همه برای ایمیل های جعلی افت می کنند: درسهایی از مدرسه تابستانی فضای مجازی
دانش آموزان هنگام انجام گرفتن پرچم ، پرچم میزبان را زیر نظر مراقب مربی نفوذ می کنند. ریچارد متیوز, نویسنده ارائه شده است 

زیردریایی های هسته ای ، پایگاههای نظامی مخفی و مشاغل خصوصی چه ارتباطی دارند؟

همه آنها در مقابل یک قطعه ساده چدار آسیب پذیر هستند.

این نتیجه روشنی از تمرین "آزمایش قلم" بود ، که در غیر این صورت با عنوان آزمایش نفوذ شناخته می شود مدرسه تابستانی امنیت سایبری سالانه در جولای در تالین ، استونی.

من در كنار يك شركت از استراليا شركت كردم تا در سومين سالانه تحقيقات را ارائه دهم کارگاه تحقیق سایبر بین رشته ای. ما همچنین فرصتی برای بازدید از شرکت هایی از قبیل اسکایپ و سرمايه گذار، و همچنین به عنوان مرکز تعالی سایبری مشترک همکاری ناتو.

موضوع مدرسه امسال مهندسی اجتماعی بود - هنر دستکاری مردم برای فاش کردن اطلاعات مهم و حیاتی آنلاین و بدون تحقق آن. ما به این موضوع توجه داشتیم که چرا مهندسی اجتماعی کار می کند ، چگونه می توان از چنین حملات جلوگیری کرد و چگونه می توان شواهد دیجیتالی را پس از یک حادثه جمع آوری کرد.


گرافیک اشتراک درونی


نکته مهم بازدید ما مشارکت در یک آتش نشانی زنده تیراندازی پرچم (CTF) در محدوده سایبر بود ، جایی که تیم ها برای آزمایش قلم یک شرکت واقعی ، حملات مهندسی اجتماعی را انجام دادند.

آزمایش قلم و فیشینگ در دنیای واقعی

آزمایش قلم یک حمله شبیه سازی شده مجاز به امنیت یک سیستم فیزیکی یا دیجیتال است. این هدف برای یافتن آسیب پذیری هایی است که مجرمان ممکن است از آن استفاده کنند.

این آزمایشات از دیجیتال ، جایی که هدف دستیابی به پرونده ها و داده های خصوصی است ، گرفته تا اطلاعات فیزیکی است ، جایی که محققان در واقع سعی در ورود به ساختمان ها یا فضاهای درون یک شرکت دارند.

بیشتر افراد برای ایمیل های جعلی افت می کنند: درسهایی از مدرسه تابستانی امنیت سایبری
دانشجویان دانشگاه آدلاید برای ارائه گزارشی درباره امنیت سایبری در یک تور خصوصی در دفتر تالین اسکایپ شرکت کردند.
ریچارد متیوز, نویسنده ارائه

در طول مدرسه تابستانی ، از هکرهای حرفه ای و آزمایش کننده قلم از سراسر جهان شنیدیم. داستانها در مورد چگونگی دستیابی ورود فیزیکی به مناطق امن با استفاده از چیزی بیشتر از یک تکه پنیر به شکل کارت شناسایی و اعتماد به نفس ، قابل دستیابی بودند.

سپس ما این درسها را از طریق چندین پرچم استفاده می کنیم - اهدافی که تیم ها برای دستیابی به آن نیاز داشتند. چالش ما ارزیابی یک شرکت پیمانکاری بود تا ببینیم چقدر حساسیت آن در حملات مهندسی اجتماعی است.

در طی تمرینات ما آزمایشات بدنی به طور ویژه خاموش بود. مرزهای اخلاقی نیز با این شرکت تنظیم شده بود تا اطمینان حاصل شود که ما به عنوان متخصص امنیت سایبری عمل می کنیم و نه مجرمان.

OSINT: هوش منبع آزاد

اولین پرچم تحقیق شرکت بود.

ما به جای تحقیق در مورد مصاحبه شغلی ، به دنبال آسیب پذیری های احتمالی در اطلاعات در دسترس عموم هستیم. این به عنوان منبع منبع باز (OSINT) شناخته می شود. مانند:

  • هیئت مدیره کیست؟
  • دستیاران آنها چه کسانی هستند؟
  • چه اتفاقاتی در شرکت رخ می دهد؟
  • آیا احتمالاً آنها در حال تعطیلات هستند؟
  • چه اطلاعات تماس کارمندان می توانیم جمع آوری کنیم؟

ما توانستیم با وضوح فوق العاده ای به همه این سؤالات پاسخ دهیم. تیم ما حتی از طریق رویدادهای گزارش شده در رسانه ها ، شماره های تلفن مستقیم و راه هایی را برای شرکت پیدا کرد.

ایمیل فیشینگ

این اطلاعات سپس برای ایجاد دو ایمیل فیشینگ با هدف شناسایی شده از تحقیقات OSINT ما استفاده شد. فیشینگ هنگامی است که از ارتباطات آنلاین مخرب برای به دست آوردن اطلاعات شخصی استفاده می شود.

هدف این پرچم این بود که پیوندی را در ایمیل های ما کلیک کنید. به دلایل قانونی و اخلاقی ، محتوای و ظاهر ایمیل نمی تواند فاش شود.

دقیقاً مانند مشتریان روی آن کلیک می کنند شرایط و شرایط بدون خواندنما از این واقعیت بهره برداری کردیم که اهداف ما بدون بررسی مکان پیوند ، بر روی لینک مورد علاقه کلیک می کنند.

بیشتر افراد برای ایمیل های جعلی افت می کنند: درسهایی از مدرسه تابستانی امنیت سایبریعفونت اولیه یک سیستم می تواند از طریق یک ایمیل ساده حاوی یک لینک بدست آید. Fred Dezure / C3S, نویسنده ارائه

در یک حمله فیشینگ واقعی ، هنگامی که روی پیوند کلیک می کنید ، سیستم رایانه شما به خطر می افتد. در مورد ما ، ما اهداف خود را به سایتهای خوش خیم ساختمون فرستادیم.

اکثر تیم های مدرسه تابستانی به یک حمله الکترونیکی فیشینگ موفق رسیدند. برخی حتی موفق شدند ایمیل خود را در سراسر شرکت ارسال کنند.

بیشتر افراد برای ایمیل های جعلی افت می کنند: درسهایی از مدرسه تابستانی امنیت سایبری هنگامی که کارمندان ایمیل را در داخل یک شرکت ارسال می کنند ، ضریب اطمینان ایمیل افزایش می یابد و پیوندهای موجود در آن ایمیل احتمالاً کلیک می شوند. Fred Dezure / C3S, نویسنده ارائه

نتایج ما یافته های محققان را در مورد ناتوانی مردم در تمایز یک ایمیل به خطر افتاده از یک ایمیل قابل اعتماد تقویت می کند. یک مطالعه در مورد افراد 117 نشان داد که در اطراف 42٪ از ایمیل ها به طور نادرست طبقه بندی شدند همانطور که توسط گیرنده واقعی یا جعلی است.

فیشینگ در آینده

فیشینگ احتمالاً فقط دریافت می کند پیچیده تر.

محققان با توجه به افزایش تعداد دستگاههای متصل به اینترنت که فاقد استانداردهای اولیه امنیتی هستند ، می گویند که مهاجمان فیشینگ به دنبال روش های ربودن این دستگاه ها خواهند بود. اما شرکتها چگونه پاسخ خواهند داد؟

براساس تجربه من در تالین ، خواهیم دید که شرکتها در برخورد با حملات سایبری شفاف تر عمل می کنند. بعد از انبوه حمله سایبری در 2007به عنوان مثال ، دولت استونی به شیوه درست واکنش نشان داد.

آنها به جای ارائه چرخش به مردم و پوشش دادن خدمات دولتی به آرامی به صورت آفلاین ، آنها به صراحت اعتراف كردند كه مورد حمله یك مأمور خارجی ناشناخته قرار گرفته اند.

به همین ترتیب ، مشاغل باید در هنگام حمله مورد اعتراف قرار گیرند. این تنها راه برای برقراری مجدد اعتماد بین خود و مشتریانشان و جلوگیری از گسترش بیشتر حمله فیشینگ است.

تا آن زمان ، آیا می توانم به شما علاقه مند شوم نرم افزار ضد فیشینگ رایگان؟گفتگو

درباره نویسنده

ریچارد متیوز، کاندیدای دکتری، دانشگاه آدلاید

این مقاله از مجله منتشر شده است گفتگو تحت مجوز Creative Commons دفعات بازدید: مقاله.