Ο καθένας πέφτει για ψεύτικα email: Μαθήματα από το θερινό σχολείο Cybersecurity
Οι μαθητές διεισδύουν σε έναν κεντρικό υπολογιστή κάτω από το προσεκτικό μάτι ενός μέντορα κατά τη σύλληψη της άσκησης της σημαίας. Ρίτσαρντ Μάθιου, Παρέχεται συντάκτης. 

Τι κοινό έχουν τα πυρηνικά υποβρύχια, οι μυστικές στρατιωτικές βάσεις και οι ιδιωτικές επιχειρήσεις;

Είναι όλοι ευάλωτοι σε ένα απλό κομμάτι τσένταρ.

Αυτό ήταν το σαφές αποτέλεσμα μιας άσκησης «δοκιμής πένας», αλλιώς γνωστή ως δοκιμή διείσδυσης, στο ετήσιο θερινό σχολείο ασφάλειας στον κυβερνοχώρο στο Ταλίν της Εσθονίας τον Ιούλιο.

Παρευρέθηκα, μαζί με ένα σώμα από την Αυστραλία, για να παρουσιάσω έρευνα στο τρίτο ετήσιο Εργαστήριο διεπιστημονικής έρευνας στον κυβερνοχώρο. Έχουμε επίσης την ευκαιρία να επισκεφτούμε εταιρείες όπως Skype και Φοντέρμπιμ, Καθώς και το Συνεργατικό Κέντρο Αριστείας στον κυβερνοχώρο της ΝΑΤΟ.

Το θέμα του φετινού σχολείου ήταν η κοινωνική μηχανική - η τέχνη της χειραγώγησης των ανθρώπων για να αποκαλύπτουν κρίσιμες πληροφορίες στο διαδίκτυο χωρίς να τις συνειδητοποιούν. Εστιάσαμε στο γιατί λειτουργεί η κοινωνική μηχανική, πώς να αποτρέψουμε τέτοιες επιθέσεις και πώς να συλλέξουμε ψηφιακά στοιχεία μετά από ένα συμβάν.

εσωτερικά εγγραφείτε γραφικό

Το αποκορύφωμα της επίσκεψής μας ήταν η συμμετοχή σε μια ζωντανή άσκηση στον κυβερνοχώρο της σημαίας (CTF), όπου οι ομάδες πραγματοποίησαν επιθέσεις κοινωνικής μηχανικής για να δοκιμάσουν μια πραγματική εταιρεία.

Δοκιμή στυλό και ηλεκτρονικό ψάρεμα

Το Pen testing είναι μια εγκεκριμένη προσομοιωμένη επίθεση στην ασφάλεια ενός φυσικού ή ψηφιακού συστήματος. Στόχος είναι να βρει ευπάθειες που οι εγκληματίες μπορούν να εκμεταλλευτούν.

Τέτοιες δοκιμές κυμαίνονται από το ψηφιακό, όπου ο στόχος είναι η πρόσβαση σε αρχεία και ιδιωτικά δεδομένα, έως το φυσικό, όπου οι ερευνητές προσπαθούν πραγματικά να εισέλθουν σε κτίρια ή χώρους μέσα σε μια εταιρεία.

Οι περισσότεροι άνθρωποι πέφτουν για ψεύτικα email: Μαθήματα από το θερινό σχολείο Cybersecurity
Οι φοιτητές του Πανεπιστημίου της Αδελαΐδας παρακολούθησαν μια ιδιωτική περιοδεία στο γραφείο του Ταλίν Skype για παρουσίαση σχετικά με την ασφάλεια στον κυβερνοχώρο. Ρίτσαρντ Μάθιου, Συγγραφέας παρέχεται

Κατά τη διάρκεια του θερινού σχολείου, ακούσαμε από επαγγελματίες χάκερ και δοκιμαστές από όλο τον κόσμο. Οι ιστορίες ειπώθηκαν για το πώς μπορεί να επιτευχθεί η φυσική είσοδος σε ασφαλείς περιοχές χρησιμοποιώντας τίποτα περισσότερο από ένα κομμάτι τυριού σε σχήμα ταυτότητας και εμπιστοσύνης.

Στη συνέχεια, θέσαμε αυτά τα μαθήματα σε πρακτική χρήση μέσω πολλών σημαιών - στόχων που χρειάστηκαν οι ομάδες για να επιτύχουν. Η πρόκληση μας ήταν να αξιολογήσουμε μια συμβαλλόμενη εταιρεία για να δούμε πόσο ευαίσθητη ήταν στις επιθέσεις κοινωνικής μηχανικής.

Οι φυσικές δοκιμές ήταν ειδικά εκτός ορίων κατά τη διάρκεια των ασκήσεών μας. Ηθικά όρια καθορίστηκαν επίσης με την εταιρεία για να διασφαλίσουμε ότι ενεργούσαμε ως ειδικοί ασφάλειας στον κυβερνοχώρο και όχι εγκληματίες.

OSINT: Νοημοσύνη ανοιχτού κώδικα

Η πρώτη σημαία ήταν η έρευνα της εταιρείας.

Αντί να ερευνήσουμε όπως θα κάνατε για μια συνέντευξη εργασίας, αναζητήσαμε πιθανές ευπάθειες σε διαθέσιμες στο κοινό πληροφορίες. Αυτό είναι γνωστό ως νοημοσύνη ανοιχτού κώδικα (OSINT). Οπως:

  • ποιοι είναι το διοικητικό συμβούλιο;
  • ποιοι είναι οι βοηθοί τους;
  • τι γεγονότα συμβαίνουν στην εταιρεία;
  • είναι πιθανό να είναι διακοπές αυτή τη στιγμή;
  • ποια στοιχεία επικοινωνίας των εργαζομένων μπορούμε να συλλέξουμε;

Καταφέραμε να απαντήσουμε σε όλες αυτές τις ερωτήσεις με εξαιρετική σαφήνεια. Η ομάδα μας βρήκε ακόμη και απευθείας αριθμούς τηλεφώνου και τρόπους στην εταιρεία από εκδηλώσεις που αναφέρονται στα μέσα ενημέρωσης.

Το email ηλεκτρονικού "ψαρέματος"

Αυτές οι πληροφορίες χρησιμοποιήθηκαν στη συνέχεια για τη δημιουργία δύο ηλεκτρονικών μηνυμάτων ηλεκτρονικού "ψαρέματος" που απευθύνονταν σε στόχους που εντοπίστηκαν από τις έρευνες OSINT. Το ηλεκτρονικό ψάρεμα (phishing) είναι όταν οι κακόβουλες διαδικτυακές επικοινωνίες χρησιμοποιούνται για τη λήψη προσωπικών πληροφοριών.

Ο σκοπός αυτής της σημαίας ήταν να πάρει έναν σύνδεσμο στα email μας στα οποία έγινε κλικ. Για νομικούς και ηθικούς λόγους, το περιεχόμενο και η εμφάνιση του email δεν μπορούν να αποκαλυφθούν.

Ακριβώς όπως κάνουν κλικ οι πελάτες Όροι και προϋποθέσεις χωρίς ανάγνωση, εκμεταλλευτήκαμε το γεγονός ότι οι στόχοι μας θα έκαναν κλικ σε έναν σύνδεσμο ενδιαφέροντος χωρίς να ελέγξουμε πού οδηγούσε ο σύνδεσμος.

Οι περισσότεροι άνθρωποι πέφτουν για ψεύτικα email: Μαθήματα από το θερινό σχολείο CybersecurityΗ αρχική μόλυνση ενός συστήματος μπορεί να ληφθεί με ένα απλό email που περιέχει έναν σύνδεσμο. Freddy Dezeure / C3S, Συγγραφέας παρέχεται

Σε μια πραγματική επίθεση ηλεκτρονικού ψαρέματος, μόλις κάνετε κλικ στον σύνδεσμο, το σύστημα του υπολογιστή σας είναι σε κίνδυνο. Στην περίπτωσή μας, στείλαμε τους στόχους μας σε καλοήθεις ιστότοπους της παραγωγής μας.

Η πλειοψηφία των ομάδων στο θερινό σχολείο πέτυχε μια επιτυχή επίθεση ηλεκτρονικού "ψαρέματος". Μερικοί κατάφεραν ακόμη να προωθήσουν το email τους σε όλη την εταιρεία.

Οι περισσότεροι άνθρωποι πέφτουν για ψεύτικα email: Μαθήματα από το θερινό σχολείο Cybersecurity Όταν οι υπάλληλοι προωθούν μηνύματα ηλεκτρονικού ταχυδρομείου σε μια εταιρεία, ο παράγοντας εμπιστοσύνης του email αυξάνεται και οι σύνδεσμοι που περιέχονται σε αυτό το email είναι πιο πιθανό να κάνουν κλικ. Freddy Dezeure / C3S, Συγγραφέας παρέχεται

Τα αποτελέσματά μας ενισχύουν τα ευρήματα των ερευνητών σχετικά με την αδυναμία των ανθρώπων να διακρίνουν ένα συμβιβασμένο email από ένα αξιόπιστο. Μία μελέτη 117 ατόμων διαπίστωσε ότι περίπου Το 42% των μηνυμάτων ηλεκτρονικού ταχυδρομείου ταξινομήθηκαν λανθασμένα είτε ως πραγματικό είτε ψεύτικο από τον παραλήπτη.

Το ηλεκτρονικό ψάρεμα στο μέλλον

Το ηλεκτρονικό ψάρεμα είναι πιθανό να πάρει μόνο πιο εξελιγμένο.

Με έναν αυξανόμενο αριθμό συσκευών συνδεδεμένων στο Διαδίκτυο που δεν διαθέτουν βασικά πρότυπα ασφαλείας, οι ερευνητές προτείνουν ότι οι εισβολείς ηλεκτρονικού ψαρέματος θα αναζητήσουν μεθόδους πειρατείας αυτών των συσκευών. Αλλά πώς θα ανταποκριθούν οι εταιρείες;

Με βάση την εμπειρία μου στο Ταλίν, θα δούμε ότι οι εταιρείες γίνονται πιο διαφανείς στον τρόπο αντιμετώπισης επιθέσεων στον κυβερνοχώρο. Μετά από ένα τεράστιο επίθεση στον κυβερνοχώρο το 2007, για παράδειγμα, η εσθονική κυβέρνηση αντέδρασε με τον σωστό τρόπο.

Αντί να παρέχουν περιστροφή στο κοινό και να καλύψουν τις κυβερνητικές υπηρεσίες αργά εκτός σύνδεσης, παραδέχτηκαν εντελώς ότι δέχτηκαν επίθεση από έναν άγνωστο ξένο πράκτορα.

Ομοίως, οι επιχειρήσεις θα πρέπει να παραδεχτούν όταν δέχονται επίθεση. Αυτός είναι ο μόνος τρόπος να αποκατασταθεί η εμπιστοσύνη μεταξύ τους και των πελατών τους και να αποφευχθεί η περαιτέρω εξάπλωση μιας επίθεσης ηλεκτρονικού ψαρέματος.

Μέχρι τότε, μπορώ να σας ενδιαφέρω δωρεάν λογισμικό anti-phishing;Η Συνομιλία

Σχετικά με το Συγγραφέας

Ρίτσαρντ Μάθιου, Υποψήφιος Διδάκτορας, Πανεπιστήμιο της Αδελαΐδας

Αυτό το άρθρο αναδημοσιεύθηκε από το Η Συνομιλία υπό την άδεια Creative Commons. Διαβάστε το αρχικό άρθρο.