La maggior parte delle persone si innamora delle e-mail false: lezioni dalla scuola estiva sulla sicurezza informatica

: By Richard Matthews

Grazie della visita InnerSelf.com, dove ci sono 20,000+ articoli che cambiano la vita e promuovono "Nuovi atteggiamenti e nuove possibilità". Tutti gli articoli sono tradotti in 30+ lingue. Sottoscrivi a InnerSelf Magazine, pubblicato settimanalmente, e Daily Inspiration di Marie T Russell. Rivista InnerSelf è stato pubblicato dal 1985.

rompere

Gli studenti si infiltrano in un computer host sotto l'occhio vigile di un mentore durante un esercizio di cattura della bandiera. Richard Matthews, Autore fornito.

Cosa hanno in comune sottomarini nucleari, basi militari top secret e imprese private?

Sono tutti vulnerabili a una semplice fetta di cheddar.

Questo è stato il chiaro risultato di un esercizio di "test della penna", altrimenti noto come test di penetrazione, presso il annuale Summer School di Cyber Security a Tallinn, in Estonia, a luglio.

Ho partecipato, insieme a un contingente australiano, a presentare ricerche alla terza annuale Workshop interdisciplinare sulla ricerca cibernetica. Abbiamo anche avuto la possibilità di visitare aziende come Skype ed Funderbeam, Nonché Centro di eccellenza collaborativo per la difesa informatica della NATO.

Il tema della scuola di quest'anno è stato il social engineering, l'arte di manipolare le persone per divulgare informazioni critiche online senza accorgersene. Ci siamo concentrati sul perché il social engineering funziona, su come prevenire tali attacchi e su come raccogliere prove digitali dopo un incidente.

Il momento saliente della nostra visita è stata la partecipazione a un'esercitazione di cyber range di cattura del fuoco (CTF) dal vivo, in cui i team hanno effettuato attacchi di ingegneria sociale per testare una vera azienda.

Test con penna e phishing nel mondo reale

Il test con penna è un attacco simulato autorizzato alla sicurezza di un sistema fisico o digitale. Mira a individuare le vulnerabilità che i criminali possono sfruttare.

Tali test vanno dal digitale, dove l'obiettivo è accedere a file e dati privati, al fisico, in cui i ricercatori tentano effettivamente di entrare in edifici o spazi all'interno di un'azienda.

Gli studenti dell'Università di Adelaide hanno partecipato a un tour privato dell'ufficio Skype di Tallinn per una presentazione sulla sicurezza informatica. Richard Matthews, Autore previsto

Durante la scuola estiva, abbiamo ascoltato hacker professionisti e tester di penna da tutto il mondo. Sono state raccontate storie su come ottenere l'accesso fisico alle aree sicure usando nient'altro che un pezzo di formaggio a forma di carta d'identità e sicurezza.

Abbiamo quindi messo queste lezioni in pratica attraverso diverse bandiere - obiettivi che i team dovevano raggiungere. La nostra sfida era quella di valutare un'azienda contratta per vedere quanto fosse suscettibile agli attacchi di ingegneria sociale.

I test fisici erano specificamente vietati durante i nostri esercizi. Sono stati inoltre stabiliti dei limiti etici con l'azienda per garantire che agivamo come specialisti della sicurezza informatica e non criminali.

OSINT: Open Source Intelligence

La prima bandiera fu quella di ricercare la compagnia.

Invece di fare ricerche come faresti per un colloquio di lavoro, siamo andati alla ricerca di potenziali vulnerabilità all'interno delle informazioni disponibili al pubblico. Questo è noto come intelligenza open source (OSINT). Ad esempio:

chi sono i consigli di amministrazione?
chi sono i loro assistenti?
quali eventi stanno accadendo in azienda?
sono probabilmente in vacanza al momento?
quali informazioni di contatto dei dipendenti possiamo raccogliere?

Siamo stati in grado di rispondere a tutte queste domande con straordinaria chiarezza. Il nostro team ha persino trovato numeri di telefono e vie dirette nell'azienda a seguito di eventi riportati dai media.

L'email di phishing

Queste informazioni sono state quindi utilizzate per creare due e-mail di phishing dirette a target identificati dalle nostre indagini OSINT. Il phishing è quando vengono utilizzate comunicazioni online dannose per ottenere informazioni personali.

Lo scopo di questo flag era di fare clic su un link all'interno delle nostre e-mail. Per motivi legali ed etici, il contenuto e l'aspetto dell'e-mail non possono essere divulgati.

Proprio come i clienti fanno clic su termini e condizioni senza leggere, abbiamo sfruttato il fatto che i nostri target farebbero clic su un collegamento di interesse senza verificare la posizione del collegamento.

L'infezione iniziale di un sistema può essere ottenuta tramite una semplice e-mail contenente un collegamento. Freddy Dezeure / C3S, Autore previsto

In un vero attacco di phishing, una volta che fai clic sul collegamento, il tuo sistema informatico viene compromesso. Nel nostro caso, abbiamo inviato i nostri obiettivi a siti benigni di nostra produzione.

La maggior parte dei team della scuola estiva ha realizzato con successo un attacco e-mail di phishing. Alcuni sono persino riusciti a inoltrare la propria e-mail in tutta l'azienda.

La maggior parte delle persone si innamora delle e-mail false: lezioni dalla Cybersecurity Summer School Quando i dipendenti inoltrano e-mail all'interno di un'azienda, aumenta il fattore di fiducia dell'e-mail e è più probabile che si faccia clic sui collegamenti contenuti in tale e-mail. Freddy Dezeure / C3S, Autore previsto

I nostri risultati rafforzano le scoperte dei ricercatori sull'incapacità delle persone di distinguere un'e-mail compromessa da una affidabile. Uno studio sulle persone 117 lo ha scoperto 42% delle e-mail sono state classificate in modo errato come reale o falso dal destinatario.

Phishing in futuro

Il phishing è probabile che ottenga solo più sofisticato.

Con un numero crescente di dispositivi connessi a Internet privi di standard di sicurezza di base, i ricercatori suggeriscono che gli autori di attacchi di phishing cercheranno metodi per dirottare questi dispositivi. Ma come risponderanno le aziende?

In base alla mia esperienza a Tallinn, vedremo le aziende diventare più trasparenti nel modo in cui gestiscono gli attacchi informatici. Dopo un enorme attacco informatico in 2007, ad esempio, il governo estone ha reagito nel modo giusto.

Invece di fornire spin al pubblico e coprire i servizi del governo andando lentamente offline, hanno ammesso di essere stati attaccati da un agente straniero sconosciuto.

Allo stesso modo, le aziende dovranno ammettere quando sono sotto attacco. Questo è l'unico modo per ristabilire la fiducia tra loro stessi e i loro clienti e per prevenire l'ulteriore diffusione di un attacco di phishing.

Fino ad allora, posso interessarti software anti-phishing gratuito?

L'autore

Richard Matthews, Candidato al dottorato, Università di Adelaide

Questo articolo è ripubblicato da The Conversation sotto una licenza Creative Commons. Leggi il articolo originale.

rompere

Grazie della visita InnerSelf.com, dove ci sono 20,000+ articoli che cambiano la vita e promuovono "Nuovi atteggiamenti e nuove possibilità". Tutti gli articoli sono tradotti in 30+ lingue. Sottoscrivi a InnerSelf Magazine, pubblicato settimanalmente, e Daily Inspiration di Marie T Russell. Rivista InnerSelf è stato pubblicato dal 1985.

Lingue disponibili

segui InnerSelf su

Autori di InnerSelf

bambino in piedi sul bordo dell'oceano con in mano una tavola da surf per il corpo

Rivista InnerSelf: 8 aprile 2024

Staff di InnerSelf

Affrontiamo sfide nella vita... nelle condizioni meteorologiche, nella salute, nelle relazioni personali e dentro noi stessi. Molti di noi forse...

Uccelli durante un'eclissi solare totale

Panoramica astrologica e oroscopo: 8 - 14 aprile 2024

Pam Younghans

Questo diario astrologico settimanale si basa sulle influenze planetarie e offre prospettive e intuizioni per aiutarti a ottenere il meglio...

una mano che tiene il disegno di un cuore in segno di vittoria

I segreti per guarire dal COVID a lungo raggio

Vir McCoy

Ho speso troppi soldi in medici, guaritori e pillole nel mio viaggio con il lungo Covid, al punto da diventare ossessionato dalla malattia...

uomo seduto a guardare fuori dalla finestra

La solitudine può uccidere: gli americani di mezza età sono a rischio

Frank J. Infurna, Università statale dell'Arizona

Gli americani di mezza età sono più soli dei loro colleghi europei. Questa è la scoperta chiave di un recente studio, pubblicato su American...

due bambini che comunicano su una coperta

Come può un bambino imparare due lingue contemporaneamente?

Cameron Morin, ENS di Lione

L’acquisizione del linguaggio nei bambini è una delle caratteristiche più affascinanti della specie umana, nonché una delle più difficili…

PIU 'LEGGI

La nuova moneta della vita: la manna

Sarà T. Wilkinson

È facile incolpare il denaro per tutti i problemi del mondo, almeno per l'avidità di denaro. Scegliamo qualsiasi problema e di solito possiamo “seguire il denaro” per…

Trovare la luce nell'oscurità degli evangelici. La svolta partigiana

Robert Jennings, InnerSelf.com

Tim Alberta ha fissato l'abisso del cristianesimo partigiano estremo in America - e in qualche modo vede ancora la luce alla fine del tunnel.

Il ritorno di Shōgun: come la serie FX cattura il cuore del passato del Giappone

Constantine Nomikos Vaporis, Università del Maryland, contea di Baltimora

"Shōgun" di James Clavell è reinventato per una nuova generazione di telespettatori...

La vita invisibile del suolo: come piccole creature sostengono il nostro mondo

Brian Darby, Università del Nord Dakota

Cos'è lo sporco? C'è un intero mondo vivo e contorto nel terreno sotto i nostri piedi, come spiega uno scienziato del suolo

Il vero piano per rubare le elezioni del 2024 al popolo

Robert Jennings, InnerSelf.com

Con l'avvicinarsi delle elezioni presidenziali del 2024, giungono notizie preoccupanti di un piano coordinato da parte di gruppi di estrema destra per deliberatamente...