Egy alkalmazott engedte be a hackert a Verizon rendszerébe

Klasszikus social engineering, vagyis átverés segítségével jutott be egy hacker a Verizon rendszereibe. Ezzel a Vice online technológiai lap újságírójának dicsekedett el a tettes. A hacker a belső támogató rendszer munkatársaként mutatkozott be egy naiv alkalmazottnak, aki teljes távoli hozzáférést adott neki a saját számítógépéhez.

A Vereizon vállalat (—> egy amerikai vezeték nélküli hálózat üzemeltetője, ami egykoron a Verizon Communications külön részlegeként működött Verizon Wireless néven) védelmében mondva, az alkalmazott csak korlátozottan fért hozzá a céges rendszerekhez, és egy belső rendszerben csak az alkalmazottak egymás közti információit láthatta. A hacker egy szkript segítségével jutott a beosztottak adataihoz: teljes név, e-mail cím, vállalati azonosító szám és telefonszám.

A támadó 250 ezer dollárt kért az adatbázisért cserébe. A Verizon elismerte, hogy a támadó felvette a kapcsolatot velük, ám a vállalat nem kíván neki fizetni. A cég szerint ugyanis érzékeny adatok nem jutottak napvilágra, az identitás ellopására alkalmas taj-számok (social security number), jelszavak vagy bankkártya-információk nincsenek a kiszivárgott adatok között.

Egy belsős telefonkönyvért valóban nem érdemes negyedmillió dollárt kifizetni, főként azt szem előtt tartva, hogy semmi garancia sincs arra, hogy a bűnözők a fizetség ellenére valóban megsemmisítik az adatbázist. (Arról, hogy fizessünk-e vagy sem kiberbűnözőknek, ebben a cikkben olvashatnak részleteket.)

Ami gond, hogy ezek az információk egy újabb átverés alapját képezhetik. Ha az újabb sikeres támadásnál egy magasabb jogosultságokkal rendelkező használóra bukkannak a támadók, akkor már súlyos kiberincidens elé néz a vállalat. Ezt megelőzni, elkerülni csak oktatással lehet.