ผู้หญิงทำลายผู้ชายอย่างเต็มที่ในการแข่งขันวิศวกรรมสังคม

ในช่วงห้าปีที่ผ่านมา Chris Hadnagy หัวหน้า Human Hacker จาก Social-Engineer, Inc ได้จัดการแข่งขันที่ผิดปกติที่ Def Con เรียกว่า Social Engineering Capture The Flag มันท้าทายให้ผู้แข่งขันรวบรวมข้อมูลเกี่ยวกับ บริษัท ต่าง ๆ (หากคุณต้องการ) นี่คือวิศวกรรมทางสังคม: ศิลปะของการรวบรวมข้อมูลจากเป้าหมายโดยไม่ต้องเจาะเข้าไปในอาคารหรือแฮ็คเครือข่าย

ในช่วงแรกผู้แข่งขัน 20 คนจะทำงานเพื่อรับข้อมูลเกี่ยวกับ บริษัท เป้าหมายจากแหล่งข้อมูลที่เปิดเผยต่อสาธารณะ ขั้นตอนสุดท้ายคือการวิ่งมาราธอน 25 นาทีของการโทรศัพท์ที่ผู้เข้าร่วมแข่งขันจะได้รับข้อมูล ช่วงนี้จากโลกีย์ ("คุณมีโรงอาหารหรือไม่?") ถึงสิ่งสำคัญ ("คุณใช้การเข้ารหัสดิสก์หรือไม่") ถึงความหายนะที่อาจเกิดขึ้น: หลอกเหยื่อให้เข้าไปเยี่ยมชม URL ปลอม การแข่งขันในปีนี้รวมถึง บริษัท สิบแห่งรวมถึง Apple, Boeing และ Dynamics ทั่วไปในกลุ่มอื่น ๆ

การต่อสู้ของเพศ

“ จากจุดเริ่มต้นเราได้ทำการเรียกร้องให้ผู้หญิงเข้าร่วมเสมอ” Hadnagy กล่าว การนำรูปแบบ "ผู้ชายกับผู้หญิง" มาใช้และส่งเสริมบทบาทของผู้หญิงในการแข่งขันอย่างแข็งขันช่วยสร้างความเท่าเทียมที่ดีขึ้นในช่วงสองปีที่ผ่านมา Hadnagy กล่าวว่าการให้ผู้หญิงมองเห็นในโครงการมากขึ้นเป็นสิ่งสำคัญและสนับสนุนให้ผู้อื่นเข้าร่วม "เรามีผู้หญิงมากกว่าที่เราจะทำได้ในปีนี้" เขากล่าว

ผู้หญิงทำกับชายที่เป็นคู่ของพวกเขาได้อย่างไร “ ปีนี้ผู้หญิงไม่เพียงชนะ” Hadnagy กล่าว "พวกเขากำจัดผู้ชาย" สามในห้าช่องแรกเป็นของผู้หญิงและวิศวกรสังคมที่ได้คะแนนสูงสุดมีคะแนนมากกว่า 200 คะแนนมากกว่าผู้ที่ทำคะแนนสูงสุดคนต่อไป

เป็นเรื่องง่ายที่จะดึงข้อสรุปจำนวนมากจากข้อมูลนี้ แต่เท่าที่ความสำเร็จของผู้หญิงในงานวิศวกรรมสังคมเป็นเรื่องที่เกี่ยวข้อง Hadnagy กล่าวว่ามีข้อมูลไม่เพียงพอ "ฉันไม่คิดว่ามันจะพิสูจน์ได้ว่าผู้คนเชื่อใจผู้หญิงโดยกำเนิด" เขากล่าว “ ผู้หญิงที่ชนะแสดงอะไรบางอย่าง แต่เราไม่มีข้อมูลที่แสดงว่าพวกเขาเป็นผู้หญิงที่พูดคุยกับผู้ชาย”

ที่กล่าวว่าผู้หญิงมีคะแนนที่หลากหลายเมื่อเทียบกับผู้ชายซึ่งถูกบันทึกไว้ในรายงานขั้นสุดท้ายของการแข่งขัน มันกล่าวว่า: "ความแปรปรวนในอาจเป็นสมมติฐานจากความจริงที่ว่าพวกเขาเป็นกลุ่มที่มีความหลากหลายอย่างมากมาจากภูมิหลังที่แตกต่างกันมากและระดับประสบการณ์ที่แตกต่างกัน" ผู้ชายในทางกลับกันมักจะทำคะแนนในช่วงเดียวกันโดยมีค่าผิดปกติน้อยลง “ แม้ว่าเราจะมั่นใจในความหลากหลายเป็นกลุ่มผู้ชายก็มีแนวโน้มที่จะเป็นพื้นหลังและระดับประสบการณ์ที่เหมือนกันมากขึ้นและบางทีนี่อาจสะท้อนให้เห็นในคะแนนที่เล็กกว่า”

ฉันไม่มีข้อมูลสำรอง แต่ฉันคิดว่าข้อมูลนี้แสดงให้เห็นถึงความสำคัญของการรวมบุคคลที่มีภูมิหลังที่หลากหลายเข้ากับทีมใด ๆ แต่นั่นเป็นเพียงฉัน

ข้อมูลมีอยู่แล้ว

รายงานขั้นสุดท้ายของการแข่งขันอาจไม่สามารถสรุปได้เกี่ยวกับบทบาทของเพศสภาพ แต่ก็ชัดเจนว่าการวิจัยอย่างระมัดระวังเป็นสิ่งสำคัญสำหรับผู้ชนะ ผู้เข้าแข่งขันพบข้อมูลที่น่าตกใจจำนวนมากที่ให้บริการทางออนไลน์และผู้ที่มีคะแนนสูงกว่าในขั้นตอนการวิจัยมักจะทำได้ดีกว่าในระหว่างการโทรจริง

ในกรณีหนึ่งผู้เข้าประกวดพบเว็บพอร์ทัลสาธารณะสำหรับพนักงาน แม้ว่าจะได้รับการรักษาความปลอดภัยด้วยการเข้าสู่ระบบด้วยรหัสผ่านผู้เข้าแข่งขันค้นพบว่าเอกสารช่วยเหลือที่เปิดเผยโดย บริษัท เป้าหมายมีตัวอย่างชื่อผู้ใช้และรหัสผ่านที่ใช้งานได้ “ นี่คือปี 2013 และเรายังคงเห็นสิ่งต่าง ๆ เช่นนี้” Hadnagy กล่าว

แต่มันก็ไม่ได้ละเมิดช่องโหว่ที่สำคัญในการรักษาความปลอดภัยเพื่อค้นหาข้อมูลส่วนใหญ่ของผู้เข้าแข่งขันที่กำลังมองหา ส่วนใหญ่มีให้ผ่านทางโซเชียลมีเดียบางครั้งโพสต์โดยบุคคลที่เชื่อมโยงอีเมล บริษัท กับบริการสาธารณะ แหล่งข้อมูลหนึ่งทำให้ Hadnagy ประหลาดใจ: "Myspace เชื่อหรือไม่"

ปลอมตัวดีขึ้นและดีขึ้น

Hadnagy ยังกล่าวอีกว่านอกเหนือจากการรวบรวมข้อมูลโอเพ่นซอร์สแล้วผู้เข้าแข่งขันยังใช้ข้ออ้างที่ซับซ้อนมากขึ้นเมื่อเรียก บริษัท ในช่วงสุดท้ายของการแข่งขัน ปีก่อนหน้านี้มีผู้เข้าแข่งขันจำนวนมากที่โพสท่าเป็นผู้ทำแบบสำรวจหรือนักเรียนเขียนรายงาน Hadnagy ท้อใจอย่างแข็งขันวิธีการที่ในปีนี้เตือนผู้เข้าแข่งขันว่าพวกเขาอาจจะวางสายที่เรียกตัวเอง "ทำไมทุกคนในสภาพแวดล้อมขององค์กรตอบคำถามเหล่านี้" เขาถาม.

pretexts เหล่านี้น่าสนใจเพราะไม่ระบุชื่อมากหรือน้อยและมีความเสี่ยงต่ำสำหรับผู้โทร อย่างไรก็ตามในปีนี้มีผู้เข้าแข่งขันจำนวนมากที่โพสต์ในฐานะพนักงานหรือผู้ขายที่ทำงานร่วมกับ บริษัท เป้าหมาย ในขณะที่มีความเสี่ยงโดยธรรมชาติมากขึ้น Hadnagy กล่าวว่ามีความไว้วางใจโดยธรรมชาติมากขึ้น “ โดยอัตโนมัติผู้เข้าแข่งขันจะได้รับความเชื่อถือและได้รับข้อมูลทันทีจากค้างคาว” เขากล่าว

ข้ออ้างของผู้เข้าแข่งขันแสดงให้เห็นถึงความแตกต่างที่น่าสนใจตามแนวเพศ ในบรรดาผู้หญิงสิบคนเก้าคนแสดงให้เห็นว่าตนเองไม่เข้าใจเทคนิคและกำลังมองหาความช่วยเหลือจากพนักงาน "เพื่อน" ผู้ชายทุกคนในการแข่งขันถูกโพสต์ในฐานะผู้เชี่ยวชาญด้านเทคโนโลยีและในบางกรณีซีอีโอ

รู้ถึงภัยคุกคาม

ในขณะที่มันน่าสนใจที่จะไตร่ตรองความชำนาญและความสามารถในการแข่งขัน แต่ข้อเท็จจริงที่เถียงไม่ได้คือ บริษัท สิบแห่งยอมแพ้ข้อมูลจำนวนมากไม่ว่าจะทางโทรศัพท์หรือโพสต์แบบสาธารณะทางออนไลน์ ในขณะที่ข้อมูลที่ผู้เข้าแข่งขันหลังจากนั้นไม่ได้เป็นอันตรายเสมอไปพวกเขาอ่านเหมือนก้าวแรกที่แข็งแกร่งในการโจมตีแบบหลายชั้น วันหนึ่งคุณถามเกี่ยวกับโรงอาหารและวันถัดไปที่คุณขอเข้าสู่ระบบ

Hadnagy หมุดปัญหาในการขาดความตระหนักในหมู่พนักงานมักจะเกิดจากการศึกษาที่ไม่ดีโดยอัพที่สูงขึ้น การฝึกอบรมพนักงานให้คิดอย่างมีวิจารณญาณเกี่ยวกับสิ่งที่พวกเขาโพสต์ออนไลน์และสิ่งที่พวกเขาพูดทางโทรศัพท์ Hadnagy กล่าวสามารถชดเชยกับการโจมตีที่ประสบความสำเร็จน้อยลง

หนึ่งในข้อเสนอแนะที่น่าสนใจที่สุดของเขาคือ บริษัท ไม่ลงโทษบุคคลที่ตกหลุมรักการหลอกลวงและสนับสนุนการรายงานการละเมิดที่เป็นไปได้โดยไม่คิดมูลค่า Hadnagy บอก SecurityWatch ว่า บริษัท ที่ปฏิบัติตามแนวทางปฏิบัติเหล่านี้โดยทั่วไปจะดีกว่าในการจัดการภัยคุกคามเหล่านี้

ไม่ว่าคุณจะเป็นส่วนหนึ่งของ บริษัท หรือแค่อยู่ที่บ้านคนเดียวการรู้เกี่ยวกับอันตรายของวิศวกรรมสังคมเป็นสิ่งสำคัญ ดังนั้นในครั้งต่อไปที่มีคนโทรหาหรือส่งอีเมลถึงคุณเพื่อขอความช่วยเหลือถามคำถามสองสามข้อก่อนที่คุณจะส่งมอบมงกุฎเพชร

ภาพผ่าน Flickr ผู้ใช้ CGP สีเทา