Så här stjäl du företagshemligheter på 20 minuter: Fråga

Några företag i Fortune 500 behöver uppgradera sina webbläsare. Och medan de är på det, skulle en liten intern utbildning på socialteknik inte heller vara en dålig idé.

Hackare för socialteknik - människor som lurar anställda på att göra och säga saker som de inte borde - - tog sitt bästa skott på Fortune 500 under en tävling på Defcon Friday och visade hur lätt det är att få folk att prata, om du bara säger rätt lögn.

Defcon och Black Hat säkerhetskonferenser äger rum i Las Vegas den här veckan.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Deltagarna fick IT-personal vid stora företag, inklusive Microsoft, Cisco Systems, Apple och Shell, för att ge upp alla typer av information som kan användas vid en datorattack, inklusive vilken webbläsare och versionsnummer de använde (de två första företagen som heter fredag ​​använde IE6), vilken programvara de använder för att öppna pdf-dokument, deras operativsystem och service packnummer, deras mailklient, antivirusprogrammet de använder, och även namnet på deras lokala trådlösa nätverk.

De två första tävlande gjorde det lätt.

Wayne, en säkerhetskonsulent från Australien som inte skulle ge sitt efternamn, var först fredag ​​morgon. Hans uppdrag: Hämta data från ett stort amerikanskt företag. (IDG News Service har valt att inte anmäla vilka företag som föll för vilka attacker på grund av möjliga säkerhetsrisker.)

Sitter bakom en ljudisolerad monter före publiken, han anslöt sig till ett IT-callcenter och fick en anställd som heter Ledoi som pratar. Wayne fick honom att spilla detaljer, stor tid.

Wayne ignorerade en begäran om ett anställningsnummer och lanserade omedelbart en berättelse om hur hans chef var på ryggen och hur han verkligen behövde få denna revision klar. Han arbetade sin Aussie-charm på arbetaren, som bara hade varit med sin nya arbetsgivare i en månad. Inom några minuter såg han att han var villig att ge Wayne ganska mycket information han ville ha - på ett tillfälle besökte han även en falsk KMPG-webbsida som Wayne hade satt upp.

Han avslutade samtalet lovande att köpa arbetstagaren en öl

"Vilken öl gillar du?"

"Just nu är jag på en Blue Moon-spark."

I en intervju efter samtalet kunde Wayne inte tro på sin tur. "Jag tänkte att de är ett ganska stort företag och jag vet att de gjorde en hel del in-house säkerhetsrevisioner."

Senare angav arrangörerna att hans ansträngningar var dagens bästa. Men alla som var riktade gav upp information. Chris Hadnagy, en av grundarna av tävlingen, tror att offren skulle ha gett bort känslig information som lösenord hade de blivit utfrågade. "De skulle ha gett bilder av deras familj om de hade bett om det," sa han.

Tävlingsregler förbjudna att begära någon känslig information eller rikta in sig mot vissa typer av organisationer som statliga eller finansiella institutioner. Trots det tävlade tävlingen nerverna redan innan den hade börjat. Idag fick Hadnagy ett samtal från FBI som frågade om tävlingen.

Wayne, som har gjort denna typ av socialteknik i 15 år i sitt dagjobb som säkerhetskonsulent, sa att han gjorde ca 20 timmars rekognosering före tävlingen. Han visste hur man kom till IT-callcenteret och vilka namn som skulle släppa när han kom igenom. Han erkände att han hade lyckats med att få en sådan grön medarbetare. Men nya medarbetare gör de bästa källorna. "Om du väljer någon som är en uppskattad person i företaget, får du ingenting," sa han. "De har mycket att förlora."

Tävlande nummer två, Shane MacDougall, bestämde sig för att hoppa över call center och gå direkt för säkerhetspersonalen vid ett annat känt företag. Han tog en mer knäppt tillvägagångssätt och hävdade att han skulle göra en undersökning för CSO Magazine.

Den första personen som han nått visste vad han gjorde och stängde MacDougall på ett säkert sätt, efter att ha nekat att svara på några frågor och sa: "Det här är specifika frågor som jag inte känner mig bekväma att svara på."

Tävlande gavs bara 25 minuter till jobbet. Så klockan klockade lyckades MacDougall ut på sitt nästa märke - en anställd i säkerhetsingenjörsavdelningen som hade varit med företaget i två månader. Efter några mjukbollsspecifika frågor om arbetsnöjdhet och kvaliteten på cafeterian maten gick han för hård data.

Markerat: operativsystem: Windows XP, service pack 3; antivirus: McAfee VirusScan 8.7; e-post: Outlook 2003, service pack 3; webbläsare: IE 6.

MacDougall berättade sedan att han besökte en webbplats för att samla sin undersökningskupong för US $ 25, och arbetaren följde.

Tävlingen går till Defcon till och med söndag. Vinnaren får en iPad.

Robert McMillan täcker datasäkerhet och allmänt tekniskt brytande nyheter för IDG News Service. Följ Robert på Twitter på @bobmcmillan. Roberts e-postadress är [email protected]