Topline
Rockstar Games—ຜູ້ພັດທະນາຊຸດວີດີໂອເກມ Grand Theft Auto ຍອດນິຍົມ—ແມ່ນ hacked ພຽງແຕ່ສອງສາມມື້ຫຼັງຈາກເຄື່ອງແມ່ຂ່າຍຂອງ Uber ຍັກໃຫຍ່ໄດ້ຖືກເປົ້າຫມາຍໃນການລະເມີດທີ່ຄ້າຍຄືກັນ, ລາຍງານໂດຍແຮກເກີດຽວກັນທີ່ໃຊ້ຂະບວນການທີ່ເອີ້ນວ່າວິສະວະກໍາສັງຄົມ, ຮູບແບບການໂຈມຕີທີ່ມີປະສິດທິພາບສູງທີ່ອີງໃສ່ການຫລອກລວງພະນັກງານຂອງບໍລິສັດເປົ້າຫມາຍແລະສາມາດປົກປ້ອງໄດ້ຍາກ. ຕ້ານ.
ຂໍ້ເທັດຈິງສໍາຄັນ
ຄ້າຍຄືກັນກັບ ແຮກ Uber, ແຮກເກີທີ່ໄປໂດຍນາມແຝງ "TeaPot" ກ່າວຫາວ່າລາວໄດ້ຮັບການເຂົ້າເຖິງຂໍ້ຄວາມພາຍໃນຂອງ Rockstar Games ໃນ Slack ແລະລະຫັດຕົ້ນສໍາລັບພາກຕໍ່ເນື່ອງຂອງ Grand Theft Auto ຂອງພວກເຂົາທີ່ບໍ່ໄດ້ປະກາດໂດຍ ການເຂົ້າເຖິງ ຕໍ່ກັບຂໍ້ມູນການເຂົ້າສູ່ລະບົບຂອງພະນັກງານ.
ໃນຂະນະທີ່ລາຍລະອຽດທີ່ແນ່ນອນຂອງການລະເມີດ Rockstar ແມ່ນບໍ່ຈະແຈ້ງ, ໃນກໍລະນີຂອງ Uber ແມ່ນແຮກເກີ ອ້າງວ່າ ລາວປອມຕົວເປັນບໍລິສັດ IT ແລະຊັກຊວນໃຫ້ພະນັກງານແບ່ງປັນຂໍ້ມູນການເຂົ້າສູ່ລະບົບຂອງເຂົາເຈົ້າ.
ບໍ່ເຫມືອນກັບຮູບແບບການໂຈມຕີອື່ນໆທີ່ອີງໃສ່ຂໍ້ບົກພ່ອງໃນສະຖາປັດຕະຍະກໍາຄວາມປອດໄພຂອງບໍລິສັດ, ວິສະວະກໍາສັງຄົມເປົ້າຫມາຍປະຊາຊົນແລະອີງໃສ່ການຫມູນໃຊ້ແລະການຫຼອກລວງ.
ຜູ້ຊ່ຽວຊານ ຂັດແຍ້ງ ວ່າມະນຸດຍັງຄົງເປັນ "ການເຊື່ອມຕໍ່ທີ່ອ່ອນແອທີ່ສຸດ" ໃນຄວາມປອດໄພທາງອິນເຕີເນັດຍ້ອນວ່າພວກເຂົາສາມາດຖືກຫລອກລວງໄດ້ງ່າຍເພື່ອຄລິກໃສ່ການເຊື່ອມຕໍ່ທີ່ເປັນອັນຕະລາຍຫຼືແບ່ງປັນຂໍ້ມູນການເຂົ້າສູ່ລະບົບຂອງພວກເຂົາ.
ບໍ່ເຫມືອນກັບວິທີການອື່ນໆ, ວິສະວະກໍາສັງຄົມຍັງມີປະສິດທິພາບໃນການເອົາຊະນະການເພີ່ມປະສິດທິພາບບາງຢ່າງ ມາດຕະການຄວາມປອດໄພ ເຊັ່ນ: ລະຫັດຜ່ານຄັ້ງດຽວ ແລະວິທີການກວດສອບຄວາມຖືກຕ້ອງແບບ multifactor ອື່ນໆ.
ຄຳ ເວົ້າທີ່ ສຳ ຄັນ
Rachel Tobac, CEO ຂອງບໍລິສັດຄວາມປອດໄພທາງອິນເຕີເນັດ SocialProof Security ແລະຜູ້ຊ່ຽວຊານດ້ານວິສະວະກໍາສັງຄົມ tweeted: “ຄວາມຈິງຍາກແມ່ນວ່າ [ອົງການຈັດຕັ້ງ] ສ່ວນໃຫຍ່.
ໃນໂລກອາດຈະຖືກ hacked ໃນທາງທີ່ແນ່ນອນ Uber ພຽງແຕ່ຖືກ hack… ຫຼາຍ [ອົງການຈັດຕັ້ງ] ຍັງບໍ່ໃຊ້ [Multi Factor Authentication] ພາຍໃນ ... ຜູ້ບຸກລຸກເຂົ້າມາ).
ຄວາມເປັນມາຫຼັກ
ວິສະວະກໍາສັງຄົມໄດ້ຖືກນໍາໃຊ້ເພື່ອດໍາເນີນການ hacks ລະດັບສູງຫຼາຍໃນປີທີ່ຜ່ານມາ, ລວມທັງ ການລັກລອບ ຫຼາຍກວ່າ 100 ບັນຊີ Twitter ທີ່ມີຊື່ສຽງ - ໃນນັ້ນ, Elon Musk, ອະດີດປະທານາທິບໍດີ Barack Obama, Bill Gates ແລະ Kanye West - ເຊິ່ງຫຼັງຈາກນັ້ນຖືກນໍາໃຊ້ເພື່ອສົ່ງເສີມການຫລອກລວງ bitcoin. ການ hack ໄດ້ຖືກປະຕິບັດໂດຍໄວລຸ້ນຜູ້ທີ່ສາມາດເຂົ້າຫາເຄືອຂ່າຍພາຍໃນຂອງ Twitter ໂດຍເປົ້າຫມາຍ "ພະນັກງານຈໍານວນຫນ້ອຍ" ອີງຕາມ ບໍລິສັດສື່ມວນຊົນສັງຄົມ. ໃນເດືອນແລ້ວນີ້, ທັງ Cloudflare ແລະ Twilio ຍັງຖືກເປົ້າຫມາຍໃນປະເພດຂອງການໂຈມຕີທາງວິສະວະກໍາສັງຄົມທີ່ເອີ້ນວ່າ "phishing" ບ່ອນທີ່ພະນັກງານຖືກຫລອກລວງໃຫ້ເປີດຂໍ້ຄວາມທີ່ຖືກປອມແປງເພື່ອປະກົດວ່າເປັນການສື່ສານຂອງບໍລິສັດທີ່ຖືກຕ້ອງແຕ່ລວມທັງການເຊື່ອມຕໍ່ທີ່ເປັນອັນຕະລາຍ. Twilio, ເຊິ່ງສະຫນອງການບໍລິການສົ່ງຂໍ້ຄວາມແລະການກວດສອບສອງປັດໃຈ, ເປີດເຜີຍ ວ່າແຮກເກີໄດ້ຈັດການການລະເມີດຖານຂໍ້ມູນພາຍໃນຂອງບໍລິສັດແລະໄດ້ຮັບການເຂົ້າເຖິງຈໍານວນບັນຊີລູກຄ້າທີ່ບໍ່ເປີດເຜີຍ. Cloudflare, ເຄືອຂ່າຍການຈັດສົ່ງເນື້ອຫາອອນໄລນ໌, ສັງເກດເຫັນ ແຮກເກີບໍ່ສາມາດເຂົ້າເຖິງເຄືອຂ່າຍພາຍໃນຂອງມັນ.
Contra
ບໍ່ເຫມືອນກັບ Twilio, Uber ແລະ Rockstar, ເຊິ່ງມີການລະເມີດລະບົບພາຍໃນ, Cloudflare ສາມາດຫລີກລ້ຽງຊະຕາກໍານີ້ເນື່ອງຈາກການນໍາໃຊ້ຂອງມັນ. ກະແຈຄວາມປອດໄພທີ່ອີງໃສ່ຮາດແວ. ບໍ່ເຫມືອນກັບວິທີການກວດສອບຄວາມຖືກຕ້ອງແບບ multifactor ອື່ນໆເຊັ່ນ: ຂໍ້ຄວາມແລະລະຫັດຜ່ານແບບໃຊ້ຄັ້ງດຽວ, ກະແຈຄວາມປອດໄພຂອງຮາດແວແມ່ນປອດໄພກວ່າຫຼາຍຕໍ່ກັບການໂຈມຕີທາງວິສະວະກໍາສັງຄົມ. ພະນັກງານທີ່ຖືກເປົ້າໝາຍສາມາດຖືກຫຼອກລວງໃຫ້ແບ່ງປັນລາຍລະອຽດຂອງຂໍ້ຄວາມ ຫຼືລະຫັດຜ່ານຄັ້ງດຽວ ແຕ່ແຮກເກີຕ້ອງການໃຫ້ກະແຈຄວາມປອດໄພຂອງຮາດແວຄອບຄອງເພື່ອເຂົ້າເຖິງບັນຊີ. ກະແຈຄວາມປອດໄພຂອງຮາດແວມີຢູ່ໃນຫຼາຍຮູບແບບລວມທັງ USB sticks ຫຼື dongles Bluetooth ແລະພວກມັນຈໍາເປັນຕ້ອງໄດ້ສຽບຫຼືເຊື່ອມຕໍ່ກັບອຸປະກອນທີ່ພະຍາຍາມເຂົ້າເຖິງບັນຊີທີ່ຖືກປ້ອງກັນ. ແຮກເກີທີ່ໄດ້ຮັບການເຂົ້າເຖິງຂໍ້ມູນປະຈໍາຕົວຂອງພະນັກງານຈະບໍ່ສາມາດເຂົ້າເຖິງບັນຊີຂອງເຂົາເຈົ້າທີ່ໃຊ້ຮູບແບບຄວາມປອດໄພນີ້ໂດຍບໍ່ໄດ້ຮັບການເຂົ້າເຖິງກະແຈຂອງເຂົາເຈົ້າ. ໃນປີ 2018, Google ປະກາດ ວ່າບໍ່ມີໃຜໃນ 85,000 ຂອງມັນໄດ້ຖືກເປົ້າຫມາຍສົບຜົນສໍາເລັດໂດຍຜ່ານການໂຈມຕີ phishing ຫຼັງຈາກມັນໄດ້ບັງຄັບໃຫ້ໃຊ້ກະແຈຄວາມປອດໄພທາງດ້ານຮ່າງກາຍໃນປີກ່ອນຫນ້ານີ້.
ໝາຍ ເລກໃຫຍ່
323,972. ນັ້ນແມ່ນຈຳນວນການຮ້ອງຮຽນທັງໝົດຂອງການໂຈມຕີດ້ານວິສະວະກຳສັງຄົມທີ່ FBI ໄດ້ຮັບໃນປີ 2021—ເກືອບສາມເທົ່າທີ່ສູງກວ່າປີ 2019—ອີງຕາມອົງການປະຈຳປີ. ບົດລາຍງານອາຊະຍາ ກຳ ທາງອິນເຕີເນັດ. ໃນລະຫວ່າງໄລຍະເວລານີ້, ແຮກເກີ ການຄຸ້ມຄອງການລັກ ຈໍານວນທັງຫມົດ 2.4 ຕື້ໂດລາໂດຍການປະນີປະນອມບັນຊີອີເມວທຸລະກິດໂດຍຜ່ານເຕັກນິກວິສະວະກໍາສັງຄົມ.
ສິ່ງທີ່ຄວນສັງເກດເບິ່ງ
Jason Schreier ຂອງ Bloomberg ຄາດຄະເນການ hack ທີ່ຜ່ານມາອາດຈະກະຕຸ້ນ Rockstar ຂໍ້ຈໍາກັດສະຖານທີ່ ໃນການເຮັດວຽກຫ່າງໄກສອກຫຼີກ. ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດມີ ໂຕ້ຖຽງກັນໃນເມື່ອກ່ອນ ການເຮັດວຽກຫ່າງໄກສອກຫຼີກອາດຈະຮຽກຮ້ອງໃຫ້ມີຄວາມລະມັດລະວັງຫຼາຍຂຶ້ນຍ້ອນວ່າມັນເຮັດໃຫ້ພະນັກງານມີຄວາມສ່ຽງຫຼາຍຕໍ່ການໂຈມຕີທາງວິສະວະກໍາສັງຄົມ.
ອ່ານເພີ່ມເຕີມ
Uber ກ່າວວ່າມັນຕອບສະ ໜອງ ຕໍ່ 'ເຫດການຄວາມປອດໄພທາງອິນເຕີເນັດ' ຫຼັງຈາກຖືກກ່າວຫາວ່າແຮັກຖານຂໍ້ມູນພາຍໃນ (Forbes)
ແຮກເກີ Uber ອ້າງວ່າມີການແຮັກເກມ Rockstar, ປ່ອຍວິດີໂອ GTA 6 (Forbes)
FBI Probes Uber & GTA 6 Hacks, UK Teen Extortion Leader ສົງໃສວ່າ (Forbes)
ແຫຼ່ງຂໍ້ມູນ: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- ເກມ/