Sådan stjæler du corporate secrets i 20 minutter: Spørg

Nogle virksomheder i Fortune 500 skal opgradere deres webbrowsere. Og selvom de er ved det, vil en lille intern uddannelse på samfundsteknologi heller ikke være en dårlig ide.

Socialteknik hackere - folk, der narrer medarbejdere til at gøre og sige ting, de ikke bør - - tog deres bedste skud på Fortune 500 under en konkurrence på Defcon Friday og viste, hvor nemt det er at få folk til at tale, hvis man kun fortæller den rigtige løgn.

Sikkerhedskonferencerne Defcon og Black Hat finder sted i Las Vegas i denne uge.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Deltagere har IT-medarbejdere hos større virksomheder, herunder Microsoft, Cisco Systems, Apple og Shell, for at give op med alle mulige oplysninger kunne bruges i et computerangreb, herunder hvilken browser og versionsnummer de brugte (de to første virksomheder kaldet fredag ​​brugte IE6), hvilken software de bruger til at åbne pdf-dokumenter, deres operativsystem og service pack nummer, deres mail-klient, antivirusprogrammet de bruger, og endda navnet på deres lokale trådløse netværk.

De to første deltagere gjorde det let.

Wayne, en sikkerhedskonsulent fra Australien, der ikke ville give sit efternavn, var først fredags formiddag. Hans mission: Få data fra et større amerikanske firma. (IDG News Service har valgt ikke at rapportere, hvilke virksomheder der faldt for hvilke angreb på grund af mulige sikkerhedsrisici.)

Siddende bag en lydisoleret kabine før et publikum, sluttede han til et it-callcenter og fik en medarbejder ved navn Ledoi, der talte. Wayne fik ham til at spilde detaljer, big time.

Wayne ignorerede en anmodning om et medarbejdernummer og lancerede straks en historie om, hvordan hans chef var på ryggen og hvordan han virkelig havde brug for at få denne revision færdig. Han arbejdede sin Aussie-charme på arbejderen, som kun havde været hos sin nye arbejdsgiver i en måned. Inden for få minutter syntes det at han var villig til at give Wayne stort set alle de oplysninger han ønskede - på et tidspunkt besøgte han endda en falsk KMPG-webside, som Wayne havde oprettet.

Han afsluttede opkaldet lovende at købe medarbejderen en øl.

"Hvilken øl kan du lide?"

"I øjeblikket er jeg på et Blue Moon-spark."

I et interview efter opkaldet kunne Wayne ikke tro på hans held. "Jeg tænkte, at de er et smukt stort firma, og jeg ved, at de gjorde en masse internrevisionskontrol."

Senere sagde konkurrencestrædere, at hans indsats var den bedste af dagen. Men alle, der var målrettede, gav oplysning. Chris Hadnagy, en af ​​grundlæggerne af konkurrencen, mener, at ofrene ville have givet væk følsomme oplysninger såsom adgangskoder, hvis de var blevet spurgt. "De ville have givet billeder af deres familie, hvis de havde bedt om det," sagde han.

Konkurrencereglerne er forbudt at bede om følsomme oplysninger eller målrette visse typer organisationer som f.eks. Offentlige eller finansielle institutioner. Alligevel rystede konkurrencen nerver, selv før det var begyndt. I sidste måned modtog Hadnagy et opkald fra FBI, der spurgte om konkurrencen.

Wayne, der har gjort denne type socialteknik i 15 år i sit daglige arbejde som sikkerhedskonsulent, sagde, at han gjorde omkring 20 timers rekognoscering forud for konkurrencen. Han vidste, hvordan man skulle nå IT-callcenteret og hvilke navne der skulle falde, da han kom igennem.

Han indrømmede, at han havde lucked ud ved at få en sådan grøn medarbejder. Men nye medarbejdere gør de bedste kilder. "Hvis du vælger en person, der er en højtstående person i virksomheden, får du intet," sagde han. "De har meget at tabe."

Tæller nummer to, Shane MacDougall, besluttede at springe over callcenteret og gå direkte til sikkerhedspersonalet hos et andet kendt firma. Han tog en mere knap-ned-tilgang og hævder at gennemføre en undersøgelse for CSO Magazine.

Den første person, han nåede, vidste, hvad han gjorde, og stramt, men høfligt lukket MacDougall nede efter at have nægtet at svare på nogle få spørgsmål og sagde: "Dette er specifikke spørgsmål, som jeg ikke har det godt at svare på."

Deltagerne blev kun givet 25 minutter til arbejde. Så med klokken tikkede MacDougall på sit næste mærke - en kontraktansat i sikkerhedsafdelingen, der havde været hos virksomheden i to måneder. Efter nogle få softballspørgsmål om jobtilfredshed og kvaliteten af ​​cafeterimaden gik han til de hårde data.

Mærket leveret: Operativsystem: Windows XP, Service Pack 3; antivirus: McAfee VirusScan 8.7; e-mail: Outlook 2003, service pack 3; browser: IE 6.

MacDougall fortalte ham derefter at besøge et websted for at indsamle sin undersøgelseskupon på US $ 25, og arbejderen overholdt.

Konkurrencen kører på Defcon gennem søndag. Vinderen får en iPad.

Robert McMillan dækker computersikkerhed og generel teknologi, der bryder nyheder til IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-mail-adresse er [email protected]