Jeder verliebt sich in gefälschte E-Mails: Lehren aus der Cybersecurity Summer School
Die Schüler infiltrieren einen Hostcomputer unter dem wachsamen Auge eines Mentors, während sie die Flaggenübung erfassen. Richard Matthews, Autor zur Verfügung gestellt. 

Was haben Atom-U-Boote, streng geheime Militärstützpunkte und Privatunternehmen gemeinsam?

Sie sind alle anfällig für eine einfache Scheibe Cheddar.

Dies war das eindeutige Ergebnis einer „Pen-Test“ -Übung, die auch als Penetrationstest bezeichnet wird jährliche Cyber ​​Security Summer School im Juli in Tallinn, Estland.

Ich nahm zusammen mit einem Kontingent aus Australien an der Präsentation der Forschung im dritten Jahr teil Interdisziplinärer Cyber ​​Research Workshop. Wir hatten auch die Möglichkeit, Firmen wie zu besuchen Skype und FunderbeamSowie das Exzellenzzentrum für kollaborative Cyber-Verteidigung der NATO.

Das Thema der diesjährigen Schule war Social Engineering - die Kunst, Menschen zu manipulieren, um wichtige Informationen online zu verbreiten, ohne es zu merken. Wir haben uns darauf konzentriert, warum Social Engineering funktioniert, wie man solche Angriffe verhindert und wie man nach einem Vorfall digitale Beweise sammelt.

Innerself-Abonnieren-Grafik

Der Höhepunkt unseres Besuchs war die Teilnahme an einer Cyber-Range-Übung zur Erfassung der Flagge (CTF), bei der Teams Social-Engineering-Angriffe durchführten, um einen Pen-Test für ein echtes Unternehmen durchzuführen.

Pen-Tests und echtes Phishing

Pen Testing ist ein autorisierter simulierter Angriff auf die Sicherheit eines physischen oder digitalen Systems. Ziel ist es, Schwachstellen zu finden, die Kriminelle ausnutzen können.

Solche Tests reichen von digitalen Tests, bei denen auf Dateien und private Daten zugegriffen werden soll, bis hin zu physischen Tests, bei denen Forscher tatsächlich versuchen, Gebäude oder Räume in einem Unternehmen zu betreten.

Die meisten Menschen fallen auf gefälschte E-Mails herein: Lehren aus der Cybersecurity Summer School
Studenten der Universität von Adelaide nahmen an einer privaten Tour durch das Tallinner Skype-Büro teil, um sich über Cybersicherheit zu informieren. Richard Matthews, Autor zur Verfügung gestellt

Während der Sommerschule hörten wir von professionellen Hackern und Pen-Testern aus der ganzen Welt. Es wurden Geschichten darüber erzählt, wie der physische Zutritt zu Sicherheitsbereichen nur mit einem Stück Käse in der Form eines Personalausweises und Selbstvertrauen erreicht werden kann.

Anschließend setzen wir diese Lektionen anhand mehrerer Flaggen in die Praxis um - Ziele, die Teams erreichen mussten. Unsere Herausforderung bestand darin, ein beauftragtes Unternehmen dahingehend zu bewerten, wie anfällig es für Social-Engineering-Angriffe ist.

Die körperliche Prüfung war während unserer Übungen ausdrücklich untersagt. Mit dem Unternehmen wurden auch ethische Grenzen gesetzt, um sicherzustellen, dass wir als Cybersicherheitsspezialisten und nicht als Kriminelle agieren.

OSINT: Open Source Intelligence

Die erste Flagge war die Erforschung des Unternehmens.

Anstatt wie bei einem Vorstellungsgespräch nachzuforschen, haben wir nach potenziellen Schwachstellen in öffentlich verfügbaren Informationen gesucht. Dies wird als Open Source Intelligence (OSINT) bezeichnet. Sowie:

  • Wer ist der Verwaltungsrat?
  • Wer sind ihre Assistenten?
  • Welche Veranstaltungen finden im Unternehmen statt?
  • sind sie im Moment wahrscheinlich im Urlaub?
  • Welche Kontaktinformationen von Mitarbeitern können wir sammeln?

All diese Fragen konnten wir mit außerordentlicher Klarheit beantworten. Unser Team hat sogar direkte Telefonnummern und Wege in das Unternehmen aus Ereignissen gefunden, über die in den Medien berichtet wurde.

Die Phishing-E-Mail

Diese Informationen wurden dann verwendet, um zwei Phishing-E-Mails zu erstellen, die auf Ziele abzielen, die aus unseren OSINT-Untersuchungen ermittelt wurden. Phishing ist, wenn böswillige Online-Kommunikation verwendet wird, um persönliche Informationen zu erhalten.

Das Ziel dieser Flagge war es, einen Link in unsere E-Mails zu bekommen, auf den geklickt wurde. Aus rechtlichen und ethischen Gründen können Inhalt und Erscheinungsbild der E-Mail nicht offen gelegt werden.

Genau wie Kunden klicken Sie auf AGB ohne zu lesenWir haben die Tatsache ausgenutzt, dass unsere Ziele auf einen Link von Interesse klicken, ohne zu überprüfen, auf welchen Link der Link verweist.

Die meisten Menschen fallen auf gefälschte E-Mails herein: Lehren aus der Cybersecurity Summer SchoolDie Erstinfektion eines Systems kann durch eine einfache E-Mail mit einem Link erfolgen. Freddy Dezeure / C3S, Autor zur Verfügung gestellt

Bei einem echten Phishing-Angriff ist Ihr Computersystem gefährdet, sobald Sie auf den Link klicken. In unserem Fall haben wir unsere Ziele an gutartige Standorte gesendet.

Die Mehrheit der Teams der Sommerschule hat einen erfolgreichen Phishing-E-Mail-Angriff erzielt. Einige haben es sogar geschafft, ihre E-Mails im gesamten Unternehmen weiterzuleiten.

Die meisten Menschen fallen auf gefälschte E-Mails herein: Lehren aus der Cybersecurity Summer School Wenn Mitarbeiter E-Mails innerhalb eines Unternehmens weiterleiten, steigt das Vertrauen in die E-Mail und die darin enthaltenen Links werden mit höherer Wahrscheinlichkeit angeklickt. Freddy Dezeure / C3S, Autor zur Verfügung gestellt

Unsere Ergebnisse untermauern die Erkenntnisse von Forschern über die Unfähigkeit von Menschen, eine gefährdete von einer vertrauenswürdigen E-Mail zu unterscheiden. Eine Studie von 117-Leuten hat das herausgefunden 42% der E-Mails wurden falsch klassifiziert als echt oder gefälscht vom Empfänger.

Phishing in der Zukunft

Phishing ist wahrscheinlich nur zu bekommen anspruchsvoller.

Angesichts der zunehmenden Zahl von Geräten mit Internetverbindung, denen grundlegende Sicherheitsstandards fehlen, schlagen die Forscher vor, dass Phishing-Angreifer nach Methoden suchen, um diese Geräte zu entführen. Aber wie werden Unternehmen reagieren?

Aufgrund meiner Erfahrungen in Tallinn werden wir sehen, wie Unternehmen transparenter mit Cyber-Angriffen umgehen. Nach einem massiven Cyber-Angriff in 2007Beispielsweise hat die estnische Regierung richtig reagiert.

Anstatt der Öffentlichkeit den Dreh raus zu geben und die Regierungsdienste zu vertuschen, die langsam offline gehen, gaben sie offen zu, von einem unbekannten ausländischen Agenten angegriffen worden zu sein.

Ebenso müssen Unternehmen zugeben, wenn sie angegriffen werden. Nur so kann das Vertrauen zwischen sich und ihren Kunden wiederhergestellt und die weitere Ausbreitung eines Phishing-Angriffs verhindert werden.

Bis dahin kann ich Sie interessieren kostenlose Anti-Phishing-Software?Das Gespräch

Über den Autor

Richard Matthews, Doktorand, University of Adelaide

Dieser Artikel wird erneut veröffentlicht Das Gespräch unter einer Creative Commons-Lizenz. Lies das Original Artikel.