Topline
Rockstar Games—zhvilluesit e serisë popullore të videolojërave Grand Theft Auto—ishin hacked vetëm disa ditë pasi serverët e gjigantit Uber u shënjestuan në një shkelje të ngjashme, me sa duket nga i njëjti haker që përdori një proces të quajtur inxhinieri sociale, një mënyrë shumë efektive sulmi që mbështetet në mashtrimin e punonjësve të një kompanie të synuar dhe mund të jetë e vështirë për t'u mbrojtur. kundër.
Një haker i dyshuar adoleshent arriti të shkelte bazën e të dhënave të brendshme të Rockstar Games dhe zbuloi [+]
AFP përmes Getty Images
Fakte kyçe
Të ngjashme me Hakimi i Uber-it, hakeri që përdoret me pseudonimin "TeaPot" pretendoi se ai fitoi akses në mesazhet e brendshme të Rockstar Games në Slack dhe kodin e hershëm për vazhdimin e tyre të paparalajmëruar Grand Theft Auto nga duke fituar akses në kredencialet e hyrjes së një punonjësi.
Ndërsa detajet e sakta të shkeljes së Rockstar janë të paqarta, në rastin e Uber hakeri pretenduar ai u maskua si një person i IT-së i kompanisë dhe bindi një punonjës që të ndante kredencialet e tij të hyrjes.
Ndryshe nga mënyrat e tjera të sulmeve që mbështeten në të metat në arkitekturën e sigurisë së një kompanie, inxhinieria sociale synon njerëzit dhe mbështetet në manipulimin dhe mashtrimin.
Ekspert pretendoj se njerëzit mbeten ende "lidhja më e dobët" në sigurinë kibernetike pasi ata mund të mashtrohen lehtësisht për të klikuar në lidhje me qëllim të keq ose për të ndarë kredencialet e tyre të hyrjes.
Ndryshe nga metodat e tjera, inxhinieria sociale është gjithashtu efektive në mposhtjen e disa përmirësimeve masat e sigurisë si fjalëkalimet një herë dhe metodat e tjera të vërtetimit me shumë faktorë.
Citimi thelbësor
Rachel Tobac, CEO e firmës së sigurisë kibernetike SocialProof Security dhe një eksperte në inxhinierinë sociale tweeted: “E vërteta e vështirë është se shumica e [organizatave]
në botë mund të hakohej pikërisht në mënyrën se si u hakerua Uber...Shumë [organizata] ende nuk përdorin [Vërtetimin me shumë faktorë] brenda… dhe nuk përdorin menaxherët e fjalëkalimeve (që çon në ruajtjen e kredive në vende lehtësisht të kërkueshme një herë hyn ndërhyrës).
Sfondi kryesor
Inxhinieria sociale është përdorur për të kryer disa hake të profilit të lartë në vitet e fundit, duke përfshirë rrëmbimi e më shumë se 100 llogarive të shquara në Twitter – mes tyre Elon Musk, ish-presidenti Barack Obama, Bill Gates dhe Kanye West – të cilat më pas u përdorën për të promovuar një mashtrim të bitcoin. Hakimet u kryen nga adoleshentë të cilët arritën të fitonin akses në rrjetet e brendshme të Twitter duke synuar "një numër të vogël punonjësish". sipas kompania e mediave sociale. Muajin e kaluar, si Cloudflare ashtu edhe Twilio u vunë në shënjestër në një lloj sulmi inxhinierik social të quajtur "phishing" ku punonjësit u mashtruan të hapnin një mesazh që ishte maskuar për t'u shfaqur si komunikim legjitim i kompanisë, por përfshinte një lidhje me qëllim të keq. Twilio, e cila ofron shërbime të mesazheve dhe vërtetimit me dy faktorë, zbulohen se hakerët kishin arritur të shkelnin bazat e të dhënave të brendshme të kompanisë dhe kishin fituar akses në një numër të pazbuluar llogarish të klientëve. Cloudflare, një rrjet i ofrimit të përmbajtjes në internet, vuri në dukje hakerat nuk ishin në gjendje të hynin në rrjetin e saj të brendshëm.
Kundër
Ndryshe nga Twilio, Uber dhe Rockstar, të cilave iu prishën sistemet e brendshme, Cloudflare arriti ta shmangë këtë fat për shkak të përdorimit të çelësat e sigurisë të bazuara në harduer. Ndryshe nga metodat e tjera të vërtetimit me shumë faktorë si mesazhet me tekst dhe fjalëkalimet një herë, çelësat e sigurisë së harduerit janë shumë më të sigurt kundër sulmeve të inxhinierisë sociale. Një punonjës i synuar mund të mashtrohet për të ndarë detajet e një mesazhi me tekst ose një fjalëkalimi një herë, por hakeri duhet të zotërojë fizikisht një çelës sigurie harduerike për të fituar akses në një llogari. Çelësat e sigurisë së harduerit vijnë në forma të ndryshme, duke përfshirë USB ose dongles Bluetooth dhe ata duhet të lidhen ose të lidhen me një pajisje që po përpiqet të fitojë qasje në një llogari të mbrojtur. Hakerët që fitojnë akses në kredencialet e punonjësve nuk do të jenë në gjendje të hyjnë në llogaritë e tyre që përdorin këtë formë sigurie pa fituar fizikisht akses në çelësat e tyre. Në 2018, Google njoftoi se asnjë nga 85,000 e saj nuk ishte shënjestruar me sukses përmes një sulmi phishing pasi ai mandatoi përdorimin e çelësave të sigurisë fizike një vit më parë.
Numër i madh
323,972. Ky është numri i përgjithshëm i ankesave për sulme inxhinierike sociale të marra nga FBI në 2021-pothuajse tre herë më i lartë se ai që ishte në vitin 2019-sipas raportit vjetor të agjencisë Raporti i Krimit në Internet. Gjatë kësaj periudhe, hakerat arriti të vidhte një total prej 2.4 miliardë dollarësh duke kompromentuar llogaritë e emailit të biznesit përmes teknikave të inxhinierisë sociale.
Çfarë duhet të shikojmë
Jason Schreier i Bloomberg spekuloi se hakimi i fundit mund ta shtyjë Rockstar vendos kufizime në punë në distancë. Ekspertët e sigurisë kibernetike kanë argumentuar më parë se puna në distancë mund të kërkojë më shumë masa paraprake pasi i lë punonjësit më të prekshëm ndaj sulmeve të inxhinierisë sociale.
Leximi më tej
Hakeri Uber pretendon se ka hakuar lojërat Rockstar, publikon videot e GTA 6 (Forbes)
Burimi: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- lojëra/