Test bezpieczeństwa monituje federalny komunikat o oszustwie

Sankcjonowany test bezpieczeństwa banku Systemy komputerowe miały w tym tygodniu niespodziewane konsekwencje, prowadząc agencję federalną, która nadzoruje amerykańskie unie kredytowe, aby wydały ostrzeżenie o oszustwie.

We wtorek, Narodowa Unia Credit Union Administration (NCUA) ostrzegła wszystkie federalnie ubezpieczone unie kredytowe o fałszywym liście, że nienazwana unii kredytowych otrzymała wraz z dwoma płytami CD. Fałszywe pismo twierdziło, że na płytach CD znajdują się materiały szkoleniowe dotyczące zwalczania nadużyć finansowych NCUA, ale w swoim ostrzeżeniu o oszustwach NCUA ostrzega, że ​​uruchomienie płyt CD "może doprowadzić do naruszenia bezpieczeństwa systemu komputerowego lub mieć inne negatywne konsekwencje."

Okazało się, że płyty CD nie zostały wysłane przez oszustów. Zostały wysłane przez pracowników firmy MicroSolved, Columbus, Ohio, zajmującej się testowaniem bezpieczeństwa. "Było to częścią inżynierii społecznej, którą wykonywaliśmy w pełni usankcjonowanym teście penetracji" - powiedział Brent Huston, CEO firmy MicroSolved, w wiadomości e-mail.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Firmy takie jak MicroSolved są zwykle zatrudniane do niezależnego testowania bezpieczeństwa korporacji i agencji rządowych.

Testerzy penetracji często używają tak zwanych technik inżynierii społecznej w ramach swoich prac związanych z oceną bezpieczeństwa. Dzięki inżynierii społecznej atakujący zazwyczaj udaje pełnoprawnego partnera lub współpracownika, aby skłonić pracowników do narażenia swoich systemów komputerowych lub ujawnienia poufnych informacji. "Inżynieria społeczna jest częścią większości naszych ocen" - powiedział Huston.

Rzecznik NCUA John McKechnie nie miał wiele do powiedzenia na temat alarmu swojej organizacji. W krótkim e-mailu w czwartek napisał: "w tym momencie wydaje się, że jest to odosobnione wydarzenie."

Nawet jeśli zagrożenie, które spowodowało ostrzeżenie NCUA nie było oparte na rzeczywistym ataku, ostrzeżenie zawiera dobre informacje, według Johannesa Ullricha, dyrektora ds. badań w SANS Institute, grupy szkoleniowej ds. bezpieczeństwa. "To dobra lekcja" - powiedział. Według niego wszystkie partie w ćwiczeniu zachowywały się tak, jak powinny. Bank "zgłosił to do swojej agencji kontrolnej, która następnie wystawiła ten alert w oparciu o to."

Dyrektor ds. Badań i informacji w California Credit Union League, Rita Fillingane, powiedziała, że ​​alarm był nadal przydatny, nawet jeśli nie był na podstawie faktycznego czynu kryminalnego. "W przyszłości coś takiego może spłynąć na szczupaka", powiedziała.

Ullrich powiedział jednak, że nie jest świadomy przypadków, w których fałszywe płyty CD były wykorzystywane do kompromisu w sieci komputerowej.

Powiedział, że początkowo był bardzo zainteresowany, gdy zobaczył wstępne ostrzeżenie NCUA. "Pomyślałem:" Nareszcie jest to na wolności, ponieważ widziałem je tylko w testach pióra ".