Den Anstoß für den Test gab ein Kontakt aus dem Umfeld der Syracuse University, der Stasiukonis fragte, ob er „etwas Spannendes" zu berichten habe. Der Auftrag der Kreditgenossenschaft lautete, mit USB-Sticks ins Netzwerk einzudringen – etwas, das über einen gewöhnlichen Phishing-Versuch hinausging. USB-Speicher waren damals neu und teuer; Stasiukonis’ Firma Secure Network Technologies hatte jedoch zahlreiche Exemplare von Fachmessen gesammelt. Auf den Sticks platzierte sein inzwischen verstorbener Partner Bob Clary einen Exploit, der sich beim Öffnen zurückmeldete.
Am Tag vor dem eigentlichen Test beobachtete das Team den Parkplatz, um gezielt jene Bereiche zu bestimmen, in denen Mitarbeiter parken, ins Gebäude gehen oder in der Raucherzone stehen – Kunden sollten ausdrücklich nicht getroffen werden. Am nächsten Morgen legten sie die Sticks dort aus und beobachteten aus der Distanz, wie Mitarbeiter die Funde aufnahmen und an ihre Rechner anschlossen. Als Köder dienten Urlaubsfotos, die Clary von einer Italienreise mitgebracht hatte, unter anderem vom Schiefen Turm von Pisa. Nach der von Bracken im alten Beitrag nachgelesenen Zahl steckten 15 von 20 Mitarbeitern den Stick ein, manche führten ihn zweimal aus.
Die Kreditgenossenschaft erkannte das Problem und sah Bedarf für Richtlinien und Schulungen. Laut Stasiukonis löste dieser eine Test in der Folge Hunderte, vielleicht Tausende weitere Tests mit USB-Sticks aus.
Heute, so Stasiukonis, sei der USB-Stick kein verlässliches Mittel mehr, da physische Datenträger in Unternehmen stärker eingeschränkt seien. Stattdessen setzt sein Team auf physische Sicherheitstests: Man gibt sich etwa als Techniker für Klimaanlagen oder als Kopierer-Reparaturdienst aus, gelangt so ins Gebäude und schließt komplette Feldsysteme an – früher ein Mac mini, inzwischen kleine Geräte mit allen Werkzeugen, die sich zur Firmenzentrale zurückverbinden. Freundlichkeit und Vertrauensaufbau seien dabei wirksamer als das Aufbrechen von Schlössern.
Besonders deutlich macht Stasiukonis den Wandel am Beispiel der Aufklärung. Früher habe sein Team zwei Wochen vor Ort verbracht, um Gebäude, Personal und Führungskräfte zu studieren. Inzwischen nutze er große Sprachmodelle, in die laut seiner Schilderung viele Informationen geflossen seien, und gewinne durch gezieltes Abfragen und „Jailbreaking" die nötigen Erkenntnisse. Bei einem Eindringversuch in eine große Finanzorganisation habe das Team über KI von einer Baustelle vor dem Gebäude erfahren, sei in Versorgeruniformen aufgetreten und auf diese Weise ins Gebäude gelangt. Nützlich seien dabei vor allem Informationen aus dem Umfeld des eigentlichen Auftraggebers – etwa von Marketingfirmen, Katasterämtern oder Genehmigungsstellen.
Neben Penetrationstests betreibt Stasiukonis auch Incident Response bei Ransomware-Vorfällen. Dieses Geschäft sei aus der Not heraus entstanden, als mit dem Aufkommen von Bitcoin erste betroffene Kunden anriefen. Die Einblicke in das Vorgehen der Angreifer hätten ihn und sein Team zu besseren Penetrationstestern gemacht, weil sie unmittelbar sahen, wie ein Angreifer arbeitet.