Güvenlik Testi Federal Dolandırıcılık Uyarısı İstedi

Bir bankanın onaylanmış güvenlik testi bilgisayar sistemlerinin bu hafta beklenmedik sonuçları oldu ve ABD kredi sendikalarını dolandırıcılık uyarısı vermesini denetleyen federal ajansa liderlik etti.

Salı günü, Ulusal Kredi Birliği İdaresi (NCUA), federal sigortalı kredi birliklerini sahte bir mektupta uyardı. isimsiz kredi birliği iki CD ile birlikte almıştı. Sahte mektup, CD'lerin NCUA dolandırıcılık karşıtı eğitim materyalleri içerdiğini iddia etti, ancak NCUA, dolandırıcılık uyarısında CD'lerin çalıştırılmasının "bilgisayar sisteminize olası bir güvenlik ihlaliyle sonuçlanabileceği veya başka olumsuz sonuçlara yol açabileceği" konusunda uyardı.

Sadece CD'lerin dolandırıcılar tarafından gönderilmediği ortaya çıktı. MicroSolved, Columbus, Ohio, güvenlik test şirketi çalışanları tarafından gönderildi. MicroSolved CEO'su Brent Huston bir e-posta mesajında ​​şunları söyledi: “Tamamen onaylanmış bir penetrasyon testinde yaptığımız bazı sosyal mühendisliğin bir parçasıydı.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

MicroSolved gibi şirketler, kurumların ve devlet kurumlarının güvenliğini bağımsız olarak test etmek için düzenli olarak işe alınırlar.

Penetrasyon test cihazları güvenlik değerlendirme çalışmalarının bir parçası olarak genellikle sözde sosyal mühendislik tekniklerini kullanırlar. Saldırgan, sosyal mühendislik ile çalışanların bilgisayar sistemlerini tehlikeye atmak ya da hassas bilgileri ifşa etmeleri için kandırmak için meşru bir ortak ya da ortak çalışan gibi davranıyor. “Sosyal mühendislik çalışmaları, değerlendirmelerimizin çoğunun bir parçası” dedi.

NCUA sözcüsü John McKechnie, örgütünün uyarısı hakkında söyleyecek çok şeyi yoktu. Perşembe günü kısa bir e-postada, "bu noktada, bunun yalıtılmış bir olay olduğu anlaşılıyor." Diye yazdı.

NCUA uyarısını tetikleyen tehdit gerçek bir saldırıya dayanmasa bile, uyarı iyi bilgiler içeriyor. Bir güvenlik eğitim grubu olan SANS Enstitüsü'nde araştırma görevlisi Johannes Ullrich'e göre. "Bu iyi bir ders," dedi. Ona göre, egzersizin tüm tarafları sahip oldukları kadar hareket ettiler. Banka "bunu kontrol pilotuna rapor etti, ardından da bu uyarıyı ona dayanarak yaptı."

California Credit Union Ligi Araştırma ve Enformasyon Direktörü, Rita Fillingane, uyarılmamış olsa bile uyarının hala yararlı olduğunu söyledi. Gerçek bir suç eylemine dayanarak. "Gelecekte böyle bir şey pike aşağı gelebilir," dedi.

Yine de, Ullrich, sahte bilgisayar CD'lerinin aslında bir bilgisayar ağını tehlikeye atmak için kullanıldığı durumların farkında olmadığını söyledi.

İlk NCUA uyarısını gördüğünde başlangıçta son derece ilgilendiğini söyledi. "Düşündüm ki, 'Sonunda bu vahşi, çünkü daha önce sadece kalem testlerinde gördüm.'"