Serangan Social Engineering menyebabkan kebocoran info 20.000 agen FBI

Seorang hacker mengambil keuntungan dari protokol otentikasi dalam DOJ (Departement Kehakiman AS) untuk melakukan serangan social engineering, sehingga membocorkan informasi 20.000 agen FBI.

Informasi yang bocor meliputi nama, alamat email, nomor telepon dan deskripsi pekerjaan bagi ribuan orang. Hacker yang mengaku telah memperoleh informasi dengan menggunakan akun email DOJ.

Dari sana, dia menggunakan serangan social engineering yang sangat sederhana untuk mengakses intranet DOJ. Hacker tersebut melakukan panggilan telepon ke DOJ, berpura-pura menjadi karyawan baru yang tidak bisa mengakses portal Web DOJ.

"Jadi, saya menelepon, mengatakan kepada mereka bahwa saya orang baru dan saya tidak mengerti bagaimana untuk melewati [portal]," kata hacker tersebut. "Mereka bertanya apakah aku punya kode token, saya bilang tidak, [dan] mereka mengatakan itu baik-baik saja - kami akan memberikannya."

Hacker mengatakan token ini memungkinkan akses penuh ke intranet DOJ, termasuk sekitar 1 TB data. Karena waktu yang terbatas, hacker tersebut hanya men-download 200 GB data, termasuk info karyawan FBI dan Departemen Keamanan Dalam Negeri (DHS), tapi hacker mengklaim di dalam database juga terdapat email militer dan nomor kartu kredit.

Chris Blow, penasihat keamanan senior untuk Rook Security Inc., di Indianapolis, mengatakan insiden ini membuktikan bahwa tidak ada yang aman dan aman dari serangan social engineering.

"Tidak ada bagian dari teknologi yang dapat diletakkan di tempat. Untuk membantu mengurangi social engineering, Anda membutuhkan orang yang sadar dan terdidik," kata Blow. "Cara terbaik untuk mengotentikasi pengguna jarak jauh tidak dapat didasarkan pada kepercayaan saja. Percaya, tetapi juga harus memverifikasinya."

David Martin, ahli keamanan dan direktur di NSFOCUS IB, yang berbasis di Santa Clara, California., Dia mengatakan setiap kebijakan otentikasi perusahaan harus mencakup beberapa bentuk otentikasi multifaktor.

"Banyak perusahaan menerapkan sistem otentikasi dua faktor, di mana pengguna harus menggabungkan 'apa yang mereka ketahui' dengan 'apa yang mereka miliki dalam rangka membangun identitas mereka," kata Martin, menambahkan bahwa password yang unik atau menjawab pertanyaan keamanan harus dikombinasikan dengan tanda elektronik dari perangkat yang dimiliki pengguna untuk melakukan verifikasi.

Para ahli menyepakati bahwa cara terbaik bagi perusahaan untuk mengurangi serangan social engineering, seperti yang yang terjadi pada DOJ, adalah melalui pendidikan dan kebijakan otentikasi yang kuat.

 

sumur: http://searchsecurity.techtarget.com/news/4500272795/Social-engineering-attack-leads-to-leaked-info-on-20000-FBI-agents