Chris Hadnagy, jeden z organizátorů konference Defcon, zde uvedl, že
hlavním problémem velkých firem jsou jejich zaměstnanci. Jejich
nedostatečné povědomí o bezpečnostních rizicích pak vede k tomu, že
kompromitovány mohou být sítě velkých nadnárodních firem i institucí,
ať už jde o Sony, RSA nebo Mezinárodní měnový fond.
Soutěž účastníků DefConu ukázala, že zaměstnanci velkých institucí
podléhají těm nejtriviálnějším metodám sociálního inženýrství, klikají
na pokyn na odkazy nebo telefonicky poskytnou informace o konfiguraci
svého počítače člověku, který předstírá, že je z IT oddělení. Test
zkoumal např. následující firmy: Apple, AT&T, Delta Air Lines,
Symantec, United Airlines a Verizon Communications.
Překvapivé je, že podle Hadnagyho průzkumu předali nejvíce informací
zaměstnanci Oraclu. Nejde jen o to, že se jedná o jednu z největších
softwarových firem, překvapivé je na tom i to, že v s žádnými většími
bezpečnostními incidenty spojena není. Produkty Oraclu mají pověst
bezpečných a konec konců i počátky firmy před cca 30 lety stojí např.
s prodejem zabezpečeného databázového systému pro CIA.
Předpokládá se, že sociální inženýrství a následný vysoce cílený
(spear) phishing jsou dnes příčinou největších bezpečnostních
incidentů.
Zdroj: Reuters