在夺旗练习中,学生们在导师的监视下潜入主机。 理查德·马修斯, 作者提供。
核潜艇,绝密军事基地和私营企业有什么共同之处?
他们都容易受到一片简单的切达干酪的伤害。
这是“笔测试”练习(也称为渗透测试)的明确结果。 年度网络安全暑期学校 七月在爱沙尼亚塔林。
我与来自澳大利亚的一支队伍一起参加了第三届年度会议并展示了研究成果 跨学科网络研究研讨会。 我们还有机会参观以下公司 Skype 和 Funderbeam,以及 北约协作网络防御卓越中心.
今年学校的主题是社会工程——操纵人们在不知不觉中在网上泄露关键信息的艺术。 我们重点关注社会工程为何有效、如何防止此类攻击以及如何在事件发生后收集数字证据。
我们访问的亮点是参加了实弹夺旗(CTF)网络靶场演习,演习中各团队进行了社会工程攻击,对一家真实的公司进行渗透测试。
笔测试和现实世界的网络钓鱼
笔测试是对物理或数字系统安全性的授权模拟攻击。 其目的是发现犯罪分子可能利用的漏洞。
此类测试的范围从数字测试(目标是访问文件和私人数据)到物理测试(研究人员实际尝试进入公司内的建筑物或空间)。
阿德莱德大学的学生参加了塔林 Skype 办公室的私人参观,并听取了有关网络安全的演示。 理查德·马修斯, 作者提供
在暑期学校期间,我们听到了来自世界各地的专业黑客和渗透测试人员的意见。 人们讲述了如何仅凭一块身份证形状的奶酪和信心就可以物理进入安全区域。
然后,我们通过几个标志(团队需要实现的目标)将这些经验教训付诸实践。 我们面临的挑战是评估一家签约公司,看看它对社会工程攻击的脆弱程度。
在我们的练习过程中,身体测试是特别禁止的。 公司还设定了道德界限,以确保我们充当网络安全专家而不是罪犯。
OSINT:开源情报
第一个标志是研究该公司。
我们没有像求职面试那样进行研究,而是在公开信息中寻找潜在的漏洞。 这被称为开源情报(OSINT)。 例如:
- 董事会由谁组成?
- 他们的助手是谁?
- 公司正在发生什么事件?
- 他们现在可能正在度假吗?
- 我们可以收集哪些员工联系信息?
我们能够非常清晰地回答所有这些问题。 我们的团队甚至从媒体报道的事件中找到了直接的电话号码和进入公司的途径。
网络钓鱼电子邮件
然后,这些信息被用来创建两封针对我们 OSINT 调查中确定的目标的网络钓鱼电子邮件。 网络钓鱼是指使用恶意在线通信来获取个人信息。
该标志的目的是让我们电子邮件中的链接被点击。 出于法律和道德原因,电子邮件的内容和外观不能公开。
就像顾客点击一样 条款和条件,无需阅读,我们利用了这样一个事实:我们的目标会点击感兴趣的链接,而不检查链接指向哪里。
系统的初始感染可以通过包含链接的简单电子邮件来获得。 弗雷迪·德泽尔/C3S, 作者提供
在真正的网络钓鱼攻击中,一旦您单击链接,您的计算机系统就会受到损害。 在我们的例子中,我们将目标发送到我们制作的良性地点。
暑期学校的大多数团队都成功实现了网络钓鱼电子邮件攻击。 有些人甚至设法将他们的电子邮件转发到整个公司。
当员工在公司内部转发电子邮件时,电子邮件的信任度会增加,并且电子邮件中包含的链接更有可能被点击。 弗雷迪·德泽尔/C3S, 作者提供
我们的结果证实了研究人员的发现,即人们无法区分受感染的电子邮件和值得信赖的电子邮件。 一项针对 117 人的研究发现,大约 42% 的电子邮件分类错误 由接收者判断为真或假。
未来的网络钓鱼
网络钓鱼很可能只会 更复杂.
随着越来越多缺乏基本安全标准的互联网连接设备,研究人员认为网络钓鱼攻击者将寻找劫持这些设备的方法。 但企业将如何应对?
根据我在塔林的经验,我们将看到公司在处理网络攻击方面变得更加透明。 经过一场大规模的 2007年网络攻击例如,爱沙尼亚政府的反应是正确的。
他们没有向公众提供虚假信息,也没有掩盖政府服务慢慢下线的情况,而是直接承认自己受到了未知外国特工的攻击。
同样,企业在受到攻击时也需要承认。 这是在他们与客户之间重新建立信任并防止网络钓鱼攻击进一步蔓延的唯一方法。
在那之前,我可以让你感兴趣吗? 免费的反网络钓鱼软件?
关于作者
