איך האקר של נוער הצליח לכאורה להפר את משחקי Uber וגם Rockstar

קו תחתון

Rockstar Games - המפתחים של סדרת משחקי הווידאו הפופולרית Grand Theft Auto - היה פרוצים ימים ספורים לאחר שהשרתים של ענקית הנסיעות אובר היו ממוקדים בפרצה דומה, לכאורה על ידי אותו האקר שהשתמש בתהליך שנקרא הנדסה חברתית, אופן התקפה יעיל ביותר שמסתמך על הונאת עובדים של חברה ממוקדת וקשה לשמור עליו. נגד.

עובדות מפתח

ציטוט חשוב

רייצ'ל טובק, מנכ"לית חברת אבטחת הסייבר SocialProof Security ומומחית להנדסה חברתית צייץ: "האמת הקשה היא שרוב [הארגונים]

בעולם אפשר לפרוץ בצורה המדויקת ל-Uber זה עתה נפרצה... [ארגונים] רבים עדיין לא משתמשים ב[אימות מרובה גורמים] באופן פנימי... ואינם משתמשים במנהלי סיסמאות (מה שמוביל לשמירת קרדיטים במקומות שניתן לחפש בקלות פעם אחת פולש נכנס).

רקע מפתח

הנדסה חברתית שימשה לביצוע מספר פריצות בעלות פרופיל גבוה בשנים האחרונות, כולל חטיפה של יותר מ-100 חשבונות טוויטר בולטים - ביניהם אילון מאסק, הנשיא לשעבר ברק אובמה, ביל גייטס וקניה ווסט - ששימשו אז לקידום הונאת ביטקוין. הפריצות בוצעו על ידי בני נוער שהצליחו לקבל גישה לרשתות הפנימיות של טוויטר על ידי מיקוד ל"מספר קטן של עובדים" על פי חברת המדיה החברתית. בחודש שעבר, גם Cloudflare וגם Twilio היו ממוקדות בסוג של מתקפה של הנדסה חברתית שנקראת "פישינג" שבה הונה את העובדים לפתוח הודעה שהתחפשה להופיע כתקשורת לגיטימית של החברה אך כללה קישור זדוני. Twilio, המספקת שירותי העברת הודעות ואימות דו-גורמי, ייחשף כי ההאקרים הצליחו לפרוץ את מאגרי המידע הפנימיים של החברה והשיגו גישה למספר לא ידוע של חשבונות לקוחות. Cloudflare, רשת אספקת תוכן מקוונת, ציין ההאקרים לא הצליחו לגשת לרשת הפנימית שלו.

קונטרה

בניגוד לטוויליו, אובר ורוקסטאר, שהמערכות הפנימיות שלהן נפרצו, Cloudflare הצליחה להימנע מגורל זה עקב השימוש שלה מפתחות אבטחה מבוססי חומרה. בניגוד לשיטות אימות רב-גורמי אחרות כמו הודעות טקסט וסיסמאות חד פעמיות, מפתחות אבטחת חומרה מאובטחים הרבה יותר מפני התקפות הנדסה חברתית. ניתן להערים על עובד ממוקד לשתף את הפרטים של הודעת טקסט או סיסמה חד פעמית, אך ההאקר צריך להשיג חזקה פיזית של מפתח אבטחת חומרה כדי לקבל גישה לחשבון. מפתחות אבטחה של חומרה מגיעים בצורות שונות כולל מקלות USB או דונגלים בלוטות' ויש לחבר אותם או לחבר אותם למכשיר שמנסה לקבל גישה לחשבון מוגן. האקרים שיקבלו גישה לאישורי עובדים לא יוכלו לגשת לחשבונות שלהם המשתמשים בצורת אבטחה זו מבלי לקבל פיזית גישה למפתחות שלהם. בשנת 2018, גוגל הודיע שאף אחד מ-85,000 שלה לא היה ממוקד בהצלחה באמצעות מתקפת פישינג לאחר שהיא חייבה שימוש במפתחות אבטחה פיזיים שנה קודם לכן.

מספר גדול

323,972. זהו המספר הכולל של התלונות על התקפות הנדסה חברתית שהתקבל על ידי ה-FBI בשנת 2021 - גבוה כמעט פי שלושה ממה שהיה ב-2019 - על פי הדיווח השנתי של הסוכנות דוח פשע באינטרנט. במהלך תקופה זו, האקרים הצליח לגנוב סך של 2.4 מיליארד דולר על ידי פגיעה בחשבונות אימייל עסקיים באמצעות טכניקות הנדסה חברתית.

מה לצפות

ג'ייסון שרייר מבלומברג שיער שהפריצה האחרונה עשויה לגרום לרוקסטאר לעשות זאת להציב הגבלות על עבודה מרחוק. למומחי אבטחת סייבר יש טען בעבר שעבודה מרחוק עשויה לדרוש יותר אמצעי זהירות מכיוון שהיא משאירה את העובדים פגיעים יותר להתקפות הנדסה חברתית.

לקריאה נוספת

אובר אומרת שהיא מגיבה ל"תקרית אבטחת סייבר" לאחר פריצה לכאורה של מסדי נתונים פנימיים (פורבס)

אובר האקר טוענת שפרצה למשחקי רוקסטאר, מפרסמת סרטוני GTA 6 (פורבס)

ה-FBI חוקר פריצות ל-Uber ו-GTA 6, חשוד במנהיג כנופיית סחיטה של ​​בני נוער בבריטניה (פורבס)