סטודנטים חודרים למחשב מארח תחת עינו הפקוחה של מנטור במהלך לכידת תרגיל הדגל. ריצ'רד מתיוס, המחבר סיפק.
מה משותף לצוללות גרעיניות, בסיסים צבאיים חשאיים ביותר ועסקים פרטיים?
כולם פגיעים לפרוסת צ'דר פשוטה.
זו הייתה התוצאה הברורה של תרגיל "בדיקת עט", המכונה גם בדיקת חדירה בית ספר קיץ שנתי לאבטחת סייבר בטאלין, אסטוניה ביולי.
השתתפתי, יחד עם קונטיננטלי מאוסטרליה, להציג מחקרים בשנה השלישית סדנת חקר סייבר בין תחומית. קיבלנו גם את ההזדמנות לבקר חברות כמו סקייפ ו Funderbeam, כמו גם מרכז מצוינות שיתוף פעולה של נאט"ו.
הנושא של בית הספר השנה היה הנדסה חברתית - אמנות לתמרן אנשים כדי לחשוף מידע קריטי ברשת מבלי להבין זאת. התמקדנו מדוע הנדסה חברתית עובדת, כיצד למנוע התקפות כאלה ואיך לאסוף עדויות דיגיטליות לאחר תקרית.
גולת הכותרת של ביקורנו הייתה השתתפות בתרגיל טווח סייבר של דגל (CTF), בו צוותים ביצעו התקפות הנדסיות חברתיות כדי לבדוק עטים אמיתיים.
בדיקת עטים והתחזות בעולם האמיתי
בדיקת עטים היא התקפה מדומה מורשית על אבטחת מערכת פיזית או דיגיטלית. מטרתו למצוא פגיעות שעבריינים עשויים לנצל.
בדיקות כאלה נעות בין הדיגיטל, כאשר המטרה היא גישה לקבצים ונתונים פרטיים, לבין הפיזי, שבו החוקרים מנסים להיכנס למבנים או לחללים בתוך חברה.
סטודנטים מאוניברסיטת אדלייד השתתפו בסיור פרטי במשרד הסקייפ בטאלין לצורך הצגת אבטחת סייבר. ריצ'רד מתיוס, מחבר מסופק
במהלך בית הספר לקיץ שמענו מהאקרים מקצועיים ובודקי עטים מרחבי העולם. סיפורים סיפרו כיצד ניתן להשיג כניסה פיזית לאזורים מאובטחים באמצעות לא יותר מחתיכת גבינה בצורת תעודת זהות וביטחון.
לאחר מכן העברנו שיעורים אלה לשימוש מעשי באמצעות כמה דגלים - יעדים שהקבוצות היו צריכים להשיג. האתגר שלנו היה להעריך חברה קבלנית כדי לראות עד כמה היא רגישה להתקפות הנדסיות חברתיות.
בדיקות פיזיות היו מחוץ לתחום במהלך התרגילים שלנו. גבולות אתיים נקבעו גם עם החברה כדי להבטיח שאנחנו פועלים כמומחים לאבטחת סייבר ולא כעבריינים.
OSINT: מודיעין קוד פתוח
הדגל הראשון היה מחקר החברה.
במקום לחקור כמו בראיון עבודה, חיפשנו נקודות תורפה אפשריות במידע הזמין לציבור. זה ידוע בשם מודיעין קוד פתוח (OSINT). כמו:
- מיהם הדירקטוריון?
- מיהם עוזריהם?
- אילו אירועים מתרחשים בחברה?
- האם הם צפויים לחופשה כרגע?
- אילו פרטי קשר של עובד נוכל לאסוף?
הצלחנו לענות על כל השאלות הללו בבהירות יוצאת דופן. הצוות שלנו אפילו מצא מספרי טלפון ישירים ודרכים לחברה מאירועים שדווחו בתקשורת.
דוא"ל הדיוג
מידע זה שימש אז ליצירת שני הודעות דוא"ל התחזות המכוונות ליעדים שזוהו מחקירות OSINT שלנו. התחזות היא כאשר משתמשים בתקשורת מקוונת זדונית להשגת מידע אישי.
מטרת הדגל הזו הייתה להשיג קישור בתוך הודעות הדוא"ל שלנו עליו לחצו. מסיבות משפטיות ואתיות, לא ניתן לחשוף את תוכן ומראה הדוא"ל.
בדיוק כמו שלקוחות לוחצים תנאים ללא קריאה, ניצלנו את העובדה שהיעדים שלנו ילחצו על קישור מעניין בלי לבדוק לאן הקישור מכוון.
זיהום ראשוני של מערכת ניתן להשיג באמצעות אימייל פשוט המכיל קישור. פרדי דוזה / C3S, מחבר מסופק
בהתקפת פישינג אמיתית, ברגע שלוחצים על הקישור, מערכת המחשב שלכם נפגעת. במקרה שלנו, שלחנו את המטרות שלנו לאתרים שפירים של יצירתנו.
רוב הקבוצות בבית הספר לקיץ השיגו התקפת דואר אלקטרוני מוצלחת. חלקם אפילו הצליחו להעביר את הדוא"ל שלהם ברחבי החברה.
כאשר עובדים מעבירים דוא"ל בתוך חברה, גורם האמון של הדוא"ל גדל והקישורים הכלולים בדוא"ל זה נוטים יותר להילחץ. פרדי דוזה / C3S, מחבר מסופק
התוצאות שלנו מחזקות את ממצאי החוקרים בדבר חוסר יכולתם של אנשים להבחין בין דוא"ל שנפגע מבין אמין. מחקר אחד של 117 אנשים מצא כי בסביבות 42% מהודעות הדוא"ל סווגו באופן שגוי כאמיתי או מזויף על ידי המקלט.
פישינג בעתיד
סביר להניח שהדיוג יקבל רק יותר מתוחכם.
עם מספר גדל והולך של מכשירים המחוברים לאינטרנט חסרי תקני אבטחה בסיסיים, החוקרים מציעים שתוקפי פישינג יחפשו שיטות לחטיפת מכשירים אלה. אבל איך חברות יגיבו?
בהתבסס על ניסיוני בטאלין, נראה שחברות הופכות שקופות יותר באופן ההתמודדות שלה עם מתקפות סייבר. אחרי מסיבית מתקפת סייבר בשנת 2007, למשל, ממשלת אסטון הגיבה בצורה נכונה.
במקום לספק ספין לציבור ולכסות את שירותי הממשלה לאט לאט במצב לא מקוון, הם הודו על הסף שהם הותקפו על ידי גורם זר לא ידוע.
כמו כן, עסקים יצטרכו להודות כאשר הם מותקפים. זו הדרך היחידה לבסס מחדש אמון בינם לבין לקוחותיהם, ולמנוע התפשטות נוספת של מתקפת פישינג.
עד אז, אוכל לעניין אותך תוכנת אנטי פישינג בחינם?
על המחבר
ריצ'רד מתיוס, מועמד לדוקטורט, אוניברסיטת אדלייד
מאמר זה פורסם מחדש מתוך שיחה תחת רישיון Creative Commons. קרא את ה מאמר מקורי.
