Uczniowie infiltrują komputer hosta pod czujnym okiem mentora podczas ćwiczenia „Zdobądź flagę”. Richard Matthews, Autor podał. 

Co mają wspólnego nuklearne okręty podwodne, ściśle tajne bazy wojskowe i prywatne firmy?

Wszystkie są podatne na prosty plasterek sera cheddar.

Był to wyraźny wynik „testów pisemnych”, znanych również jako testy penetracyjne, w coroczna Letnia Szkoła Cyberbezpieczeństwa w Tallinie w Estonii w lipcu.

Uczestniczyłem wraz z kontyngentem z Australii, aby zaprezentować badania na trzecim roczniku Interdyscyplinarne warsztaty Cyber ​​Research. Mieliśmy również okazję odwiedzić takie firmy jak Skype i belka fundamentowa, Jak również Centrum Doskonałości Współpracy w zakresie Cyberobrony NATO Defense.

Tematem tegorocznej szkoły była socjotechnika – sztuka manipulowania ludźmi w celu ujawnienia w Internecie krytycznych informacji, nie zdając sobie z tego sprawy. Skupiliśmy się na tym, dlaczego socjotechnika działa, jak zapobiegać takim atakom i jak gromadzić cyfrowe dowody po incydencie.

Punktem kulminacyjnym naszej wizyty był udział w ćwiczeniu na żywo z zakresu cyberprzechwytywania flagi ogniowej (CTF), podczas którego zespoły przeprowadzały ataki socjotechniczne w celu przetestowania prawdziwej firmy.

Testowanie pióra i phishing w świecie rzeczywistym real

Testy penetracyjne to autoryzowany symulowany atak na bezpieczeństwo systemu fizycznego lub cyfrowego. Ma na celu znalezienie luk, które mogą wykorzystać przestępcy.

Takie testy rozciągają się od cyfrowych, gdzie celem jest dostęp do plików i prywatnych danych, po fizyczne, gdzie badacze faktycznie próbują wejść do budynków lub przestrzeni w firmie.

Studenci Uniwersytetu w Adelajdzie wzięli udział w prywatnej wycieczce po biurze Skype w Tallinie, gdzie odbyła się prezentacja na temat cyberbezpieczeństwa. Richard Matthews, Autor pod warunkiem

Podczas letniej szkoły usłyszeliśmy od profesjonalnych hakerów i testerów pióra z całego świata. Opowiadano historie o tym, jak fizyczne wejście do bezpiecznych obszarów można uzyskać, używając jedynie kawałka sera w kształcie dowodu osobistego i pewności siebie.

Następnie wykorzystaliśmy te lekcje w praktyce za pomocą kilku flag – celów, które zespoły musiały osiągnąć. Naszym wyzwaniem była ocena zakontraktowanej firmy pod kątem jej podatności na ataki socjotechniczne.

Testy fizyczne były szczególnie niedostępne podczas naszych ćwiczeń. Firma ustaliła również granice etyczne, aby upewnić się, że działamy jako specjaliści od cyberbezpieczeństwa, a nie przestępcy.

OSINT: Inteligencja Open Source

Pierwszą flagą było zbadanie firmy.

Zamiast szukać informacji na temat rozmowy kwalifikacyjnej, szukaliśmy potencjalnych luk w publicznie dostępnych informacjach. Jest to znane jako inteligencja open source (OSINT). Jak na przykład:

• kim jest rada dyrektorów?
• kim są ich asystenci?
• jakie wydarzenia dzieją się w firmie?
• czy są w tej chwili na wakacjach?
• jakie dane kontaktowe pracowników możemy zbierać?

Na wszystkie te pytania byliśmy w stanie odpowiedzieć z niezwykłą jasnością. Nasz zespół znalazł nawet bezpośrednie numery telefonów i drogi do firmy na podstawie wydarzeń relacjonowanych w mediach.

E-mail phishingowy

Informacje te zostały następnie wykorzystane do stworzenia dwóch e-maili phishingowych skierowanych do celów zidentyfikowanych podczas naszych dochodzeń OSINT. Phishing ma miejsce wtedy, gdy złośliwa komunikacja online jest wykorzystywana do uzyskania danych osobowych.

Celem tej flagi było uzyskanie linku w klikniętych e-mailach. Ze względów prawnych i etycznych treść i wygląd e-maila nie mogą zostać ujawnione.

Tak jak klienci klikają regulamin bez czytania, wykorzystaliśmy fakt, że nasze cele klikały interesujący link bez sprawdzania, gdzie ten link wskazuje.

Początkową infekcję systemu można uzyskać za pomocą prostego e-maila zawierającego odsyłacz. Freddy’ego Dezeure’a/C3S, Autor pod warunkiem

W prawdziwym ataku phishingowym po kliknięciu łącza komputer zostaje naruszony. W naszym przypadku wysłaliśmy nasze cele do łagodnych witryn, które stworzyliśmy.

Większość zespołów ze szkoły letniej przeprowadziła udany atak phishingowy na wiadomości e-mail. Niektórym udało się nawet przekazać e-mail w całej firmie.

Gdy pracownicy przekazują wiadomości e-mail w firmie, współczynnik zaufania wiadomości e-mail wzrasta, a łącza zawarte w tej wiadomości e-mail są chętniej klikane. Freddy’ego Dezeure’a/C3S, Autor pod warunkiem

Nasze wyniki potwierdzają odkrycia badaczy dotyczące niezdolności ludzi do odróżnienia skompromitowanej wiadomości e-mail od wiadomości godnej zaufania. Jedno z badań 117 osób wykazało, że około 42% e-maili zostało nieprawidłowo sklasyfikowanych jako prawdziwe lub fałszywe przez odbiorcę.

Phishing w przyszłości

Phishing prawdopodobnie dostanie tylko get bardziej wyrafinowany.

W związku z rosnącą liczbą urządzeń podłączonych do Internetu, którym brakuje podstawowych standardów bezpieczeństwa, naukowcy sugerują, że osoby atakujące phishing będą szukać metod porwania tych urządzeń. Ale jak zareagują firmy?

Opierając się na moim doświadczeniu w Tallinie, zobaczymy, że firmy stają się bardziej przejrzyste w radzeniu sobie z cyberatakami. Po masywnym cyberatak w 2007 rokuna przykład estoński rząd zareagował we właściwy sposób.

Zamiast dostarczać opinii publicznej informacji i ukrywać, że służby rządowe powoli przestają działać, przyznali wprost, że zostali zaatakowani przez nieznanego zagranicznego agenta.

Podobnie firmy będą musiały przyznać, że są atakowane. Jest to jedyny sposób na przywrócenie zaufania między sobą a klientami oraz zapobieżenie dalszemu rozprzestrzenianiu się ataku phishingowego.

Czy do tego czasu mogę Cię zainteresować? darmowe oprogramowanie antyphishingowe?

O autorze

Richard Matthews, Doktorant, University of Adelaide

Artykuł został opublikowany ponownie Konwersacje na licencji Creative Commons. Przeczytać oryginalny artykuł.