Test de sécurité des invites fédérale d'alerte à la fraude
Un sanctionnée à des tests de sécurité d'une banque, les systèmes informatiques eu des conséquences inattendues de cette semaine, conduisant l'agence fédérale qui supervise les états-UNIS unions de crédit à émettre une alerte à la fraude.
Mardi, la National Credit Union Administration (NCUA) a mis en garde tous les assurés des caisses de crédit d'une fausse lettre d'un anonyme de crédit de l'union a reçu avec deux Cd. La fausse lettre affirmait que le Cd contenait NCUA anti-fraude du matériel de formation, mais dans son alerte à la fraude, NCUA averti que l'exécution de la CDs "pourrait aboutir à une éventuelle violation de la sécurité de votre système informatique, ou avoir d'autres conséquences néfastes."
Seulement il s'est avéré que la CDs n'ont pas été envoyés par des fraudeurs. Ils ont été envoyés par les employés de MicroSolved, à Columbus, en Ohio, les tests de sécurité de l'entreprise. "C'était une partie de certains d'ingénierie sociale que nous faisions dans un cadre entièrement sanctionné test de pénétration", a déclaré MicroSolved directeur général Brent Huston dans un message e-mail.
Des entreprises comme MicroSolved sont régulièrement loués pour tester de façon indépendante la sécurité des sociétés et des organismes gouvernementaux.
Testeurs de pénétration souvent recours à des techniques d'ingénierie sociale dans le cadre de leur évaluation de la sécurité du travail. Avec l'ingénierie sociale, l'attaquant généralement prétend être un légitime partenaire ou un collègue de travail dans le but de tromper employés en compromettre leurs systèmes informatiques ou de divulguer des informations sensibles. "L'ingénierie sociale les exercices sont une partie de la plupart de nos appréciations," Huston dit.
NCUA porte-parole de John McKechnie n'a pas grand chose à dire à propos de son organisation de l'alerte. Dans un bref e-mail jeudi, il a écrit "à ce stade, il semble que c'est un cas isolé."
Même si la menace qui a incité la NCUA avertissement n'était pas fondée sur une véritable attaque, l'avertissement contient de bonnes informations, selon Johannes Ullrich, directeur de recherche au SANS Institute, une formation à la sécurité du groupe. "C'est une bonne leçon", dit-il. Selon lui, toutes les parties dans l'exercice agi à peu près comme ils devraient l'avoir. La banque ", a rapporté à leur organisme de contrôle, qui ont ensuite mis cette alerte sur elle."
La californie Credit Union League Directeur de la Recherche et de l'Information, Rita Fillingane, a déclaré l'alerte est toujours utile, même si elle n'était pas fondée sur un véritable acte criminel." Dans le futur, quelque chose comme cela pourrait descendre le brochet," dit-elle.
Encore, Ullrich a dit qu'il n'a pas connaissance de cas où des faux CDs ont été effectivement utilisés pour compromettre un ordinateur en réseau.
Il a dit qu'il a d'abord été extrêmement intéressé quand il a vu la première NCUA avertissement. "Je pensais," Enfin, c'est dans la nature, parce que je l'ai seulement vu dans le stylo tests avant.'"
Date de publication: Mardi, la National Credit Union Administration (NCUA) a mis en garde tous les assurés des caisses de crédit d'une fausse lettre d'un anonyme de crédit de l'union a reçu avec deux Cd. La fausse lettre affirmait que le Cd contenait NCUA anti-fraude du matériel de formation, mais dans son alerte à la fraude, NCUA averti que l'exécution de la CDs "pourrait aboutir à une éventuelle violation de la sécurité de votre système informatique, ou avoir d'autres conséquences néfastes."
Seulement il s'est avéré que la CDs n'ont pas été envoyés par des fraudeurs. Ils ont été envoyés par les employés de MicroSolved, à Columbus, en Ohio, les tests de sécurité de l'entreprise. "C'était une partie de certains d'ingénierie sociale que nous faisions dans un cadre entièrement sanctionné test de pénétration", a déclaré MicroSolved directeur général Brent Huston dans un message e-mail.
Des entreprises comme MicroSolved sont régulièrement loués pour tester de façon indépendante la sécurité des sociétés et des organismes gouvernementaux.
Testeurs de pénétration souvent recours à des techniques d'ingénierie sociale dans le cadre de leur évaluation de la sécurité du travail. Avec l'ingénierie sociale, l'attaquant généralement prétend être un légitime partenaire ou un collègue de travail dans le but de tromper employés en compromettre leurs systèmes informatiques ou de divulguer des informations sensibles. "L'ingénierie sociale les exercices sont une partie de la plupart de nos appréciations," Huston dit.
NCUA porte-parole de John McKechnie n'a pas grand chose à dire à propos de son organisation de l'alerte. Dans un bref e-mail jeudi, il a écrit "à ce stade, il semble que c'est un cas isolé."
Même si la menace qui a incité la NCUA avertissement n'était pas fondée sur une véritable attaque, l'avertissement contient de bonnes informations, selon Johannes Ullrich, directeur de recherche au SANS Institute, une formation à la sécurité du groupe. "C'est une bonne leçon", dit-il. Selon lui, toutes les parties dans l'exercice agi à peu près comme ils devraient l'avoir. La banque ", a rapporté à leur organisme de contrôle, qui ont ensuite mis cette alerte sur elle."
La californie Credit Union League Directeur de la Recherche et de l'Information, Rita Fillingane, a déclaré l'alerte est toujours utile, même si elle n'était pas fondée sur un véritable acte criminel." Dans le futur, quelque chose comme cela pourrait descendre le brochet," dit-elle.
Encore, Ullrich a dit qu'il n'a pas connaissance de cas où des faux CDs ont été effectivement utilisés pour compromettre un ordinateur en réseau.
Il a dit qu'il a d'abord été extrêmement intéressé quand il a vu la première NCUA avertissement. "Je pensais," Enfin, c'est dans la nature, parce que je l'ai seulement vu dans le stylo tests avant.'"
Auteur: Keylogger.Org L'Équipe
