Το χακάρισμα της Uber από… έναν 18χρονο!

Όταν το social engineering νίκησε τα firewalls

Το 2022, η Uber έγινε στόχος μιας από τις πιο απρόσμενες κυβερνοεπιθέσεις της χρονιάς. Όχι από κάποια ομάδα χάκερς υψηλής τεχνογνωσίας, ούτε από ένα κρατικό cyber-army. Ο εισβολέας ήταν… ένας 18χρονος.

Πώς τα κατάφερε; Όχι με περίπλοκο malware, αλλά με κάτι απλό και τρομακτικά αποτελεσματικό: social engineering.

Πώς Έγινε η Επίθεση;

Ο νεαρός χάκερ, που φέρεται να συνδέεται με την ομάδα Lapsus$, δεν χρησιμοποίησε εργαλεία υψηλής τεχνολογίας. Χρησιμοποίησε τεχνικές εξαπάτησης ανθρώπων.

1. Εντόπισε εργαζόμενο της Uber με πρόσβαση σε εσωτερικά συστήματα.
2. Τον βομβάρδισε με αιτήματα επαλήθευσης δύο παραγόντων (MFA fatigue attack), κάνοντάς τον να πατήσει “Accept” από… κόπωση.
3. Μόλις μπήκε στο λογαριασμό, βρήκε κωδικούς στο εσωτερικό Slack και scripts αυτοματισμών.
4. Απέκτησε πρόσβαση σε AWS, Google Cloud, HackerOne reports, security dashboards, και κώδικα της Uber.

Τι Είναι το Social Engineering;

Είναι η χειραγώγηση ανθρώπων για να αποκαλύψουν πληροφορίες ή να κάνουν ενέργειες που οδηγούν σε παραβίαση ασφαλείας.
Δεν στοχεύει τα συστήματα, στοχεύει τον άνθρωπο.

Παραδείγματα:

• Πειστικά emails (phishing)
• Πλαστές ταυτότητες IT υποστήριξης
• Τηλεφωνικές απάτες
• Αιτήματα επαλήθευσης που δημιουργούν πίεση

Τι Έδειξε το Χάκαρισμα της Uber;

• Ότι ο αδύναμος κρίκος δεν είναι πάντα ο κώδικας, αλλά ο ανθρώπινος παράγοντας
• Ότι ακόμα και κολοσσοί με τεράστιους προϋπολογισμούς ασφάλειας δεν είναι άτρωτοι
• Ότι η γνώση και η προσοχή κάθε εργαζομένου είναι κρίσιμη για την κυβερνοασφάλεια

Πώς Να Προστατευτείς;

• Μην πατάς επιβεβαιώσεις MFA χωρίς λόγο
• Επανεξέτασε ποιος έχει πρόσβαση σε ευαίσθητες πληροφορίες
• Εκπαίδευση προσωπικού: το social engineering αντιμετωπίζεται με επίγνωση
• Κατάγγειλε κάθε ύποπτη δραστηριότητα αμέσως

Ένα Μάθημα για Όλους

Η επίθεση στην Uber ήταν απλή, φθηνή και επιτυχημένη.
Αν μπορεί να συμβεί στην Uber, μπορεί να συμβεί και σε εμάς — αν δεν προσέχουμε.