Студенты проникают в главный компьютер под пристальным взглядом наставника во время захвата флага. Ричард Мэтьюз, Автор предоставил. 

Что общего между атомными подводными лодками, сверхсекретными военными базами и частным бизнесом?

Все они уязвимы перед простым кусочком чеддера.

Это явный результат «ручного тестирования», которое также называется тестированием на проникновение, на ежегодная летняя школа кибербезопасности в Таллине, Эстония в июле.

Я присутствовал вместе с контингентом из Австралии, чтобы представить исследование на третьем ежегодном Междисциплинарный семинар по кибер-исследованиям, Мы также получили возможность посетить такие компании, как Skype и Funderbeam, А также Центр передового опыта совместной киберзащиты НАТО.

Темой школы этого года была социальная инженерия - искусство манипулирования людьми, чтобы разглашать важную информацию в Интернете, не осознавая этого. Мы сосредоточились на том, почему социальная инженерия работает, как предотвратить такие атаки и как собрать цифровые доказательства после инцидента.

Основным моментом нашего визита стало участие в кибер-дистанционном учении по стрельбе с использованием флага огня (CTF), где команды проводили атаки по социальной инженерии, чтобы протестировать реальную компанию.

Ручное тестирование и реальный фишинг

Ручное тестирование - это авторизованная симуляция атаки на физическую или цифровую систему. Он направлен на поиск уязвимостей, которые могут использовать преступники.

Такое тестирование варьируется от цифрового, где целью является доступ к файлам и частным данным, до физического, где исследователи фактически пытаются проникнуть в здания или помещения внутри компании.

Студенты Аделаидского университета посетили частную экскурсию по офису Skype в Таллинне для презентации по кибербезопасности. Ричард Мэтьюз, Автор условии

Во время летней школы мы слышали от профессиональных хакеров и тестеров со всего мира. Были рассказаны истории о том, как физический вход в безопасные районы можно получить, используя всего лишь кусок сыра в форме удостоверения личности и уверенности.

Затем мы применяем эти уроки на практике с помощью нескольких флагов - целей, которые должны были достигнуть команды. Наша задача состояла в том, чтобы оценить контрактную компанию, чтобы понять, насколько она подвержена атакам социальной инженерии.

Физические испытания были специально запрещены во время наших упражнений. Компания также установила этические границы, чтобы гарантировать, что мы действуем как специалисты по кибербезопасности, а не как преступники.

OSINT: открытый исходный код

Первым флагом было исследование компании.

Вместо того чтобы исследовать, как вы бы проходили собеседование, мы искали потенциальные уязвимости в общедоступной информации. Это известно как интеллект с открытым исходным кодом (OSINT). Такие как:

• кто такой совет директоров?
• кто их помощники?
• какие события происходят в компании?
• они могут быть в отпуске в данный момент?
• какую контактную информацию сотрудника мы можем собрать?

Мы смогли ответить на все эти вопросы с необычайной ясностью. Наша команда даже нашла прямые телефонные номера и способы проникновения в компанию из событий, о которых сообщалось в СМИ.

Фишинговая электронная почта

Затем эта информация использовалась для создания двух фишинговых писем, направленных на цели, выявленные в результате наших исследований OSINT. Фишинг - это когда злонамеренные онлайн-коммуникации используются для получения личной информации.

Объект этого флага состоял в том, чтобы получить ссылку в наших электронных письмах, на которые нажимали. По юридическим и этическим причинам содержание и внешний вид электронной почты не подлежат разглашению.

Так же, как клиенты нажимают на условия без чтенияМы использовали тот факт, что наши цели нажимали на интересующую ссылку, не проверяя, куда указывает эта ссылка.

Первоначальное заражение системы может быть получено простым электронным письмом, содержащим ссылку. Фредди Дезеур / C3S, Автор условии

В реальной фишинг-атаке, когда вы нажмете на ссылку, ваша компьютерная система будет взломана. В нашем случае мы отправили наши мишени на доброкачественные сайты нашего производства.

Большинство команд в летней школе успешно провели фишинговую атаку по электронной почте. Некоторым даже удалось переслать свою электронную почту по всей компании.

Когда сотрудники пересылают электронные письма внутри компании, коэффициент доверия к электронной почте увеличивается, и ссылки, содержащиеся в этом письме, с большей вероятностью будут щелкаться. Фредди Дезеур / C3S, Автор условии

Наши результаты подтверждают выводы исследователей о неспособности людей отличить скомпрометированную электронную почту от заслуживающей доверия. Одно исследование людей 117 обнаружило, что вокруг 42% писем были неправильно классифицированы как реальный или фальшивый получателем.

Фишинг в будущем

Фишинг может получить только более сложный.

Из-за растущего числа подключенных к Интернету устройств, не имеющих базовых стандартов безопасности, исследователи предполагают, что фишинговые злоумышленники будут искать способы взлома этих устройств. Но как компании будут реагировать?

Основываясь на моем опыте в Таллине, мы увидим, как компании становятся более прозрачными в том, как они справляются с кибератаками. После массивного кибератака в 2007Например, правительство Эстонии отреагировало правильно.

Вместо того, чтобы раскрутить публику и прикрыть правительственные службы, медленно выходящие из строя, они прямо признали, что подверглись нападению со стороны неизвестного иностранного агента.

Аналогичным образом, предприятия должны будут признать, когда на них нападают. Это единственный способ восстановить доверие между собой и своими клиентами и предотвратить дальнейшее распространение фишинг-атаки.

До тех пор я могу заинтересовать вас бесплатное антифишинговое программное обеспечение?

Об авторе

Ричард Мэтьюз, Кандидат PhD, Университет Аделаиды

Эта статья переиздана из Беседа под лицензией Creative Commons. Прочтите оригинал статьи.