques sous-traitants. La personne a répondu: «Envoyez les sous-traitants dans le hall principal. "
Quand M. Winkler et son complice sont arrivés, un garde en uniforme a demandé à quoi ils travaillaient, et ils ont mentionné les ordinateurs. Le gardien leur a alors demandé s'ils avaient besoin d'accéder à la salle informatique! Bien sûr, ils ont dit: «Cela aiderait. "
En quelques minutes, ils avaient tous les deux des badges avec accès à tous les bureaux et au centre des opérations informatiques. Ils sont allés au sous-sol et ont utilisé leurs badges pour ouvrir la porte principale de la salle informatique. Ils sont entrés et ont pu accéder à un serveur Windows, charger l'outil d'administration des utilisateurs, ajouter un nouvel utilisateur au domaine et faire de l'utilisateur un membre du groupe des administrateurs. Puis ils sont rapidement partis.
Les deux hommes avaient accès à l'ensemble du réseau d'entreprise avec des droits administratifs dans un délai de deux heures. Ils ont également utilisé les badges pour effectuer des visites guidées après les heures du bâtiment. Ce faisant, ils ont trouvé la clé du bureau du PDG et y ont planté un faux insecte.
Le résultat
Personne en dehors de l'équipe ne savait ce que les deux hommes avaient fait jusqu'à ce qu'on leur dise après le fait. Après que les employés ont été informés, le surveillant de garde a appelé M.Winkler et voulait savoir qui a émis les badges. M. Winkler l'a informé que le fait que le bureau de sécurité ne savait pas qui avait délivré les badges constituait un problème en soi et qu'il ne divulguait pas ces informations.
Comment cela aurait pu être évité
Selon M. Winkler, le bureau de sécurité devrait être situé plus près de l'entrée, et l'entreprise devrait avoir un processus officiel d'émission de badges. L'accès à des zones spéciales comme la salle informatique devrait également nécessiter l'approbation d'une entité connue.
Une fois l'accès accordé, une confirmation doit être envoyée à l'approbateur. En outre, l'écran du serveur doit être verrouillé et le compte Windows ne doit pas être connecté sans surveillance. Tout ajout d'un compte administrateur doit être audité et les parties concernées doivent être alertées.
