모두가 가짜 전자 메일에 빠짐 : 사이버 보안 여름 학교에서 얻은 교훈
학생들은 깃발을 끄는 운동을하는 동안 멘토의주의 깊은 눈 아래에 호스트 컴퓨터에 침투합니다. 리처드 매튜스, 저자가 제공했습니다. 

핵 잠수함, 최고 비밀 군사 기지 및 민간 기업은 공통점이 무엇입니까?

그들은 모두 간단한 체다 슬라이스에 취약합니다.

이것은 "펜 테스트"연습의 명백한 결과였으며, 그렇지 않으면 침투 테스트라고도합니다. 사이버 보안 여름 학교 7 월 에스토니아 탈린에서

호주에서 온 파견 대원과 함께 제 3 회 연례 연구를 발표했습니다. 학제 간 사이버 연구 워크샵. 우리는 또한 같은 회사를 방문 할 수있는 기회를 얻었다 Skype:Funderbeam뿐만 아니라 나토 협업 사이버 국방 우수 센터.

올해 학교의 주제는 사람들이 중요한 정보를 깨닫지 못하고 온라인으로 공개하도록 조작하는 기술인 사회 공학이었습니다. 우리는 사회 공학이 작동하는 이유, 그러한 공격을 방지하는 방법 및 사건 후 디지털 증거를 수집하는 방법에 중점을 두었습니다.

내면의 구독 그래픽

이번 방문의 하이라이트는 팀이 실제 회사의 펜 테스트를 위해 사회 공학 공격을 수행 한 CTF (live fire capture the flag) 사이버 범위 연습에 참여하는 것이 었습니다.

펜 테스트 및 실제 피싱

펜 테스트는 물리적 또는 디지털 시스템의 보안에 대한 공인 된 시뮬레이션 공격입니다. 범죄자가 악용 할 수있는 취약점을 찾는 것을 목표로합니다.

이러한 테스트는 파일 및 개인 데이터에 액세스하는 것이 목표 인 디지털에서부터 연구원이 실제로 회사 내의 건물이나 공간에 들어 가려고하는 실제에 이르기까지 다양합니다.

대부분의 사람들이 가짜 이메일에 빠지다 : 사이버 보안 여름 학교의 교훈
애들레이드 대학교 학생들은 탈린 스카이프 사무실의 개인 투어에 참석하여 사이버 보안에 대한 프레젠테이션을했습니다. 리처드 매튜스, 저자 제공

여름 학교 기간 동안, 우리는 전 세계의 전문 해커와 펜 테스터로부터 들었습니다. ID 카드와 같은 모양의 치즈와 자신감만으로 영역을 확보하기위한 물리적 진입을 얻는 방법에 대한 이야기를 들었습니다.

그런 다음 팀이 달성해야 할 목표 인 몇 가지 플래그를 통해 이러한 교훈을 실용화했습니다. 우리의 과제는 계약을 체결 한 회사를 평가하여 사회 공학 공격에 얼마나 취약한 지 확인하는 것이 었습니다.

운동 중 신체 검사는 특별히 제한을 벗어났습니다. 또한 윤리적 경계를 회사와 함께 설정하여 범죄자가 아닌 사이버 보안 전문가로 활동하고 있습니다.

OSINT : 오픈 소스 인텔리전스

첫 번째 깃발은 회사를 조사하는 것이 었습니다.

우리는 면접에 대해 조사하는 대신 공개 정보에서 잠재적 인 취약점을 찾아 나섰습니다. 이것을 OSINT (Open Source Intelligence)라고합니다. 같은 :

  • 이사회는 누구입니까?
  • 조수는 누구입니까?
  • 회사에서 어떤 이벤트가 진행되고 있습니까?
  • 그들은 현재 휴가 중일 가능성이 있습니까?
  • 어떤 직원 연락처 정보를 수집 할 수 있습니까?

우리는이 모든 질문에 매우 명확하게 대답 할 수있었습니다. 우리 팀은 미디어에보고 된 이벤트에서 회사로 직접 전화 번호와 방법을 찾았습니다.

피싱 이메일

그런 다음이 정보를 사용하여 OSINT 조사에서 식별 된 대상에 대한 두 개의 피싱 이메일을 작성했습니다. 피싱은 악의적 인 온라인 통신을 사용하여 개인 정보를 얻는 경우입니다.

이 플래그의 목적은 클릭 한 이메일 내에서 링크를 얻는 것입니다. 합법적이고 윤리적 인 이유로 이메일의 내용과 모양은 공개 할 수 없습니다.

고객이 클릭하는 것처럼 읽지 않은 이용 약관Google은 타겟이 링크가 가리키는 위치를 확인하지 않고 관심 링크를 클릭한다는 사실을 이용했습니다.

대부분의 사람들이 가짜 이메일에 빠지다 : 사이버 보안 여름 학교의 교훈시스템의 초기 감염은 링크가 포함 된 간단한 이메일로 얻을 수 있습니다. 프레디 데 제르 / C3S, 저자 제공

실제 피싱 공격에서 링크를 클릭하면 컴퓨터 시스템이 손상됩니다. 우리의 경우, 우리는 표적을 우리가 만든 양성적인 장소로 보냈습니다.

여름 학교의 대부분의 팀은 성공적인 피싱 이메일 공격을 달성했습니다. 일부는 회사 전체에 이메일을 전달하기까지했습니다.

대부분의 사람들이 가짜 이메일에 빠지다 : 사이버 보안 여름 학교의 교훈 직원이 회사 내에서 전자 메일을 전달하면 전자 메일의 신뢰 계수가 높아지고 해당 전자 메일에 포함 된 링크가 클릭 될 가능성이 높습니다. 프레디 데 제르 / C3S, 저자 제공

Google의 결과는 손상된 이메일과 신뢰할 수있는 이메일을 구별 할 수없는 사람들에 대한 연구원의 연구 결과를 강화합니다. 117 사람들에 대한 한 연구에 따르면 이메일의 42 %가 잘못 분류되었습니다 수신자에 의해 실제 또는 가짜로.

미래의 피싱

피싱은 더 정교.

기본 보안 표준이 결여 된 인터넷 연결 장치의 수가 증가함에 따라 연구원들은 피싱 공격자가 이러한 장치를 가로채는 방법을 모색 할 것이라고 제안합니다. 그러나 기업들은 어떻게 대응할 것인가?

탈린에 대한 나의 경험을 바탕으로, 우리는 회사가 사이버 공격을 처리하는 방식이 더 투명 해짐을 알 수 있습니다. 대규모 후 2007의 사이버 공격예를 들어 에스토니아 정부는 올바른 방식으로 대응했습니다.

대중에게 스핀을 제공하고 천천히 오프라인으로가는 정부 서비스를 은폐하기보다는 알 수없는 외국 요원의 공격을 당했다고 인정했다.

마찬가지로, 기업은 공격을받을 때 인정해야합니다. 이는 자신과 고객 간의 신뢰를 다시 확립하고 피싱 공격의 확산을 막는 유일한 방법입니다.

그때까지, 나는 당신에게 관심을 가질 수 있습니까 무료 피싱 방지 소프트웨어?대화

저자에 관하여

리처드 매튜스, 박사 과정 후보자, 애들레이드 대학

이 기사는에서 다시 게시됩니다. 대화 크리에이티브 커먼즈 라이센스하에 읽기 원래 기사.