Alle faller for falske e-poster: Lessons From Cybersecurity Summer School
Studenter infiltrerer en vertsdatamaskin under det vakte øye av en mentor under en fangeøvelse. Richard Matthews, Forfatter gitt. 

Hva har atomubåter, topphemmelige militærbaser og private virksomheter til felles?

De er alle sårbare for en enkel skive cheddar.

Dette var det klare resultatet av en "pen testing" -øvelse, ellers kjent som penetrasjonstesting, på årlige Cyber ​​Security Summer School i Tallinn, Estland i juli.

Jeg deltok sammen med en kontingent fra Australia for å presentere forskning på det tredje året Tverrfaglig nettverk for nettforskning. Vi fikk også sjansen til å besøke selskaper som Skype og Funderbeam, Samt Nato Collaborative Cyber ​​Defense Center of Excellence.

Temaet for årets skole var sosialteknikk - kunsten å manipulere mennesker til å røpe kritisk informasjon på nettet uten å innse det. Vi fokuserte på hvorfor sosialteknikk fungerer, hvordan man kan forhindre slike angrep og hvordan man kan samle digitale bevis etter en hendelse.

innerself abonnere grafikk

Høydepunktet av besøket vårt var deltakelse i en live fire capture the flag (CTF) cyber range-øvelse, der team gjennomførte sosialtekniske angrep for å teste en ekte bedrift.

Pen testing og phishing fra virkeligheten

Pen testing er et autorisert simulert angrep på sikkerheten til et fysisk eller digitalt system. Den har som mål å finne sårbarheter som kriminelle kan utnytte.

Slik testing spenner fra det digitale, der målet er å få tilgang til filer og private data, til det fysiske, der forskere faktisk prøver å komme inn i bygninger eller mellomrom i et selskap.

De fleste faller for falske e-poster: Leksjoner fra Cybersecurity Summer School
Studenter ved University of Adelaide deltok på en privat omvisning på Tallinn Skype-kontoret for en presentasjon om cybersikkerhet. Richard Matthews, Forfatter gitt

I løpet av sommerskolen hørte vi fra profesjonelle hackere og pennetestere fra hele verden. Historier ble fortalt om hvordan fysisk inntreden i sikre områder kan oppnås ved å bruke noe mer enn et stykke ost formet som et ID-kort og selvtillit.

Vi bruker disse leksjonene til praktisk bruk gjennom flere flagg - mål som teamene trengte å oppnå. Utfordringen vår var å vurdere et inngått selskap for å se hvor mottakelig det var for sosialtekniske angrep.

Fysisk testing var spesielt utenfor grensene under øvelsene våre. Etiske grenser ble også satt med selskapet for å sikre at vi opptrådte som cybersikkerhetsspesialister og ikke kriminelle.

OSINT: Open Source Intelligence

Det første flagget var å forske på selskapet.

Snarere enn å forske som du ville for et jobbintervju, lette vi etter potensielle sårbarheter innen offentlig tilgjengelig informasjon. Dette er kjent som open source intelligence (OSINT). Som for eksempel:

  • hvem er styret?
  • hvem er deres assistenter?
  • hvilke hendelser som skjer i selskapet?
  • vil de sannsynligvis være på ferie for øyeblikket?
  • hvilken ansattes kontaktinformasjon kan vi samle inn?

Vi var i stand til å svare på alle disse spørsmålene med ekstraordinær klarhet. Teamet vårt fant til og med direkte telefonnumre og veier inn i selskapet fra hendelser rapportert i media.

Nettfisken e-post

Denne informasjonen ble deretter brukt til å lage to phishing-e-poster rettet mot mål identifisert fra OSINT-undersøkelsene våre. Phishing er når ondsinnet online kommunikasjon brukes til å skaffe personlig informasjon.

Målet med dette flagget var å få en lenke i e-postene våre som ble klikket på. Av juridiske og etiske årsaker kan ikke e-postens innhold og utseende offentliggjøres.

Akkurat som kunder klikker på vilkår og betingelser uten å lese, utnyttet vi det faktum at målene våre ville klikke på en lenke av interesse uten å sjekke hvor lenken pekte.

De fleste faller for falske e-poster: Leksjoner fra Cybersecurity Summer SchoolInnledende infeksjon av et system kan fås ved en enkel e-post som inneholder en lenke. Freddy Dezeure / C3S, Forfatter gitt

Når du har klikket på koblingen, blir datasystemet ditt kompromittert i et virkelig phishing-angrep. I vårt tilfelle sendte vi målene våre til godartede nettsteder for å lage.

Flertallet av lagene på sommerskolen oppnådde et vellykket angrep via e-post. Noen klarte til og med å få e-posten deres videresendt i hele selskapet.

De fleste faller for falske e-poster: Leksjoner fra Cybersecurity Summer School Når ansatte videresender e-post i et selskap, øker tillitsfaktoren til e-posten, og det er mer sannsynlig at koblingene i e-posten blir klikket. Freddy Dezeure / C3S, Forfatter gitt

Resultatene våre forsterker funnene fra forskere om folks manglende evne til å skille en kompromittert e-post fra en pålitelig e-post. En studie av 117 mennesker fant det rundt 42% av e-postene ble feil klassifisert som enten ekte eller falsk av mottakeren.

Phishing i fremtiden

Phishing vil sannsynligvis bare få mer sofistikert.

Med et økende antall internett-tilkoblede enheter som mangler grunnleggende sikkerhetsstandarder, antyder forskere at phishing-angripere vil oppsøke metoder for å kapre disse enhetene. Men hvordan vil selskaper svare?

Basert på min erfaring i Tallinn, vil vi se selskaper bli mer transparente i hvordan de takler cyberangrep. Etter en massiv cyberangrep i 2007, for eksempel, den estiske regjeringen reagerte på riktig måte.

I stedet for å gi spinn til publikum og dekke over statlige tjenester som sakte går offline, innrømmet de direkte at de var under angrep fra en ukjent utenlandsk agent.

På samme måte må virksomheter innrømme når de er under angrep. Dette er den eneste måten å gjenopprette tillit mellom seg selv og sine kunder, og for å forhindre videre spredning av et phishing-angrep.

Inntil da, kan jeg interessere deg for gratis anti-phishing-programvare?Den Conversation

om forfatteren

Richard Matthews, PhD-kandidat, University of Adelaide

Denne artikkelen er publisert fra Den Conversation under en Creative Commons-lisens. Les opprinnelige artikkelen.