誰もが偽のメールに陥る:サイバーセキュリティサマースクールからの教訓
生徒は、旗をとる練習中に、指導者の注意深い目の下でホストコンピューターに侵入します。 リチャード・マシューズ, 著者が提供しました。 

原子力潜水艦、極秘軍事基地、民間企業には共通点はありますか?

それらはすべて、単純なチェダースライスに対して脆弱です。

これは、「侵入テスト」としても知られる「ペンテスト」演習の明確な結果でした。 毎年恒例のサイバーセキュリティサマースクール 7月にエストニアのタリンで。

私は、オーストラリアからの派遣団とともに、3回目の年次研究に出席するために出席しました 学際的サイバー研究ワークショップ。 また、次のような企業を訪問する機会を得ました Skype & Funderbeam、並びに NATO共同サイバー防衛センター.

今年の学校のテーマは、ソーシャルエンジニアリングでした。重要な情報を気付かずにオンラインで漏らすように人々を操作する技術です。 ソーシャルエンジニアリングが機能する理由、そのような攻撃を防ぐ方法、インシデント後にデジタル証拠を収集する方法に焦点を当てました。

インナーセルフ購読グラフィック

今回の訪問のハイライトは、実際の企業を実際にテストするためにチームがソーシャルエンジニアリング攻撃を実行する、実弾射撃フラグ(CTF)サイバーレンジ演習への参加でした。

ペンテストと実世界のフィッシング

ペンテストは、物理システムまたはデジタルシステムのセキュリティに対する許可された模擬攻撃です。 犯罪者が悪用する可能性のある脆弱性を見つけることを目的としています。

そのようなテストは、目標がファイルや個人データにアクセスするデジタルから、研究者が実際に企業内の建物やスペースに入ろうとする物理的なものにまで及びます。

ほとんどの人が偽のメールに陥る:サイバーセキュリティサマースクールからの教訓
アデレード大学の学生は、サイバーセキュリティに関するプレゼンテーションのためにタリンスカイプオフィスのプライベートツアーに参加しました。 リチャード・マシューズ, 著者提供

サマースクールの期間中、世界中のプロのハッカーやペンテスターから連絡を受けました。 ストーリーは、IDカードのような形をしたチーズと自信を持って、安全なエリアへの物理的な入り口をどのように取得できるかについて語られました。

次に、これらのレッスンをいくつかのフラグ(チームが達成する必要のある目標)を通じて実用化しました。 私たちの課題は、契約企業を評価して、ソーシャルエンジニアリング攻撃の影響を受けやすいかどうかを確認することでした。

運動中の物理テストは特に立ち入り禁止でした。 犯罪者ではなくサイバーセキュリティの専門家として行動するために、会社との間に倫理的な境界も設定されました。

OSINT:オープンソースインテリジェンス

最初の旗は会社を調査することでした。

就職の面接のように調査するのではなく、公開されている情報内の潜在的な脆弱性を探しました。 これは、オープンソースインテリジェンス(OSINT)として知られています。 といった:

  • 取締役会は誰ですか?
  • 彼らのアシスタントは誰ですか?
  • 会社でどんなイベントが起こっていますか?
  • 彼らは現時点で休日になりそうですか?
  • どの従業員の連絡先情報を収集できますか?

これらすべての質問に驚くほど明瞭に答えることができました。 私たちのチームは、メディアで報道されたイベントから直接電話番号と会社に入る方法を見つけました。

フィッシングメール

その後、この情報を使用して、OSINTの調査で特定されたターゲットに向けられた2つのフィッシングメールを作成しました。 フィッシングとは、悪意のあるオンライン通信を使用して個人情報を取得する場合です。

このフラグの目的は、クリックされたメール内のリンクを取得することでした。 法律上および倫理上の理由から、メールの内容と外観は公開できません。

顧客がクリックするように 読んでいない条件、リンクが指している場所を確認せずにターゲットが目的のリンクをクリックするという事実を利用しました。

ほとんどの人が偽のメールに陥る:サイバーセキュリティサマースクールからの教訓システムの初期感染は、リンクを含む簡単な電子メールで取得できます。 フレディ・ディズーア/ C3S, 著者提供

実際のフィッシング攻撃では、リンクをクリックすると、コンピューターシステムが危険にさらされます。 私たちの場合、私たちはターゲットを私たちの作った良性のサイトに送りました。

サマースクールの大部分のチームは、フィッシングメール攻撃に成功しました。 一部の人は、会社全体にメールを転送することさえできました。

ほとんどの人が偽のメールに陥る:サイバーセキュリティサマースクールからの教訓 従業員が企業内で電子メールを転送すると、電子メールの信頼要素が増加し、その電子メールに含まれるリンクがクリックされる可能性が高くなります。 フレディ・ディズーア/ C3S, 著者提供

私たちの結果は、侵害された電子メールと信頼できる電子メールを区別できないことについての研究者の調査結果を補強します。 117の人々に関する1つの研究では、 メールの42%が誤って分類されました 受信者による本物または偽物として。

将来のフィッシング

フィッシング詐欺は、 より洗練された.

インターネットに接続されたデバイスの数が増え、基本的なセキュリティ標準が不足しているため、フィッシング攻撃者がこれらのデバイスをハイジャックする方法を模索することを研究者は示唆しています。 しかし、企業はどのように対応しますか?

タリンでの私の経験に基づいて、企業がサイバー攻撃に対処する方法について、より透明になることがわかります。 大規模な 2007でのサイバー攻撃、たとえば、エストニア政府は正しい方法で反応しました。

彼らは一般にスピンを提供し、徐々にオフラインになる政府サービスを隠蔽するのではなく、未知の外国のエージェントから攻撃を受けていることを完全に認めた。

同様に、企業は攻撃を受けているときに認める必要があります。 これは、自分と顧客の間の信頼を回復し、フィッシング攻撃のさらなる拡散を防ぐ唯一の方法です。

それまで、私はあなたに興味がありますか 無料のフィッシング対策ソフトウェアですか?会話

著者について

リチャード・マシューズ、博士候補者、 アデレード大学

この記事はから再公開されます 会話 クリエイティブコモンズライセンスの下で 読む 原著.