Turvatekniikka kehottaa liittovaltion petosten hälytystä

Pankin Tietokonejärjestelmissä oli odottamattomia seurauksia tällä viikolla, johtaen liittovaltion virastoa, joka valvoo Yhdysvaltain luottolaitoksia antamaan petosilmoituksen.

Tiistaina National Credit Union Administration (NCUA) varoitti kaikkia liittovaltion vakuutuksen saaneita luottolaitoksia siitä, että nimeämätön luottoliitto oli saanut kaksi CD: tä yhdessä. Väärennetty kirje väitti, että CD-levyt sisälsivät NCUA-petostentorjunta-aineistoa, mutta petosilmoituksensa NCUA varoitti, että CD-levyjen suorittaminen "voi johtaa tietojärjestelmän mahdolliseen tietoturvaan tai aiheuttaa muita haitallisia seurauksia."

Vain se kävi ilmi, etteivät CD-levyt lähetti petoksia. Työntekijät lähettivät MicroSolvedin, Columbus, Ohio, turvallisuustestausyrityksen työntekijät. "Se oli osa sosiaalista suunnittelua, jota teimme täysin sanktioidussa penetraatiotestissä", sanoo MicroSolutionin toimitusjohtaja Brent Huston sähköpostiviestinä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Yrityksiä ja valtion virastojen turvallisuutta testataan rutiininomaisesti yrityksissä kuten MicroSolved.

Penetraattoritestit käyttävät usein niin sanottuja sosiaalisen suunnittelutekniikan osana turvallisuusarviointityötä. Yhteiskuntatekniikan avulla hyökkääjä tekee tyypillisesti laillisen kumppanin tai työntekijän, jotta hän voi houkutella työntekijöitä vaarantamaan tietokonejärjestelmät tai luovuttamaan arkaluonteisia tietoja. "Sosiaalinen insinöörityö on osa suurinta osaa arvioistamme", Huston sanoi.

NCUA: n tiedottaja John McKechnie ei ollut paljon sanottavaa organisaationsa hälytyksestä. Lyhyessä sähköpostiviestissä torstaina hän kirjoitti "tässä vaiheessa näyttää siltä, ​​että tämä on yksittäinen tapahtuma."

Vaikka NCUA-varoituksen aiheuttanut uhka ei perustu todelliseen hyökkäykseen, varoitus sisältää hyviä tietoja, sanoo SANS-instituutin johtava tutkija Johannes Ullrich, turvallisuuskoulutusryhmä. "Se on hyvä oppitunti", hän sanoi. Hänen mukaansa kaikki harjoittelun osapuolet käyttäytyivät melko paljon kuin heidän pitäisi. Pankki "ilmoitti sen valvovalle toimistolleen, joka sen jälkeen laittoi tämän ilmoituksen."

California Credit Union League: n tutkimuksen ja informaation johtaja Rita Fillingane sanoi, että hälytys oli vielä hyödyllinen, vaikka sitä ei "Ullrich sanoi, että hän ei ole tietoinen mistään tapauksista, joissa väärennettyjä CD-levyjä tosiasiallisesti käytettiin kompromissiin tietokoneverkon välityksellä.

Hän sanoi olevansa alun perin erittäin kiinnostunut, kun hän näki ensimmäisen NCUA-varoituksen. "Ajattelin," Lopuksi tämä on luonnossa, koska olen nähnyt sen vain kynän testeissä ennen. ""