Topline
Rockstar Games, de ontwikkelaars van de populaire Grand Theft Auto-serie videogames, was gehackt slechts enkele dagen nadat de servers van de ride-hailing-gigant Uber het doelwit waren van een soortgelijke inbreuk, naar verluidt door dezelfde hacker die een proces gebruikte dat social engineering wordt genoemd, een zeer effectieve aanvalsmethode die afhankelijk is van het misleiden van werknemers van een gericht bedrijf en moeilijk te bewaken kan zijn tegen.
Een vermeende tienerhacker slaagde erin de interne database van Rockstar Games te doorbreken en lekte ... [+]
AFP via Getty Images
Belangrijkste feiten
Vergelijkbaar met de Uber-hack, de hacker die de alias "TeaPot" gebruikt, beweerde dat hij toegang had gekregen tot de interne berichten van Rockstar Games op Slack en vroege code voor hun onaangekondigde Grand Theft Auto-vervolg door toegang krijgen naar de inloggegevens van een medewerker.
Hoewel de exacte details van de Rockstar-inbreuk onduidelijk zijn, is in het geval van Uber de hacker beweerde hij vermomde zich als een IT'er van het bedrijf en overtuigde een werknemer om hun inloggegevens te delen.
In tegenstelling tot andere vormen van aanvallen die berusten op gebreken in de beveiligingsarchitectuur van een bedrijf, richt social engineering zich op mensen en berust het op manipulatie en bedrog.
Experts strijden dat mensen nog steeds de "zwakste schakel" in cyberbeveiliging blijven, omdat ze gemakkelijk kunnen worden misleid om op kwaadaardige links te klikken of hun inloggegevens te delen.
In tegenstelling tot andere methoden is social engineering ook effectief in het verslaan van bepaalde verbeterde veiligheids maatregelen zoals eenmalige wachtwoorden en andere multifactor-authenticatiemethoden.
Cruciaal citaat
Rachel Tobac, de CEO van cyberbeveiligingsbedrijf SocialProof Security en een expert op het gebied van social engineering tweeted: “De harde waarheid is dat de meeste [organisaties]
in de wereld zou kunnen worden gehackt op de exacte manier waarop Uber zojuist is gehackt ... Veel [organisaties] gebruiken [Multi Factor Authentication] nog steeds niet intern ... & gebruiken geen wachtwoordmanagers (wat leidt tot het opslaan van credits op gemakkelijk doorzoekbare plaatsen eens indringer komt binnen).”
Belangrijke achtergrond
Social engineering is de afgelopen jaren gebruikt om verschillende spraakmakende hacks uit te voeren, waaronder de kaping van meer dan 100 prominente Twitter-accounts - waaronder Elon Musk, voormalig president Barack Obama, Bill Gates en Kanye West - die vervolgens werden gebruikt om een bitcoin-zwendel te promoten. De hacks werden uitgevoerd door tieners die toegang kregen tot de interne netwerken van Twitter door zich te richten op "een klein aantal werknemers" volgens het socialemediabedrijf. Vorige maand waren zowel Cloudflare als Twilio ook het doelwit van een soort social engineering-aanval genaamd 'phishing', waarbij werknemers werden misleid om een bericht te openen dat vermomd was als legitieme bedrijfscommunicatie maar een kwaadaardige link bevatte. Twilio, dat messaging- en tweefactorauthenticatiediensten levert, bekendgemaakt dat de hackers erin waren geslaagd de interne databases van het bedrijf te doorbreken en toegang hadden gekregen tot een niet nader genoemd aantal klantaccounts. Cloudflare, een online content delivery netwerk, bekend de hackers hadden geen toegang tot het interne netwerk.
Contra
In tegenstelling tot Twilio, Uber en Rockstar, die hun interne systemen hadden gehackt, slaagde Cloudflare erin om dit lot te vermijden door het gebruik van op hardware gebaseerde beveiligingssleutels. In tegenstelling tot andere multifactor-authenticatiemethoden, zoals sms-berichten en eenmalige wachtwoorden, zijn hardwarebeveiligingssleutels veel beter beveiligd tegen social engineering-aanvallen. Een gerichte medewerker kan worden misleid om de details van een sms of een eenmalig wachtwoord te delen, maar de hacker moet fysiek in het bezit zijn van een hardwarebeveiligingssleutel om toegang te krijgen tot een account. Hardwarebeveiligingssleutels zijn er in verschillende vormen, waaronder USB-sticks of Bluetooth-dongles, en ze moeten worden aangesloten op of verbonden met een apparaat dat toegang probeert te krijgen tot een beveiligd account. Hackers die toegang krijgen tot de inloggegevens van werknemers, hebben geen toegang tot hun accounts die deze vorm van beveiliging gebruiken zonder fysiek toegang te krijgen tot hun sleutels. In 2018, Google aangekondigd dat geen van de 85,000 met succes het doelwit was van een phishing-aanval nadat het een jaar eerder het gebruik van fysieke beveiligingssleutels verplichtte.
Groot nummer
323,972. Dat is het totale aantal klachten over social engineering-aanvallen dat de FBI in 2021 heeft ontvangen – bijna drie keer zo hoog als in 2019 – volgens de jaarlijkse Verslag over internetcriminaliteit. Tijdens deze periode kunnen hackers slaagde erin te stelen een totaal van $ 2.4 miljard door zakelijke e-mailaccounts te compromitteren via social engineering-technieken.
Waarop moet ik letten?
Jason Schreier van Bloomberg speculeerde dat de recente hack Rockstar ertoe zou kunnen aanzetten om beperkingen plaatsen over werken op afstand. Cybersecurity-experts hebben eerder betoogd dat werken op afstand mogelijk meer voorzorgsmaatregelen vereist, omdat werknemers hierdoor kwetsbaarder worden voor social engineering-aanvallen.
Verder lezen
Uber zegt te reageren op 'Cybersecurity Incident' na vermeende hack van interne databases (Forbes)
Uber Hacker beweert Rockstar-games te hebben gehackt, publiceert GTA 6-video's (Forbes)
FBI onderzoekt Uber & GTA 6-hacks, Britse bendeleider van afpersing van tieners verdacht (Forbes)
Bron: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- spellen/