Översta raden
Rockstar Games – utvecklarna av den populära Grand Theft Auto-serien av videospel – var hackad bara några dagar efter att jätten Ubers servrar utsattes för ett liknande intrång, påstås ha samma hacker som använde en process som kallas social ingenjörskonst, ett mycket effektivt sätt att attackera som är beroende av att lura anställda i ett riktat företag och som kan vara svårt att skydda mot.
En påstådd tonårshacker lyckades bryta mot den interna databasen för Rockstar Games och läckte ... [+]
AFP via Getty Images
Nyckelfakta
Liknande den Uber hack, hackaren som går under aliaset "TeaPot" påstod att han fick tillgång till Rockstar Games interna meddelanden på Slack och tidig kod för deras oanmälda Grand Theft Auto-uppföljare av få tillgång till en anställds inloggningsuppgifter.
De exakta detaljerna om Rockstar-intrånget är oklara, men i Ubers fall hackaren hävdade han maskerade sig som ett företags IT-person och övertygade en anställd att dela med sig av sina inloggningsuppgifter.
Till skillnad från andra angreppssätt som förlitar sig på brister i ett företags säkerhetsarkitektur, riktar sig social ingenjörskonst till människor och förlitar sig på manipulation och bedrägeri.
Experter strida att människor fortfarande är den "svagaste länken" inom cybersäkerhet eftersom de lätt kan luras att klicka på skadliga länkar eller dela sina inloggningsuppgifter.
Till skillnad från andra metoder är social ingenjörskonst också effektivt för att besegra vissa förbättrade säkerhetsåtgärder som engångslösenord och andra multifaktorautentiseringsmetoder.
Avgörande citat
Rachel Tobac, VD för cybersäkerhetsföretaget SocialProof Security och expert på social ingenjörskonst Tweeted: "Den svåra sanningen är att de flesta [organisationer]
i världen skulle kunna hackas på exakt det sätt som Uber precis hackades...Många [organisationer] använder fortfarande inte [Multi Factor Authentication] internt...& använder inte lösenordshanterare (vilket leder till att man sparar creds på lättsökbara platser en gång en gång inkräktare tar sig in)."
Nyckelbakgrund
Social ingenjörskonst har använts för att utföra flera högprofilerade hacks de senaste åren, inklusive kapning av mer än 100 framstående Twitter-konton – bland dem Elon Musk, tidigare president Barack Obama, Bill Gates och Kanye West – som sedan användes för att främja en bitcoin-bedrägeri. Hacken utfördes av tonåringar som lyckades få tillgång till Twitters interna nätverk genom att rikta in sig på "ett litet antal anställda" enligt det sociala medieföretaget. Förra månaden var både Cloudflare och Twilio också måltavla i en typ av social ingenjörsattack som kallas "phishing" där anställda lurades att öppna ett meddelande som var förklätt för att framstå som legitim företagskommunikation men som innehöll en skadlig länk. Twilio, som tillhandahåller meddelandetjänster och tvåfaktorsautentiseringstjänster, beskrives att hackarna hade lyckats bryta mot företagets interna databaser och fått tillgång till ett hemligt antal kundkonton. Cloudflare, ett nätverk för leverans av innehåll online, noterade hackarna kunde inte komma åt dess interna nätverk.
Contra
Till skillnad från Twilio, Uber och Rockstar, som fick sina interna system brutna, lyckades Cloudflare undvika detta öde på grund av dess användning av hårdvarubaserade säkerhetsnycklar. Till skillnad från andra multifaktorautentiseringsmetoder som textmeddelanden och engångslösenord, är hårdvarusäkerhetsnycklar mycket säkrare mot sociala ingenjörsattacker. En riktad anställd kan luras att dela med sig av detaljerna i ett textmeddelande eller ett engångslösenord, men hackaren måste få fysisk besittning av en hårdvarusäkerhetsnyckel för att få tillgång till ett konto. Säkerhetsnycklar för hårdvara finns i olika former inklusive USB-minnen eller Bluetooth-donglar och de måste anslutas till eller anslutas till en enhet som försöker få åtkomst till ett skyddat konto. Hackare som får tillgång till anställdas autentiseringsuppgifter kommer inte att kunna komma åt sina konton som använder denna form av säkerhet utan att fysiskt få tillgång till deras nycklar. 2018, Google meddelade att ingen av dess 85,000 XNUMX framgångsrikt hade blivit måltavla genom en nätfiskeattack efter att den beordrade användningen av fysiska säkerhetsnycklar ett år tidigare.
Stort antal
323,972. Det är det totala antalet klagomål om sociala ingenjörsattacker som mottogs av FBI 2021 - nästan tre gånger fler än vad det var 2019 - enligt byråns årliga Internetbrottsrapport. Under denna period, hackare lyckats stjäla totalt 2.4 miljarder dollar genom att äventyra företagens e-postkonton genom social ingenjörsteknik.
Vad att titta på
Bloombergs Jason Schreier spekulerade att det senaste hacket kan få Rockstar att göra det sätta restriktioner på distansarbete. Cybersäkerhetsexperter har tidigare argumenterat att distansarbete kan kräva fler försiktighetsåtgärder eftersom det gör anställda mer sårbara för sociala ingenjörsattacker.
Ytterligare läsning
Uber säger att de reagerar på "cybersäkerhetsincident" efter påstådd hackning av interna databaser (Forbes)
Uber Hacker påstår sig ha hackat Rockstar Games, släpper GTA 6-videor (Forbes)
Källa: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- spel/