النساء يدمرن الرجال تمامًا في مسابقة الهندسة الاجتماعية

على مدار السنوات الخمس الماضية ، قام كريس هادناجي ، كبير مسؤولي هاكر في شركة Social-Engineer، Inc ، بإجراء مسابقة غير عادية في شركة Def Con. تسمى الهندسة الاجتماعية Capture The Flag ، وهي تتحدى المتسابقين لجمع معلومات عن مختلف الشركات (أعلام ، إن صح التعبير). هذه هي الهندسة الاجتماعية: فن جمع المعلومات من الأهداف دون الحاجة إلى اقتحام مبنى أو اختراق شبكة.

في المرحلة الأولى ، يعمل 20 متسابقًا للحصول على معلومات عن الشركات المستهدفة من المصادر المتاحة للجمهور. المرحلة الأخيرة هي ماراثون مكالمات هاتفية مدتها 25 دقيقة حيث يضخ المتسابقون الضحايا للحصول على معلومات. يتراوح هذا من الدنيوية ("هل لديك كافيتيريا؟") إلى الحرجة ("هل تستخدم تشفير القرص؟") إلى الكارثي المحتمل: خداع الضحايا في زيارة عناوين URL المزيفة. شملت مسابقة هذا العام عشر شركات ، من بينها Apple و Boeing و General Dynamics وغيرها.

معركة بين الجنسين

وقالت هادناجي: "منذ البداية ، كنا ندعو دائمًا النساء للانضمام". ساعد اعتماد تنسيق "الرجال مقابل النساء" وتعزيز دور المرأة في المنافسة بنشاط على تحقيق تكافؤ أفضل في العامين الأخيرين. وقالت هادناجي إن إعطاء المرأة رؤية أكبر في المشروع أمر بالغ الأهمية ، وشجع الآخرين على الانضمام. وقال: "كان لدينا نساء أكثر مما يمكن أن نأخذه هذا العام".

كيف فعلت النساء ضد نظرائهن الذكور؟ وقالت هادناجي: "في هذا العام ، لم تفز النساء فقط". "طمسوا الرجال". ذهبت ثلاث من أكبر خمس فتحات للنساء ، وكان المهندس الاجتماعي سجل أعلى أكثر من 200 نقطة أكثر من المشارك التالي أعلى سجل.

من السهل استخلاص الكثير من الاستنتاجات من هذه البيانات ، لكن فيما يتعلق بنجاح المرأة في الهندسة الاجتماعية ، قالت هادناجي إنه لا توجد معلومات كافية. وقال "لا أعتقد أن هذا يثبت أن الناس يثقون بالمرأة بطبيعتها". "النساء اللائي يفزن يظهرن شيئًا ما ، لكن ليس لدينا بيانات تُظهر أنهن كن نساء يتحدثن مع الرجال."

ومع ذلك ، كان لدى النساء مجموعة واسعة من الدرجات مقارنة بالرجال ، وهو ما لوحظ في التقرير النهائي للمسابقة. وقال: "قد يتم افتراض التباين في حقيقة أنها كانت مجموعة متنوعة للغاية ، وتأتي من خلفيات مختلفة للغاية ومستويات الخبرة المختلفة." يميل الرجال من ناحية أخرى للتجول في نفس المجموعة من الدرجات مع عدد أقل من القيم المتطرفة. "على الرغم من أننا كفلنا التنوع كمجموعة ، فقد كان الرجال يميلون إلى أن يكونوا أكثر تجانسًا في الخلفية ومستوى الخبرة وربما انعكس ذلك في مجموعة أصغر من الدرجات".

ليس لدي المعلومات التي تدعمها ، لكنني أعتقد أن هذه البيانات تُظهر أهمية إدراج أفراد من خلفيات متنوعة في أي فريق. لكن هذا فقط أنا.

المعلومات موجودة بالفعل هناك

قد لا يكون التقرير النهائي للمسابقة حاسمًا بشأن دور النوع الاجتماعي ، ولكن من الواضح أن البحث الدقيق أمر بالغ الأهمية للفائزين. وجد المتسابقون كمية هائلة من المعلومات متاحة مجانًا عبر الإنترنت ، وأولئك الذين حصلوا على درجات أعلى في مراحل البحث كانوا يميلون إلى تحقيق نتائج أفضل أثناء الاتصال الفعلي.

في إحدى الحالات ، عثر المتسابق على بوابة إلكترونية تواجه الموظفين للعامة. على الرغم من أنه تم تأمينه من خلال تسجيل الدخول بكلمة مرور ، اكتشف المتسابق أن وثيقة المساعدة المتاحة للجمهور التي قدمتها الشركة المستهدفة تحتوي على اسم مستخدم وكلمة مرور عاملين كمثال. وقال هادناجي: "إنه عام 2013 وما زلنا نرى أشياء مثل هذا".

لكن الأمر لم يتطلب خرقًا كبيرًا في مجال الأمن للعثور على معظم المعلومات التي يبحث عنها المتسابقون. كان الكثير منها متاحًا عبر وسائل التواصل الاجتماعي ، التي يتم نشرها في بعض الأحيان من قبل الأفراد الذين يربطون بريدهم الإلكتروني بالشركة بخدمة عامة. مصدر المعلومات فاجأ هدناجي: "سبيس ، صدق أو لا تصدق".

أفضل وأفضل متنكر

كما أشار هادناجي إلى أنه بالإضافة إلى جمع المعلومات مفتوحة المصدر ، استخدم المتسابقون أيضًا ذرائع أكثر تعقيدًا عند استدعاء الشركات في المرحلة الأخيرة من المسابقة. شهدت السنوات السابقة العديد من المتسابقين يتظاهرون كمتقدمين للمسح أو الطلاب الذين يكتبون التقارير. لم يثني هدناجي هذا النهج هذا العام ، مذكرا المتسابقين بأنهم ربما يعلقون تلك المكالمات بأنفسهم. "لماذا يجيب أي شخص في بيئة شركة على هذه الأسئلة؟" سأل.

هذه الذرائع جذابة لأنها مجهولة إلى حد ما ولديها مخاطر منخفضة بالنسبة للمتصل. ومع ذلك ، شهد هذا العام عددًا أكبر من المتسابقين يتظاهر بأنه زميل من الموظفين أو البائعين الذين يعملون مع الشركات المستهدفة. في حين أنه يحمل مخاطر أكثر متأصلة ، قال هادناجي أن هناك ثقة أكثر متأصلة. وقال "تلقائيا ، كان المتنافسون موثوق بهم وقدموا معلومات مباشرة قبالة الخفافيش".

أظهرت ذرائع المتسابقين بعض الاختلاف المثير للاهتمام على أساس الجنس. من بين النساء العشر ، صورت تسعة أنفسهن على أنهن لا يتمتعن بالدهاء الفني وكانن يبحثن عن مساعدة من الموظفين "الزملاء". تظاهر جميع الرجال في المسابقة كخبراء تقنيين ، وفي بعض الحالات رؤساء تنفيذيون.

تعرف على التهديد

على الرغم من أنه من المثير للاهتمام التفكير في معدلات وأسباب المنافسة ، إلا أن الحقيقة التي لا جدال فيها هي أن عشر شركات تخلت عن قدر هائل من المعلومات - إما عبر الهاتف أو نشرها على الإنترنت. على الرغم من أن المعلومات التي كان المتسابقون فيها لم تكن دائمًا خطيرة بطبيعتها ، إلا أنهم يقرؤون كخطوة أولى قوية في هجوم متعدد المستويات. في أحد الأيام تسأل عن الكافتيريا ، وفي اليوم التالي تسأل عن تسجيل الدخول.

تعلق Hadnagy المشكلة على نقص الوعي بين الموظفين ، وعادة ما تنبع من ضعف التعليم من قبل كبار المسؤولين. وقال هادناجي ، إن تدريب الموظفين على التفكير النقدي حول ما ينشرونه عبر الإنترنت وما يقولونه عبر الهاتف ، يمكن أن يؤتي ثماره بهجمات ناجحة أقل.

كان أحد أكثر اقتراحاته إثارة للاهتمام هو أن الشركات لا تعاقب الأفراد الذين يتنازلون عن عمليات الاحتيال ، وتشجع على الإبلاغ المجاني عن الانتهاكات المحتملة. قال هادناجي لـ SecurityWatch إن الشركات التي تتبع هذه الممارسات هي بشكل عام أفضل في التعامل مع هذه التهديدات.

بغض النظر عما إذا كنت عضوًا في شركة أو مجرد فرد في المنزل ، فإن معرفة مخاطر الهندسة الاجتماعية أمر بالغ الأهمية. لذلك في المرة القادمة التي يتصل فيها شخص ما أو يطلب منك بعض المساعدة عبر البريد الإلكتروني ، اطرح بعض الأسئلة قبل أن تسلم جواهر التاج.

الصورة عبر فليكر المستخدم CGP رمادي