Ang bawat tao'y Bumagsak Para sa Mga Pekeng Email: Mga Aralin Mula sa School sa Tag-init ng Cybersecurity
Ang mga mag-aaral ay pumapasok sa isang computer ng host sa ilalim ng maingat na mata ng isang mentor sa panahon ng pagkuha ng ehersisyo sa watawat. Richard Matthews, May ibinigay na awtor. 

Ano ang pangkaraniwan ng mga nukleyar na submarino, nangungunang lihim na base ng militar at pribadong mga negosyo?

Lahat sila ay mahina laban sa isang simpleng hiwa ng cheddar.

Ito ang malinaw na resulta ng isang "pagsusulit sa pen" na ehersisyo, kung hindi man kilala bilang pagtagos sa pagsubok, sa taunang paaralan ng Cyber ​​Security Summer sa Tallinn, Estonia noong Hulyo.

Dumalo ako, kasama ang isang contingent mula sa Australia, upang mag-present ng pananaliksik sa ikatlong taunang Pagwawasto ng Interdisciplinary Cyber ​​Research. Nakakuha din kami ng pagkakataon na bisitahin ang mga kumpanya tulad ng Skype at Funderbeam, Pati na rin ang NATO Collaborative Cyber ​​Defense Center ng Kahusayan.

Ang tema ng paaralan ngayong taon ay panlipunang engineering - ang sining ng pagmamanipula sa mga tao upang ibunyag ang kritikal na impormasyon sa online nang hindi napagtanto ito. Nakatuon kami sa kung bakit gumagana ang social engineering, kung paano maiwasan ang naturang pag-atake at kung paano makakalap ng mga digital na ebidensya pagkatapos ng isang insidente.

innerself subscribe graphic

Ang pinakatampok ng aming pagbisita ay ang paglahok sa isang live na sunog na makunan ang flag (ehersisyo) ng cyber range ehersisyo, kung saan ang mga koponan ay nagsagawa ng mga pag-atake sa social engineering sa pagsusulit ng isang tunay na kumpanya.

Pagsubok ng pen at tunay na phishing sa mundo

Ang pagsubok sa pen ay isang awtorisadong simulate na pag-atake sa seguridad ng isang pisikal o digital na sistema. Nilalayon nitong maghanap ng mga kahinaan na maaaring samantalahin ng mga kriminal.

Ang nasabing pagsubok ay mula sa digital, kung saan ang layunin ay pag-access sa mga file at pribadong data, sa pisikal, kung saan tinangka ng mga mananaliksik na pumasok sa mga gusali o puwang sa loob ng isang kumpanya.

Karamihan sa mga Tao ay Bumagsak Para sa Mga Pekeng Email: Mga Aralin Mula sa School sa Tag-init ng Cybersecurity
Ang mga mag-aaral sa University of Adelaide ay dumalo sa isang pribadong paglilibot ng tanggapan ng Tallinn Skype para sa isang pagtatanghal sa seguridad sa cyber. Richard Matthews, Author ibinigay

Sa panahon ng paaralan ng tag-araw, narinig namin mula sa mga propesyonal na hacker at pen testers mula sa buong mundo. Ang mga kwento ay sinabihan tungkol sa kung paano makuha ang pisikal na pagpasok upang ma-secure ang mga lugar gamit ang hindi hihigit sa isang piraso ng keso na hugis tulad ng isang ID card at kumpiyansa.

Pagkatapos ay inilalagay namin ang mga araling ito sa praktikal na paggamit sa pamamagitan ng maraming mga watawat - mga layunin na kinakailangan upang makamit. Ang hamon namin ay suriin ang isang kinontrata na kumpanya upang makita kung ano ang madaling kapitan sa mga pag-atake sa panlipunan.

Ang pisikal na pagsubok ay partikular na natapos ang mga limitasyon sa panahon ng aming ehersisyo. Ang mga etikal na hangganan ay itinakda din sa kumpanya upang matiyak na kumikilos kami bilang mga espesyalista sa seguridad sa cyber at hindi mga kriminal.

OSINT: Bukas na Intelligence ng Source

Ang unang watawat ay upang magsaliksik sa kumpanya.

Sa halip na magsaliksik tulad ng gagawin mo para sa isang pakikipanayam sa trabaho, naghanap kami ng mga potensyal na kahinaan sa loob ng magagamit na impormasyon sa publiko. Ito ay kilala bilang open source intelligence (OSINT). Tulad ng:

  • sino ang board of director?
  • sino ang kanilang katulong?
  • anong mga kaganapan ang nangyayari sa kumpanya?
  • malamang na sila ay nasa piyesta opisyal?
  • anong impormasyon sa pakikipag-ugnay ng empleyado ang maaari naming kolektahin?

Nasagot namin ang lahat ng mga katanungang ito nang may pambihirang kalinawan. Ang aming koponan ay natagpuan ang mga direktang numero ng telepono at mga paraan sa kumpanya mula sa mga kaganapan na iniulat sa media.

Ang phishing email

Ang impormasyong ito ay ginamit upang lumikha ng dalawang email sa phishing na nakadirekta sa mga target na natukoy mula sa aming mga pagsisiyasat sa OSINT. Ang Phishing ay kapag ang mga nakakahamak na komunikasyon sa online ay ginagamit upang makakuha ng personal na impormasyon.

Ang object ng watawat na ito ay upang makakuha ng isang link sa loob ng aming mga email na nai-click sa. Para sa mga ligal at etikal na kadahilanan, ang nilalaman at hitsura ng email ay hindi maaaring isiwalat.

Tulad ng pag-click sa mga customer mga term at kundisyon nang hindi binabasa, sinamantala namin ang katotohanan na ang aming mga target ay mag-click sa isang link ng interes nang hindi sinusuri kung saan tinuturo ang link.

Karamihan sa mga Tao ay Bumagsak Para sa Mga Pekeng Email: Mga Aralin Mula sa School sa Tag-init ng CybersecurityAng paunang impeksyon ng isang sistema ay maaaring makuha ng isang simpleng email na naglalaman ng isang link. Freddy Dezeure / C3S, Author ibinigay

Sa isang tunay na pag-atake sa phishing, kapag nag-click ka sa link, ang iyong computer system ay nakompromiso. Sa aming kaso, ipinadala namin ang aming mga target sa mga benign na site ng aming paggawa.

Ang karamihan ng mga koponan sa paaralan ng tag-araw nakamit ang isang matagumpay na pag-atake sa phishing email. Ang ilan ay pinamamahalaang upang maipasa ang kanilang email sa buong kumpanya.

Karamihan sa mga Tao ay Bumagsak Para sa Mga Pekeng Email: Mga Aralin Mula sa School sa Tag-init ng Cybersecurity Kapag ipinapasa ng mga empleyado ang mga email sa loob ng isang kumpanya na pinagkakatiwalaang kadahilanan ng pagtaas ng email at ang mga link na nilalaman sa loob ng email na iyon ay mas malamang na mai-click. Freddy Dezeure / C3S, Author ibinigay

Ang aming mga resulta ay nagpapatibay sa mga natuklasan ng mga mananaliksik tungkol sa kawalan ng kakayahan ng mga tao upang makilala ang isang kompromiso na email mula sa isang mapagkakatiwalaan. Isang pag-aaral ng 117 ang mga tao na natagpuan sa paligid Ang 42% ng mga email ay hindi tama na naiuri bilang alinman sa tunay o pekeng ng tatanggap.

Phishing sa hinaharap

Ang phishing ay malamang na makukuha lamang mas sopistikado.

Sa pagtaas ng bilang ng mga aparatong nakakonekta sa internet na kulang sa mga pamantayan sa seguridad, iminumungkahi ng mga mananaliksik na ang mga attackers ng phishing ay maghanap ng mga pamamaraan ng pag-hijack sa mga aparatong ito. Ngunit paano sasagot ang mga kumpanya?

Batay sa aking karanasan sa Tallinn, makikita namin ang mga kumpanya na maging mas malinaw sa kung paano nila haharapin ang mga pag-atake sa cyber. Pagkatapos ng isang napakalaking atake ng cyber sa 2007, halimbawa, ang gobyerno ng Estonia ay tumugon sa tamang paraan.

Sa halip na magbigay ng pag-ikot sa publiko at pagtakpan ng mga serbisyo ng gobyerno na dahan-dahang mag-offline, inamin nila ng diretso na sila ay inaatake mula sa isang hindi kilalang ahente ng dayuhan.

Gayundin, ang mga negosyo ay kailangang aminin kapag sila ay nai-atake. Ito ang tanging paraan upang muling maitaguyod ang tiwala sa pagitan ng kanilang mga sarili at kanilang mga customer, at upang maiwasan ang karagdagang pagkalat ng isang pag-atake sa phishing.

Hanggang sa pagkatapos, maaari ba kitang ma-interesado libreng anti-phishing software?Ang pag-uusap

Tungkol sa Author

Richard Matthews, Kandidato ng PhD, University of Adelaide

Ang artikulong ito ay muling nai-publish mula sa Ang pag-uusap sa ilalim ng lisensya ng Creative Commons. Basahin ang ang orihinal na artikulo.