Siswa menyusup ke komputer host di bawah pengawasan ketat seorang mentor selama latihan menangkap bendera. Richard Matthews, Penulis yang diberikan 

Apa kesamaan dari kapal selam nuklir, pangkalan militer rahasia dan bisnis swasta?

Mereka semua rentan terhadap sepotong cheddar sederhana.

Ini adalah hasil yang jelas dari latihan "pengujian pena", atau dikenal sebagai pengujian penetrasi, di Sekolah Musim Panas Cyber ​​Security tahunan di Tallinn, Estonia pada bulan Juli.

Saya menghadiri, bersama dengan sebuah kontingen dari Australia, untuk mempresentasikan penelitian pada tahunan ketiga Lokakarya Penelitian Interdisipliner Cyber. Kami juga mendapat kesempatan untuk mengunjungi perusahaan seperti skype dan Funderbeam, Serta Pusat Keunggulan Cyber ​​Defense Kolaboratif NATO.

Tema sekolah tahun ini adalah rekayasa sosial - seni memanipulasi orang untuk membocorkan informasi penting secara online tanpa menyadarinya. Kami fokus pada mengapa rekayasa sosial bekerja, bagaimana mencegah serangan seperti itu dan bagaimana mengumpulkan bukti digital setelah insiden.

Sorotan dari kunjungan kami adalah partisipasi dalam latihan penangkapan langsung siber bendera (CTF), di mana tim melakukan serangan rekayasa sosial untuk menguji coba perusahaan yang sebenarnya.

Pengujian pena dan phishing dunia nyata

Pengujian pena adalah serangan simulasi yang disahkan pada keamanan sistem fisik atau digital. Ini bertujuan untuk menemukan kerentanan yang dapat dieksploitasi oleh penjahat.

Pengujian semacam itu berkisar dari digital, di mana tujuannya adalah mengakses file dan data pribadi, ke fisik, di mana para peneliti benar-benar mencoba memasuki bangunan atau ruang dalam perusahaan.

Mahasiswa Universitas Adelaide menghadiri tur pribadi kantor Skype Tallinn untuk presentasi tentang keamanan cyber. Richard Matthews, penulis tersedia

Selama sekolah musim panas, kami mendengar dari peretas profesional dan penguji pena dari seluruh dunia. Cerita-cerita diceritakan tentang bagaimana cara masuk secara fisik ke area aman dapat diperoleh dengan menggunakan tidak lebih dari sepotong keju berbentuk seperti kartu identitas dan kepercayaan diri.

Kami kemudian menggunakan pelajaran ini untuk penggunaan praktis melalui beberapa bendera - tujuan yang perlu dicapai oleh tim. Tantangan kami adalah menilai perusahaan yang dikontrak untuk melihat seberapa rentan serangan teknis sosial.

Pengujian fisik secara khusus terlarang selama latihan kami. Batas etika juga ditetapkan dengan perusahaan untuk memastikan kami bertindak sebagai spesialis keamanan siber dan bukan penjahat.

OSINT: Open Source Intelligence

Bendera pertama adalah untuk meneliti perusahaan.

Daripada meneliti seperti yang Anda lakukan untuk wawancara kerja, kami pergi mencari potensi kerentanan dalam informasi yang tersedia untuk umum. Ini dikenal sebagai kecerdasan open source (OSINT). Seperti:

• siapa dewan direksi?
• siapa asisten mereka?
• kejadian apa yang terjadi di perusahaan?
• apakah mereka akan berlibur saat ini?
• informasi kontak karyawan apa yang dapat kami kumpulkan?

Kami mampu menjawab semua pertanyaan ini dengan sangat jelas. Tim kami bahkan menemukan nomor telepon langsung dan cara masuk ke perusahaan dari peristiwa yang dilaporkan di media.

Email phishing

Informasi ini kemudian digunakan untuk membuat dua email phising yang diarahkan pada target yang diidentifikasi dari penyelidikan OSINT kami. Phishing adalah ketika komunikasi online berbahaya digunakan untuk mendapatkan informasi pribadi.

Objek dari bendera ini adalah untuk mendapatkan tautan di dalam email-email kami yang diklik. Untuk alasan hukum dan etika, konten dan tampilan email tidak dapat diungkapkan.

Sama seperti pelanggan klik syarat dan ketentuan tanpa membaca, kami mengeksploitasi fakta bahwa target kami akan mengklik tautan yang menarik tanpa memeriksa ke mana tautan itu diarahkan.

Infeksi awal suatu sistem dapat diperoleh dengan email sederhana yang berisi tautan. Freddy Dezeure / C3S, penulis tersedia

Dalam serangan phishing nyata, setelah Anda mengklik tautan, sistem komputer Anda terganggu. Dalam kasus kami, kami mengirim target kami ke situs jinak yang kami buat.

Mayoritas tim di sekolah musim panas mencapai serangan email phishing yang sukses. Beberapa bahkan berhasil meneruskan email mereka ke seluruh perusahaan.

Ketika karyawan meneruskan email dalam suatu perusahaan, faktor kepercayaan dari email meningkat dan tautan yang terkandung dalam email itu lebih cenderung diklik. Freddy Dezeure / C3S, penulis tersedia

Hasil kami memperkuat temuan para peneliti tentang ketidakmampuan orang untuk membedakan email yang dikompromikan dari yang dapat dipercaya. Satu studi orang 117 menemukan bahwa sekitar 42% dari email diklasifikasikan secara salah baik nyata atau palsu oleh penerima.

Phishing di masa depan

Phishing kemungkinan hanya akan didapat lebih mutakhir.

Dengan semakin banyak perangkat yang terhubung internet yang tidak memiliki standar keamanan dasar, para peneliti menyarankan bahwa penyerang phishing akan mencari metode pembajakan perangkat ini. Tetapi bagaimana perusahaan akan merespons?

Berdasarkan pengalaman saya di Tallinn, kita akan melihat perusahaan menjadi lebih transparan dalam cara mereka menghadapi serangan cyber. Setelah masif serangan cyber di 2007misalnya, pemerintah Estonia bereaksi dengan cara yang benar.

Alih-alih memberikan putaran kepada publik dan menutupi layanan pemerintah perlahan-lahan offline, mereka langsung mengakui bahwa mereka sedang diserang oleh agen asing yang tidak dikenal.

Demikian juga, bisnis perlu mengakui ketika mereka diserang. Ini adalah satu-satunya cara untuk membangun kembali kepercayaan antara mereka dan pelanggan mereka, dan untuk mencegah penyebaran serangan phishing lebih lanjut.

Sampai saat itu, dapatkah saya menarik minat Anda perangkat lunak anti-phishing gratis?

tentang Penulis

Richard Matthews, Calon PhD, University of Adelaide

Artikel ini diterbitkan kembali dari Percakapan di bawah lisensi Creative Commons. Membaca Artikel asli.