Klasszikus social engineering, vagyis átverés segítségével jutott be egy hacker a Verizon rendszereibe.
A Vice online technológiai lap újságírójának dicsekedett el tettével az a hacker, aki klasszikus social engineering vagyis átverés segítségével jutott be a vállalat rendszerébe. A hacker a belső támogató rendszer munkatársaként mutatkozott be egy naiv alkalmazottnak, aki teljes távoli hozzáférést adott saját számítógépéhez.
A vállalat védelmében mondva, az alkalmazott csak korlátozottan fért hozzá a céges rendszerekhez, és egy belső rendszerben az alkalmazottak kontakt információit láthatta. A hacker egy szkript segítségével jutott a beosztottak adataihoz: teljes név, e-mail cím, vállalati azonosító szám és telefonszám.
A támadó 250 ezer dollárt kért az adatbázisért cserébe. A Verizon elismerte, hogy a támadó felvette a kapcsolatot velük, ám a vállalat nem tervez fizetni neki. Szerintük ugyanis érzékeny adatok nem jutottak napvilágra, az identitás ellopására alkalmas taj számok (social security number), jelszavak vagy bankkártya információk nincsenek a kiszivárgott adatok között.
Egy belsős telefonkönyvért valóban nem érdemes negyed millió dollárt fizetni, főként azt szem előtt tartva, hogy semmi garancia nincs arra, hogy a bűnözők a fizetség ellenére valóban megsemmisítik az adatbázist. Hogy fizessünk vagy sem kiberbűnözőknek, ebben a cikkben foglaltuk össze.
Ami újabb gondot jelent, hogy ezek az információk azonban egy újabb átverés alapját képezhetik. Ha az újabb sikeres támadásnál egy magasabb jogosultságokkal rendelkező felhasználóra bukkannak a támadók, akkor már komolyabb kiberincidens elé néz a vállalat. Ezt megelőzni oktatással lehet.
