Mọi người đều rơi vào email giả: Bài học từ trường hè An ninh mạng
Học sinh xâm nhập vào một máy tính chủ dưới con mắt thận trọng của một người cố vấn trong khi bắt bài tập cờ. Richard Matthews, Tác giả cung cấp. 

Tàu ngầm hạt nhân, căn cứ quân sự tối mật và doanh nghiệp tư nhân có điểm gì chung?

Họ đều dễ bị tổn thương bởi một lát cheddar đơn giản.

Đây là kết quả rõ ràng của một bài tập thử nghiệm bút của người Viking, hay còn gọi là thử nghiệm thâm nhập, tại Trường hè an ninh mạng hàng năm tại Tallinn, Estonia vào tháng Bảy.

Tôi đã tham dự, cùng với một đội ngũ từ Úc, để trình bày nghiên cứu tại năm thứ ba Hội thảo nghiên cứu điện tử liên ngành. Chúng tôi cũng có cơ hội đến thăm các công ty như SkypeFunderbeam, Cũng như các Trung tâm xuất sắc hợp tác quốc phòng NATO.

Chủ đề của trường năm nay là kỹ thuật xã hội - nghệ thuật thao túng con người để tiết lộ thông tin quan trọng trên mạng mà không nhận ra điều đó. Chúng tôi tập trung vào lý do tại sao kỹ thuật xã hội hoạt động, làm thế nào để ngăn chặn các cuộc tấn công như vậy và làm thế nào để thu thập bằng chứng kỹ thuật số sau một sự cố.


đồ họa đăng ký nội tâm


Điểm nổi bật của chuyến thăm của chúng tôi là tham gia vào một cuộc tập trận bắn súng trực tiếp (CTF), trong đó các đội thực hiện các cuộc tấn công kỹ thuật xã hội để thử nghiệm một công ty thực sự.

Thử nghiệm bút và lừa đảo trong thế giới thực

Kiểm tra bút là một cuộc tấn công mô phỏng được ủy quyền về bảo mật của hệ thống vật lý hoặc kỹ thuật số. Nó nhằm mục đích tìm lỗ hổng mà tội phạm có thể khai thác.

Các thử nghiệm như vậy bao gồm từ kỹ thuật số, trong đó mục tiêu là truy cập các tệp và dữ liệu riêng tư, đến vật lý, nơi các nhà nghiên cứu thực sự cố gắng xâm nhập vào các tòa nhà hoặc không gian trong một công ty.

Hầu hết mọi người rơi vào email giả: Bài học từ trường hè an ninh mạng
Các sinh viên của Đại học Adelaide đã tham dự một tour du lịch riêng của văn phòng tại Skype Skype để trình bày về an ninh mạng.
Richard Matthews, tác giả cung cấp

Trong thời gian học hè, chúng tôi được nghe từ những hacker chuyên nghiệp và những người thử bút từ khắp nơi trên thế giới. Những câu chuyện đã được kể về cách nhập vật lý vào các khu vực an toàn có thể thu được bằng cách sử dụng không gì khác hơn một miếng phô mai có hình dạng như một thẻ ID và sự tự tin.

Sau đó, chúng tôi đưa những bài học này vào sử dụng thực tế thông qua một số cờ - mục tiêu mà các đội cần đạt được. Thách thức của chúng tôi là đánh giá một công ty hợp đồng để xem mức độ nhạy cảm của nó đối với các cuộc tấn công kỹ thuật xã hội.

Thử nghiệm vật lý đặc biệt vượt quá giới hạn trong các bài tập của chúng tôi. Ranh giới đạo đức cũng được thiết lập với công ty để đảm bảo chúng tôi hoạt động như các chuyên gia an ninh mạng và không phải tội phạm.

OSINT: Thông minh mã nguồn mở

Lá cờ đầu tiên là nghiên cứu công ty.

Thay vì nghiên cứu như bạn muốn phỏng vấn xin việc, chúng tôi đã tìm kiếm các lỗ hổng tiềm ẩn trong các thông tin có sẵn công khai. Điều này được gọi là trí thông minh nguồn mở (OSINT). Nhu la:

  • ban giám đốc là ai
  • trợ lý của họ là ai?
  • Những sự kiện đang xảy ra tại công ty?
  • họ có khả năng được nghỉ vào lúc này không?
  • chúng tôi có thể thu thập thông tin liên lạc nào của nhân viên?

Chúng tôi đã có thể trả lời tất cả những câu hỏi này với sự rõ ràng phi thường. Nhóm của chúng tôi thậm chí đã tìm thấy số điện thoại trực tiếp và cách vào công ty từ các sự kiện được báo cáo trên phương tiện truyền thông.

Email lừa đảo

Thông tin này sau đó được sử dụng để tạo hai email lừa đảo nhắm vào các mục tiêu được xác định từ các cuộc điều tra OSINT của chúng tôi. Lừa đảo là khi truyền thông trực tuyến độc hại được sử dụng để có được thông tin cá nhân.

Mục tiêu của cờ này là để có được một liên kết trong các email của chúng tôi nhấp vào. Vì lý do pháp lý và đạo đức, nội dung và sự xuất hiện của email không thể được tiết lộ.

Giống như khách hàng nhấp vào điều khoản và điều kiện mà không cần đọc, chúng tôi khai thác thực tế là các mục tiêu của chúng tôi sẽ nhấp vào một liên kết quan tâm mà không cần kiểm tra xem liên kết đó đang ở đâu.

Hầu hết mọi người rơi vào email giả: Bài học từ trường hè an ninh mạngNhiễm trùng ban đầu của một hệ thống có thể được lấy bằng một email đơn giản có chứa một liên kết. Freddy Dezeure / C3S, tác giả cung cấp

Trong một cuộc tấn công lừa đảo thực sự, một khi bạn nhấp vào liên kết, hệ thống máy tính của bạn bị xâm phạm. Trong trường hợp của chúng tôi, chúng tôi đã gửi các mục tiêu của chúng tôi đến các trang web lành tính của chúng tôi.

Phần lớn các đội tại trường hè đã đạt được một cuộc tấn công email lừa đảo thành công. Một số thậm chí quản lý để có được email của họ chuyển tiếp trong toàn công ty.

Hầu hết mọi người rơi vào email giả: Bài học từ trường hè an ninh mạng Khi nhân viên chuyển tiếp email trong một công ty, yếu tố tin cậy của email sẽ tăng lên và các liên kết có trong email đó có nhiều khả năng được nhấp vào. Freddy Dezeure / C3S, tác giả cung cấp

Kết quả của chúng tôi củng cố những phát hiện của các nhà nghiên cứu về việc mọi người không có khả năng phân biệt một email bị xâm nhập với một email đáng tin cậy. Một nghiên cứu về người dùng 117 cho thấy xung quanh 42% email được phân loại không chính xác là thật hoặc giả bởi người nhận.

Lừa đảo trong tương lai

Lừa đảo có khả năng chỉ nhận được tinh vi hơn.

Với số lượng ngày càng tăng của các thiết bị kết nối internet thiếu các tiêu chuẩn bảo mật cơ bản, các nhà nghiên cứu cho rằng những kẻ tấn công lừa đảo sẽ tìm kiếm các phương thức chiếm quyền điều khiển các thiết bị này. Nhưng các công ty sẽ trả lời như thế nào?

Dựa trên kinh nghiệm của tôi ở Tallinn, chúng ta sẽ thấy các công ty trở nên minh bạch hơn trong cách họ đối phó với các cuộc tấn công mạng. Sau một thời gian lớn cuộc tấn công mạng trong 2007, ví dụ, chính phủ Estonia đã phản ứng đúng cách.

Thay vì cung cấp spin cho công chúng và che đậy các dịch vụ của chính phủ đang dần ngoại tuyến, họ thừa nhận hoàn toàn họ đang bị tấn công từ một đặc vụ nước ngoài không xác định.

Tương tự như vậy, các doanh nghiệp sẽ cần phải thừa nhận khi họ đang bị tấn công. Đây là cách duy nhất để thiết lập lại niềm tin giữa họ và khách hàng của họ và để ngăn chặn sự lây lan thêm của một cuộc tấn công lừa đảo.

Cho đến lúc đó, tôi có thể quan tâm bạn phần mềm chống lừa đảo miễn phí?Conversation

Lưu ý

Richard Matthews, Tiến sĩ, Đại học Adelaide

Bài viết này được tái bản từ Conversation theo giấy phép Creative Commons. Đọc ban đầu bài viết.