นักเรียนแทรกซึมคอมพิวเตอร์โฮสต์ภายใต้การดูแลของพี่เลี้ยงในระหว่างการฝึกจับธง ริชาร์ด แมทธิวส์, ผู้แต่งให้
เรือดำน้ำนิวเคลียร์ ฐานทัพลับสุดยอด และธุรกิจส่วนตัวมีอะไรที่เหมือนกัน?
พวกเขาทั้งหมดเสี่ยงต่อเชดดาร์ชิ้นเดียว
นี่เป็นผลลัพธ์ที่ชัดเจนของการฝึก "การทดสอบด้วยปากกา" หรือที่เรียกว่าการทดสอบการเจาะที่ โรงเรียนภาคฤดูร้อนความปลอดภัยทางไซเบอร์ประจำปี ในเมืองทาลลินน์ ประเทศเอสโตเนียในเดือนกรกฎาคม
ข้าพเจ้าเข้าร่วมกับคณะทำงานจากออสเตรเลียเพื่อนำเสนองานวิจัยประจำปีครั้งที่สาม การประชุมเชิงปฏิบัติการการวิจัยทางไซเบอร์แบบสหวิทยาการ. เรายังมีโอกาสเยี่ยมชมบริษัทต่างๆ เช่น Skype และ ฟันเดอร์บีมเช่นเดียวกับ NATO Collaborative Cyber Defense Center of Excellence.
ธีมของโรงเรียนในปีนี้คือ วิศวกรรมสังคม ซึ่งเป็นศิลปะของการจัดการผู้คนให้เปิดเผยข้อมูลสำคัญทางออนไลน์โดยไม่รู้ตัว เรามุ่งเน้นที่เหตุผลที่วิศวกรรมสังคมทำงาน วิธีป้องกันการโจมตีดังกล่าว และวิธีรวบรวมหลักฐานดิจิทัลหลังเหตุการณ์
ไฮไลท์ของการเยี่ยมชมของเราคือการเข้าร่วมการฝึกยิงปืนแบบสดเพื่อจับธง (CTF) ในโลกไซเบอร์ ซึ่งทีมต่างๆ ได้ดำเนินการโจมตีทางวิศวกรรมสังคมเพื่อทดสอบปากกาของบริษัทจริง
การทดสอบปากกาและฟิชชิ่งในโลกแห่งความเป็นจริง
การทดสอบด้วยปากกาเป็นการจำลองการโจมตีที่ได้รับอนุญาตเพื่อความปลอดภัยของระบบทางกายภาพหรือดิจิทัล มีจุดมุ่งหมายเพื่อค้นหาช่องโหว่ที่อาชญากรอาจใช้ประโยชน์ได้
การทดสอบดังกล่าวมีตั้งแต่ระบบดิจิทัล โดยมีเป้าหมายในการเข้าถึงไฟล์และข้อมูลส่วนตัว ไปจนถึงทางกายภาพ ซึ่งนักวิจัยพยายามจะเข้าไปในอาคารหรือพื้นที่ภายในบริษัท
นักศึกษามหาวิทยาลัยแอดิเลดเข้าร่วมทัวร์ส่วนตัวที่สำนักงาน Skype ของทาลลินน์เพื่อนำเสนอเกี่ยวกับความปลอดภัยทางไซเบอร์ ริชาร์ด แมทธิวส์, ผู้เขียนให้ไว้
ในช่วงปิดเทอม เราได้ยินจากแฮ็กเกอร์มืออาชีพและผู้ทดสอบปากกาจากทั่วโลก เรื่องราวได้รับการบอกเล่าเกี่ยวกับวิธีการเข้าถึงพื้นที่ปลอดภัยโดยใช้อะไรมากไปกว่าชีสที่มีรูปร่างเหมือนบัตรประจำตัวและความมั่นใจ
จากนั้นเรานำบทเรียนเหล่านี้ไปใช้งานจริงผ่านธงต่างๆ ซึ่งเป็นเป้าหมายที่ทีมต้องบรรลุ ความท้าทายของเราคือการประเมินบริษัทที่ทำสัญญาเพื่อดูว่ามีความอ่อนไหวต่อการโจมตีทางวิศวกรรมสังคมเพียงใด
การทดสอบทางกายภาพมีข้อจำกัดเป็นพิเศษระหว่างการออกกำลังกายของเรา บริษัทยังได้กำหนดขอบเขตทางจริยธรรมกับบริษัทเพื่อให้แน่ใจว่าเราทำหน้าที่เป็นผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ ไม่ใช่อาชญากร
OSINT: โอเพ่นซอร์สข่าวกรอง
ธงแรกคือการวิจัยบริษัท
แทนที่จะค้นหาข้อมูลเหมือนที่คุณทำในการสัมภาษณ์งาน เราได้มองหาช่องโหว่ที่อาจเกิดขึ้นภายในข้อมูลที่เปิดเผยต่อสาธารณะ สิ่งนี้เรียกว่าข่าวกรองโอเพ่นซอร์ส (OSINT) เช่น:
- ใครเป็นคณะกรรมการบริษัท?
- ใครเป็นผู้ช่วยของพวกเขา?
- เหตุการณ์อะไรเกิดขึ้นที่บริษัท?
- พวกเขาน่าจะอยู่ในช่วงวันหยุดในขณะนี้?
- ข้อมูลการติดต่อของพนักงานใดบ้างที่เราสามารถเก็บรวบรวมได้?
เราสามารถตอบคำถามเหล่านี้ได้อย่างชัดเจนเป็นพิเศษ ทีมงานของเรายังพบหมายเลขโทรศัพท์โดยตรงและทางเข้าบริษัทจากเหตุการณ์ที่รายงานในสื่อ
อีเมลฟิชชิ่ง
ข้อมูลนี้ถูกใช้เพื่อสร้างอีเมลฟิชชิ่งสองฉบับที่มุ่งเป้าไปที่เป้าหมายที่ระบุจากการสืบสวน OSINT ของเรา ฟิชชิงคือเมื่อมีการใช้การสื่อสารออนไลน์ที่เป็นอันตรายเพื่อรับข้อมูลส่วนบุคคล
เป้าหมายของการตั้งค่าสถานะนี้คือการรับลิงก์ภายในอีเมลของเราที่คลิก ด้วยเหตุผลทางกฎหมายและจริยธรรม เนื้อหาและลักษณะที่ปรากฏของอีเมลไม่สามารถเปิดเผยได้
เช่นเดียวกับลูกค้าคลิกที่ ข้อกำหนดและเงื่อนไขโดยไม่ต้องอ่านเราใช้ประโยชน์จากข้อเท็จจริงที่ว่าเป้าหมายของเราจะคลิกลิงก์ที่สนใจโดยไม่ตรวจสอบว่าลิงก์นั้นชี้ไปที่ใด
การติดเชื้อเริ่มต้นของระบบสามารถรับได้โดยอีเมลธรรมดาที่มีลิงก์ เฟรดดี้ เดอซัวร์/C3S, ผู้เขียนให้ไว้
ในการโจมตีแบบฟิชชิ่งอย่างแท้จริง เมื่อคุณคลิกที่ลิงก์ ระบบคอมพิวเตอร์ของคุณจะถูกบุกรุก ในกรณีของเรา เราได้ส่งเป้าหมายของเราไปยังไซต์ที่ไม่เป็นพิษเป็นภัยที่เราสร้างขึ้น
ทีมส่วนใหญ่ในโรงเรียนภาคฤดูร้อนประสบความสำเร็จในการโจมตีอีเมลฟิชชิ่ง บางคนถึงกับส่งต่ออีเมลไปทั่วทั้งบริษัท
เมื่อพนักงานส่งต่ออีเมลภายในบริษัท ปัจจัยความเชื่อถือของอีเมลจะเพิ่มขึ้น และลิงก์ที่อยู่ในอีเมลนั้นมีแนวโน้มที่จะถูกคลิกมากกว่า เฟรดดี้ เดอซัวร์/C3S, ผู้เขียนให้ไว้
ผลลัพธ์ของเราช่วยเสริมการค้นพบของนักวิจัยเกี่ยวกับการที่ผู้คนไม่สามารถแยกแยะอีเมลที่ถูกบุกรุกออกจากอีเมลที่น่าเชื่อถือได้ หนึ่งการศึกษาจาก 117 คนพบว่าประมาณ 42% ของอีเมลถูกจัดประเภทอย่างไม่ถูกต้อง เป็นของจริงหรือของปลอมโดยผู้รับ
ฟิชชิ่งในอนาคต
ฟิชชิ่งน่าจะได้เท่านั้น ซับซ้อนมากขึ้น.
ด้วยจำนวนอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตที่ขาดมาตรฐานความปลอดภัยขั้นพื้นฐานที่เพิ่มขึ้น นักวิจัยแนะนำว่าผู้โจมตีแบบฟิชชิ่งจะหาวิธีการจี้อุปกรณ์เหล่านี้ แต่บริษัทต่างๆ จะตอบสนองอย่างไร?
จากประสบการณ์ของผมในทาลลินน์ เราจะเห็นบริษัทต่างๆ มีความโปร่งใสมากขึ้นในการจัดการกับการโจมตีทางไซเบอร์ หลังจากที่ใหญ่ การโจมตีทางไซเบอร์ในปี 2007ตัวอย่างเช่น รัฐบาลเอสโตเนียมีปฏิกิริยาตอบสนองอย่างถูกวิธี
แทนที่จะเปิดเผยต่อสาธารณะและปิดบังบริการของรัฐบาลอย่างช้าๆ ออฟไลน์ พวกเขายอมรับโดยทันทีว่าถูกโจมตีจากตัวแทนต่างประเทศที่ไม่รู้จัก
ในทำนองเดียวกัน ธุรกิจต่างๆ จะต้องยอมรับเมื่อถูกโจมตี นี่เป็นวิธีเดียวที่จะสร้างความไว้วางใจระหว่างตัวเองกับลูกค้าอีกครั้ง และเพื่อป้องกันการแพร่กระจายของการโจมตีแบบฟิชชิ่งต่อไป
ถึงตอนนั้นฉันขอสนใจคุณได้ไหม ซอฟต์แวร์ป้องกันฟิชชิ่งฟรี?
เกี่ยวกับผู้เขียน
ริชาร์ด แมทธิวส์ปริญญาเอก มหาวิทยาลัยแอดิเลด
บทความนี้ตีพิมพ์ซ้ำจาก สนทนา ภายใต้ใบอนุญาตครีเอทีฟคอมมอนส์ อ่าน บทความต้นฉบับ.
