Kebanyakan Orang Jatuh Untuk E-mel Fake: Pelajaran Dari Sekolah Summer Cybersecurity

Semua Orang Menelan Untuk E-mel Fake: Pelajaran Dari Sekolah Summer Cybersecurity
Pelajar menyusup komputer tuan rumah di bawah pengawasan seorang mentor semasa menangkap latihan bendera. Richard Matthews, Pengarang disediakan.

Apakah kapal selam nuklear, pangkalan tentera rahsia dan perniagaan swasta mempunyai persamaan?

Mereka semua terdedah kepada cheddar yang mudah.

Ini adalah hasil jelas daripada "ujian pen" latihan, atau dikenali sebagai ujian penembusan, di Sekolah Musim Sejuk Keselamatan Siber tahunan di Tallinn, Estonia pada bulan Julai.

Saya menghadiri, bersama dengan kontinjen dari Australia, untuk membentangkan penyelidikan pada tahun ketiga Bengkel Penyelidikan Siber Interdisipliner. Kami juga berpeluang melawat syarikat seperti Skype dan Funderbeam, Dan juga NATO Pusat Kecemerlangan Siber Pertahanan Siber.

Tema sekolah tahun ini adalah kejuruteraan sosial - seni memanipulasi orang untuk mendedahkan maklumat penting dalam talian tanpa menyedari. Kami memberi tumpuan kepada mengapa kerja kejuruteraan sosial berfungsi, bagaimana untuk mencegah serangan tersebut dan bagaimana untuk mengumpul bukti digital selepas kejadian.

Kemuncak lawatan kami adalah penyertaan dalam kebakaran secara langsung menangkap latihan siber (CTF) siber, di mana pasukan melakukan serangan kejuruteraan sosial untuk menguji sebuah syarikat sebenar.

Ujian pen dan phishing dunia sebenar

Ujian pen adalah serangan simulasi yang dibenarkan pada keselamatan sistem fizikal atau digital. Ia bertujuan mencari kerentanan yang boleh dieksploitasi oleh penjenayah.

Pengujian tersebut adalah dari digital, di mana matlamatnya mengakses fail dan data peribadi, kepada fizikal, di mana para penyelidik sebenarnya cuba memasuki bangunan atau ruang dalam sebuah syarikat.

Kebanyakan Orang Jatuh Untuk E-mel Fake: Pelajaran Dari Sekolah Summer Cybersecurity
Pelajar Universiti Adelaide menghadiri lawatan peribadi di pejabat Skype Tallinn untuk persembahan mengenai keselamatan siber.
Richard Matthews, Pengarang disediakan

Semasa sekolah musim panas, kami mendengar dari penggodam profesional dan penguji pena dari seluruh dunia. Cerita diberitahu tentang bagaimana kemasukan fizikal ke kawasan selamat boleh diperolehi menggunakan apa-apa lebih daripada sepotong keju berbentuk seperti kad pengenalan dan keyakinan.

Kami kemudian meletakkan pelajaran ini untuk kegunaan praktikal menerusi beberapa bendera - matlamat yang diperlukan oleh pasukan. Cabaran kami adalah untuk menilai syarikat yang dikontrak untuk melihat bagaimana mudahnya serangan kejuruteraan sosial.

Ujian fizikal secara khusus tidak terhad semasa latihan kita. Batasan etika juga ditetapkan dengan syarikat untuk memastikan kami bertindak sebagai pakar keselamatan siber dan bukan penjenayah.

OSINT: Open Source Intelligence

Bendera pertama ialah menyelidik syarikat itu.

Daripada meneliti seperti yang anda lakukan untuk temu duga kerja, kami mencari kemungkinan kelemahan dalam maklumat yang tersedia secara terbuka. Ini dikenali sebagai kecerdasan sumber terbuka (OSINT). Seperti:

  • yang merupakan lembaga pengarah?
  • yang pembantu mereka?
  • apa peristiwa yang berlaku di syarikat itu?
  • adakah mereka mungkin bercuti pada masa ini?
  • maklumat hubungan pekerja apa yang boleh kita kumpulkan?

Kami dapat menjawab semua soalan dengan kejelasan yang luar biasa. Pasukan kami juga mendapati nombor telefon terus dan cara masuk ke syarikat dari peristiwa yang dilaporkan dalam media.

E-mel phishing

Maklumat ini kemudiannya digunakan untuk membuat dua e-mel phishing yang diarahkan pada sasaran yang dikenalpasti dari penyelidikan OSINT kami. Phishing adalah apabila komunikasi dalam talian berniat jahat digunakan untuk mendapatkan maklumat peribadi.

Objek bendera ini adalah untuk mendapatkan pautan dalam e-mel kami yang diklik. Atas alasan undang-undang dan etika, kandungan dan kemunculan e-mel tidak boleh didedahkan.

Sama seperti pelanggan klik pada terma dan syarat tanpa membaca, kami mengeksploitasi hakikat bahawa sasaran kami akan mengklik pada pautan kepentingan tanpa memeriksa di mana pautan menunjuk.

Kebanyakan Orang Jatuh Untuk E-mel Fake: Pelajaran Dari Sekolah Summer CybersecurityJangkitan awal sistem boleh didapati melalui e-mel mudah yang mengandungi pautan. Freddy Dezeure / C3S, Pengarang disediakan

Dalam serangan phishing sebenar, sebaik sahaja anda mengklik pada pautan, sistem komputer anda dikompromikan. Dalam kes kami, kami menghantar sasaran kami ke tapak yang tidak baik yang kami buat.

Majoriti pasukan di sekolah musim panas mencapai serangan email phishing yang berjaya. Ada juga yang berjaya menghantar e-mel mereka ke seluruh syarikat.

Kebanyakan Orang Jatuh Untuk E-mel Fake: Pelajaran Dari Sekolah Summer Cybersecurity Apabila e-mel pekerja ke hadapan dalam sebuah syarikat faktor kepercayaan peningkatan e-mel dan pautan yang terkandung dalam e-mel tersebut lebih cenderung diklik. Freddy Dezeure / C3S, Pengarang disediakan

Hasil kami memperkuat penemuan penyelidik tentang ketidakupayaan orang untuk membezakan e-mel yang dikompromi daripada yang boleh dipercayai. Satu kajian orang 117 mendapati bahawa sekitar 42% e-mel dikelaskan dengan salah sama ada nyata atau palsu oleh penerima.

Phishing pada masa akan datang

Phishing mungkin mendapat hanya lebih canggih.

Dengan peningkatan jumlah peranti yang berkaitan dengan internet yang tidak mempunyai standard keselamatan asas, penyelidik mencadangkan bahawa penyerang phishing akan mencari kaedah merampas peranti ini. Tetapi bagaimanakah syarikat akan bertindak balas?

Berdasarkan pengalaman saya di Tallinn, kita akan melihat syarikat menjadi lebih telus dalam bagaimana mereka menangani serangan siber. Selepas yang besar serangan siber di 2007, contohnya, kerajaan Estonia bertindak balas dengan cara yang betul.

Daripada menyediakan spin kepada orang awam dan menutupi perkhidmatan kerajaan secara perlahan-lahan di luar talian, mereka mengakui secara langsung mereka diserang oleh agen asing yang tidak diketahui.

Begitu juga, perniagaan perlu mengakui apabila mereka sedang diserang. Inilah satu-satunya cara untuk membina semula kepercayaan antara mereka dan pelanggan mereka, dan untuk mencegah penyebaran serangan phishing lagi.

Sehingga itu, saya boleh menarik minat anda perisian anti-phishing percuma?Perbualan

Mengenai Penulis

Richard Matthews, Calon Phd, University of Adelaide

Artikel ini diterbitkan semula daripada Perbualan di bawah lesen Creative Commons. Membaca artikel asal.

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

ikuti InnerSelf pada

icon-facebooktwitter-iconrss-icon

Dapatkan Yang Terbaru Dengan E-mel

{Emailcloak = mati}