Elevii se infiltrează într-un computer gazdă sub ochiul atent al unui mentor în timpul exercițiului de captură a pavilionului. Richard Matthews, Autor furnizat.
Ce au în comun submarinele nucleare, bazele militare de top secret și afacerile private?
Toți sunt vulnerabili la o simplă felie de cheddar.
Acesta a fost rezultatul clar al unui exercițiu de „testare a stiloului”, cunoscut și sub denumirea de test de penetrare, la școală anuală de vară Cyber Security în Tallinn, Estonia în iulie.
Am participat, împreună cu un contingent din Australia, să prezint cercetări la a treia anuală Atelier interdisciplinar de cercetare cibernetică. Am avut și șansa de a vizita companii precum Skype și Funderbeam, Precum și Centrul de excelență NATO Cyber Defense Collaborative.
Tema școlii din acest an a fost ingineria socială - arta de a manipula oamenii pentru a divulga informații critice online fără să-și dea seama. Ne-am concentrat asupra de ce funcționează ingineria socială, cum să prevenim astfel de atacuri și cum să adunăm dovezi digitale după un incident.
Punctul culminant al vizitei noastre a fost participarea la un exercițiu virtual de captare a steagului de foc (CTF), unde echipele au efectuat atacuri de inginerie socială pentru a testa o companie reală.
Testare stilou și phishing în lumea reală
Testarea stiloului este un atac simulat autorizat asupra securității unui sistem fizic sau digital. Acesta își propune să găsească vulnerabilități pe care infractorii le pot exploata.
Astfel de testări variază de la digital, unde scopul este accesarea fișierelor și a datelor private, la fizic, în care cercetătorii încearcă de fapt să intre în clădiri sau spații din cadrul unei companii.
Studenții Universității din Adelaide au participat la un tur privat al biroului Tallinn Skype pentru o prezentare despre securitatea cibernetică. Richard Matthews, Autorul a oferit
În timpul școlii de vară, am auzit de la hackeri profesioniști și pen-testeri din întreaga lume. S-au spus povești despre modul în care intrarea fizică în zone securizate poate fi obținută folosind nimic mai mult decât o bucată de brânză în formă de carte de identitate și încredere.
Apoi, am pus aceste lecții în practică prin mai multe steaguri - obiective pe care echipele trebuiau să le atingă. Provocarea noastră a fost să evaluăm o companie contractată pentru a vedea cât de sensibilă a fost atacurile de inginerie socială.
Testarea fizică a fost specifică în afara limitelor în timpul exercițiilor noastre. Au fost stabilite, de asemenea, granițe etice cu compania pentru a ne asigura că acționăm ca specialiști în securitate cibernetică și nu ca criminali.
OSINT: Open Source Intelligence
Primul steag a fost cercetarea companiei.
În loc să cercetăm așa cum ați face pentru un interviu de angajare, am căutat potențiale vulnerabilități în cadrul informațiilor disponibile publicului. Acest lucru este cunoscut sub numele de sursă de informații deschise (OSINT). Precum:
- cine sunt consiliul de administrație?
- cine sunt asistenții lor?
- ce evenimente se întâmplă la companie?
- sunt probabil să fie în vacanță în acest moment?
- ce informații de contact ale angajaților putem colecta?
Am putut răspunde la toate aceste întrebări cu o claritate extraordinară. Echipa noastră a găsit chiar și numere de telefon directe și căi de acces în companie din evenimentele raportate în mass-media.
E-mailul de phishing
Aceste informații au fost apoi utilizate pentru a crea două e-mailuri de phishing direcționate către ținte identificate în urma investigațiilor noastre OSINT. Phishingul este atunci când comunicările online rău intenționate sunt utilizate pentru a obține informații personale.
Obiectivul acestui steag a fost să obținem un link în e-mailurile noastre. Din motive juridice și etice, conținutul și aspectul e-mailului nu pot fi divulgate.
La fel cum dau clic clienții termeni și condiții fără citire, am exploatat faptul că obiectivele noastre ar da clic pe un link de interes fără a verifica unde indica link-ul.
Infecția inițială a unui sistem poate fi obținută printr-un e-mail simplu care conține un link. Freddy Dezeure / C3S, Autorul a oferit
Într-un adevărat atac de phishing, după ce faceți clic pe link, sistemul computerului dvs. este compromis. În cazul nostru, ne-am trimis țintele către site-uri benigne pe care le-am creat.
Majoritatea echipelor de la școala de vară au reușit un atac de e-mail de phishing de succes. Unii au reușit chiar să transmită e-mailurile în întreaga companie.
Când angajații trimit e-mailuri în cadrul unei companii, factorul de încredere al e-mailului crește și este mai probabil să se facă clic pe linkurile conținute în acel e-mail. Freddy Dezeure / C3S, Autorul a oferit
Rezultatele noastre consolidează rezultatele cercetătorilor despre incapacitatea oamenilor de a distinge un e-mail compromis de unul de încredere. Un studiu realizat pe 117 persoane a constatat că în jur 42% din e-mailuri au fost clasificate incorect ca real sau fals de către receptor.
Phishing în viitor
Este probabil ca phishingul să apară numai mai sofisticat.
Cu un număr tot mai mare de dispozitive conectate la internet, lipsite de standardele de securitate de bază, cercetătorii sugerează că atacatorii de phishing vor căuta metode de deturnare a acestor dispozitive. Dar cum vor răspunde companiile?
Pe baza experienței mele din Tallinn, vom vedea companiile devenind mai transparente în modul în care se ocupă de atacurile cibernetice. După un masiv atac cibernetic în 2007, de exemplu, guvernul eston a reacționat în modul corect.
Mai degrabă decât să ofere publicitate și să acopere serviciile guvernamentale încet deconectând, au recunoscut de-a dreptul că au fost atacate de un agent străin necunoscut.
La fel, companiile vor trebui să admită când sunt atacate. Aceasta este singura modalitate de a restabili încrederea dintre ei și clienții lor și de a preveni răspândirea în continuare a unui atac de phishing.
Până atunci, te pot interesa software anti-phishing gratuit?
Despre autor
Richard Matthews, Doctorand, Universitatea din Adelaide
Acest articol este republicat de la Conversaţie sub licență Creative Commons. Citeste Articol original.
