Студенти проникають у головний комп’ютер під пильним оком наставника під час вправи із захопленням прапора. Річард Метьюз, Автор надав. 

Що спільного у ядерних підводних човнів, строго секретних військових баз та приватного бізнесу?

Усі вони вразливі до простого шматочка чеддера.

Це був чіткий результат вправи "тестування ручки", інакше званої тестуванням на проникнення, на щорічна літня школа з кібербезпеки в Талліні, Естонія, в липні.

Я був разом із контингентом з Австралії, щоб представити дослідження на третьому щорічному Міждисциплінарний семінар з кібердосліджень. Ми також отримали можливість відвідати такі компанії, як Skype та Фундаментальна балка, А також Центр передового досвіду кіберзахисту НАТО.

Темою цьогорічної школи стала соціальна інженерія - мистецтво маніпулювання людьми для розголошення критичної інформації в Інтернеті, не усвідомлюючи цього. Ми зосередилися на тому, чому працює соціальна інженерія, як запобігти таким атакам та як зібрати цифрові докази після інциденту.

Основною подією нашого візиту стала участь у навчанні з кіберполігону із захопленням прапора (CTF), де команди проводили атаки соціальної інженерії, щоб перевірити справжню компанію.

Тестування пера та фішинг у реальному світі

Тестування пера - це санкціонований модельований напад на безпеку фізичної або цифрової системи. Вона спрямована на пошук вразливостей, якими можуть скористатися злочинці.

Таке тестування варіюється від цифрового, де метою є доступ до файлів та приватних даних, до фізичного, коли дослідники насправді намагаються проникнути у будівлі чи приміщення в межах компанії.

Студенти Університету Аделаїди відвідали приватну екскурсію талліннським офісом Skype для презентації з питань кібербезпеки. Річард Метьюз, Автор надано

Під час літньої школи ми почули професійних хакерів та тестерів пера з усього світу. Розповідали історії про те, як фізичний вхід у безпечні зони можна отримати, використовуючи не більше ніж шматок сиру у формі посвідчення особи та впевненості.

Потім ми застосовуємо ці уроки на практиці за допомогою кількох прапорів - цілей, яких команди мали досягти. Наша задача полягала в тому, щоб оцінити підрядну компанію, щоб побачити, наскільки вона сприйнятлива до атак соціальної інженерії.

Під час наших вправ фізичне тестування було спеціально заборонено. З компанією також були встановлені етичні межі, щоб ми діяли як фахівці з кібербезпеки, а не як злочинці.

OSINT: Інтелектуальна система з відкритим кодом

Першим прапором було дослідження компанії.

Замість того, щоб досліджувати, як на співбесіді, ми шукали потенційні вразливі місця в загальнодоступній інформації. Це відоме як інтелект з відкритим кодом (OSINT). Як от:

• хто є радою директорів?
• хто їх помічники?
• які події відбуваються на підприємстві?
• чи можливо вони зараз відпочиватимуть?
• яку контактну інформацію працівника ми можемо зібрати?

На всі ці запитання ми змогли відповісти надзвичайно чітко. Наша команда навіть знайшла прямі телефонні номери та шляхи проникнення в компанію з подій, про які повідомляють ЗМІ.

Фішинг-лист

Потім цю інформацію було використано для створення двох фішингових електронних листів, спрямованих на цілі, визначені під час розслідувань OSINT. Фішинг - це коли зловмисні Інтернет-зв’язки використовуються для отримання особистої інформації.

Метою цього прапора було отримати посилання в наших електронних листах, на яке клацнули. З юридичних та етичних міркувань вміст та зовнішній вигляд електронного листа не можна розголошувати.

Так само, як клієнти натискають на умови без читання, ми використали той факт, що наші цілі натискають посилання, що цікавить, не перевіряючи, куди вказує посилання.

Початкове зараження системи можна отримати за допомогою простого електронного листа, що містить посилання. Фредді Дезер / C3S, Автор надано

У справжній фішинг-атаці, після натискання на посилання, комп’ютерна система порушена. У нашому випадку ми направляли цілі на доброякісні сайти, які ми виготовляємо.

Більшість команд літньої школи досягли успішної фішингової атаки електронною поштою. Деяким навіть вдалося переслати електронну пошту по всій компанії.

Коли співробітники пересилають електронні листи в компанії, коефіцієнт довіри до електронної пошти збільшується, і посилання, що містяться в цьому електронному листі, частіше натискають. Фредді Дезер / C3S, Автор надано

Наші результати підкріплюють висновки дослідників про нездатність людей відрізнити компрометований електронний лист від надійного. Одне дослідження, проведене за участю 117 людей, виявило це навколо 42% електронних листів були неправильно класифіковані як справжній або підроблений приймачем.

Фішинг у майбутньому

Фішинг, швидше за все, отримає лише більш вишуканий.

Оскільки зростає кількість підключених до Інтернету пристроїв, у яких відсутні основні стандарти безпеки, дослідники припускають, що зловмисники фішингу будуть шукати методи викрадення цих пристроїв. Але як відреагують компанії?

Виходячи з мого досвіду в Таллінні, ми побачимо, як компанії стають більш прозорими в тому, як вони розглядають кібер-атаки. Після масивної кібератака в 2007 роцінаприклад, уряд Естонії відреагував правильно.

Замість того, щоб пропонувати громадськості та прикривати державні служби, які повільно виходили з мережі, вони прямо визнали, що зазнали нападу невідомого іноземного агента.

Так само підприємствам доведеться визнати, що вони зазнають нападу. Це єдиний спосіб відновити довіру між собою та своїми клієнтами та запобігти подальшому поширенню фішингової атаки.

До цього моменту я можу вас зацікавити безкоштовне антифішингове програмне забезпечення?

Про автора

Річард Метьюз, Кандидат кандидатських наук, Університет Аделаїди

Ця стаття перевидана з Бесіда за ліцензією Creative Commons. Читати оригінал статті.