Studenten infiltreren een hostcomputer onder het waakzame oog van een mentor tijdens een oefening om de vlag te vangen. Richard Matthews, Auteur verstrekt.
Wat hebben nucleaire onderzeeërs, zeer geheime militaire bases en particuliere bedrijven gemeen?
Ze zijn allemaal kwetsbaar voor een simpele plak cheddar.
Dit was het duidelijke resultaat van een "pentest" -oefening, ook wel penetratietest genoemd, bij de jaarlijkse Cyber Security Summer School in Tallinn, Estland in juli.
Ik was aanwezig, samen met een contingent uit Australië, om onderzoek te presenteren tijdens de derde jaargang Interdisciplinaire Cyber Research-workshop. We kregen ook de kans om bedrijven zoals te bezoeken Skype en FunderbeamAlsmede de NAVO Collaborative Cyber Defense Centre of Excellence.
Het thema van de school van dit jaar was social engineering - de kunst om mensen te manipuleren om online kritische informatie te verspreiden zonder het te beseffen. We hebben ons gericht op waarom social engineering werkt, hoe dergelijke aanvallen kunnen worden voorkomen en hoe digitaal bewijsmateriaal kan worden verzameld na een incident.
Het hoogtepunt van ons bezoek was deelname aan een cyber range-oefening met live fire capture the flag (CTF), waarbij teams social engineering-aanvallen uitvoerden om een echt bedrijf te testen.
Pentesten en phishing in de echte wereld
Pentesten is een geautoriseerde gesimuleerde aanval op de beveiliging van een fysiek of digitaal systeem. Het beoogt kwetsbaarheden te vinden die criminelen kunnen exploiteren.
Zulke testen variëren van de digitale, waarbij het doel is om toegang te krijgen tot bestanden en privégegevens, tot de fysieke, waar onderzoekers daadwerkelijk proberen gebouwen of ruimtes binnen een bedrijf binnen te gaan.
Studenten van de Universiteit van Adelaide namen deel aan een privétour door het Skype-kantoor in Tallinn voor een presentatie over cyberbeveiliging. Richard Matthews, auteur voorzien
Tijdens de zomerschool hoorden we van professionele hackers en pentesters van over de hele wereld. Verhalen werden verteld over hoe fysieke toegang tot beveiligde gebieden kan worden verkregen met niets meer dan een stuk kaas in de vorm van een identiteitskaart en vertrouwen.
We hebben deze lessen vervolgens praktisch toegepast via verschillende vlaggen - doelen die teams moesten bereiken. Onze uitdaging was om een gecontracteerd bedrijf te beoordelen om te zien hoe gevoelig het was voor social engineering-aanvallen.
Fysiek testen was specifiek verboden tijdens onze oefeningen. Er werden ook ethische grenzen gesteld aan het bedrijf om ervoor te zorgen dat we optraden als specialisten in cyberbeveiliging en niet als criminelen.
OSINT: Open Source Intelligence
De eerste vlag was om het bedrijf te onderzoeken.
In plaats van te onderzoeken zoals je zou doen voor een sollicitatiegesprek, gingen we op zoek naar mogelijke kwetsbaarheden in openbaar beschikbare informatie. Dit staat bekend als open source intelligence (OSINT). Zoals:
- wie zijn de raad van bestuur?
- wie zijn hun assistenten?
- welke evenementen gebeuren er in het bedrijf?
- zijn ze waarschijnlijk op vakantie op dit moment?
- Welke contactgegevens van werknemers kunnen we verzamelen?
We hebben al deze vragen met buitengewone duidelijkheid kunnen beantwoorden. Ons team heeft zelfs directe telefoonnummers en manieren gevonden om het bedrijf binnen te komen via evenementen die in de media zijn gemeld.
De phishing-e-mail
Deze informatie werd vervolgens gebruikt om twee phishing-e-mails te maken die zijn gericht op doelen die zijn geïdentificeerd tijdens onze OSINT-onderzoeken. Phishing is wanneer kwaadaardige online communicatie wordt gebruikt om persoonlijke informatie te verkrijgen.
Het doel van deze vlag was om een link te krijgen in onze e-mails waarop werd geklikt. Om juridische en ethische redenen kunnen de inhoud en het uiterlijk van de e-mail niet worden bekendgemaakt.
Net zoals klanten klikken op algemene voorwaarden zonder te lezen, hebben we misbruik gemaakt van het feit dat onze doelen op een interessante link zouden klikken zonder te controleren waar de link naar verwijst.
De eerste infectie van een systeem kan worden verkregen via een eenvoudige e-mail met een link. Freddy Dezeure / C3S, auteur voorzien
Bij een echte phishing-aanval is uw computersysteem gecompromitteerd wanneer u op de link klikt. In ons geval hebben we onze doelen verzonden naar goedaardige sites die we maken.
De meeste teams op de zomerschool bereikten een succesvolle phishing-e-mailaanval. Sommigen slaagden er zelfs in om hun e-mail door het hele bedrijf te laten doorsturen.
Wanneer werknemers e-mails binnen een bedrijf doorsturen, neemt de vertrouwensfactor van de e-mail toe en is het waarschijnlijker dat op de links in die e-mail wordt geklikt. Freddy Dezeure / C3S, auteur voorzien
Onze resultaten versterken de bevindingen van onderzoekers over het onvermogen van mensen om een gecompromitteerde e-mail te onderscheiden van een betrouwbare e-mail. Een onderzoek onder 117-mensen vond dat rond 42% e-mails zijn onjuist geclassificeerd als echt of nep door de ontvanger.
Phishing in de toekomst
Phishing krijgt waarschijnlijk alleen maar ingewikkelder.
Omdat steeds meer apparaten met internetverbinding geen basisbeveiligingsnormen hebben, suggereren onderzoekers dat phishing-aanvallers methoden zullen zoeken om deze apparaten te kapen. Maar hoe zullen bedrijven reageren?
Op basis van mijn ervaring in Tallinn zien we bedrijven transparanter worden in hoe ze omgaan met cyberaanvallen. Na een enorme cyberaanval in 2007de Estlandse regering heeft bijvoorbeeld op de juiste manier gereageerd.
In plaats van het publiek te laten draaien en de overheidsdiensten die langzaam offline gingen te verbergen, gaven ze toe dat ze werden aangevallen door een onbekende buitenlandse agent.
Evenzo moeten bedrijven toegeven dat ze worden aangevallen. Dit is de enige manier om het vertrouwen tussen henzelf en hun klanten te herstellen en de verdere verspreiding van een phishing-aanval te voorkomen.
Tot die tijd kan ik je interesseren gratis anti-phishing software?
Over de auteur
Richard Matthews, PhD Candidate, Universiteit van Adelaide
Dit artikel is opnieuw gepubliceerd vanaf The Conversation onder een Creative Commons-licentie. Lees de originele artikel.
