يقع معظم الناس في رسائل البريد الإلكتروني المزيفة: دروس من المدرسة الصيفية للأمن السيبراني

: By ريتشارد ماتوس

شكرا لزيارتكم InnerSelf.com، حيث هناك +20,000 مقالات تغير الحياة تروج لـ "مواقف جديدة وإمكانيات جديدة". جميع المقالات مترجمة إلى 30+ لغات. اشتراك لمجلة InnerSelf، التي تُنشر أسبوعيًا، وDaily Inspiration لماري تي راسل. مجلة InnerSelf تم نشره منذ عام 1985.

استراحة

يتسلل الطلاب إلى كمبيوتر مضيف تحت العين الساهرة لمعلمه أثناء التقاط تمرين العلم. ريتشارد ماتوس, المؤلف المقدمة.

ما الذي تشترك فيه الغواصات النووية والقواعد العسكرية السرية العليا والشركات الخاصة؟

انهم جميعا عرضة لشريحة بسيطة من شيدر.

كان هذا نتيجة واضحة لممارسة "اختبار القلم" ، والمعروفة باسم اختبار الاختراق ، في المدرسة الصيفية للأمن السيبراني السنوي في تالين ، إستونيا في يوليو.

حضرت ، إلى جانب وحدة من أستراليا ، لتقديم أبحاث في السنة الثالثة ورشة عمل متعددة التخصصات لأبحاث الإنترنت. كما حصلنا على فرصة لزيارة شركات مثل سكيب و Funderbeam، فضلا عن مركز التميز للدفاع السيبراني التابع لمنظمة حلف شمال الأطلسي.

كان موضوع مدرسة هذا العام هو الهندسة الاجتماعية - فن التعامل مع الناس لإفشاء المعلومات الهامة عبر الإنترنت دون إدراكها. ركزنا على سبب عمل الهندسة الاجتماعية ، وكيفية منع مثل هذه الهجمات وكيفية جمع الأدلة الرقمية بعد وقوع حادث.

كان أبرز ما في زيارتنا هو المشاركة في تمرين على نطاق علم العلم (CTF) عبر الإنترنت ، حيث نفذت فرق هجمات الهندسة الاجتماعية لاختبار القلم شركة حقيقية.

اختبار القلم والتصيد في العالم الحقيقي

اختبار القلم هو هجوم محاكاة معتمد على أمن نظام مادي أو رقمي. ويهدف إلى إيجاد نقاط الضعف التي قد يستغلها المجرمون.

يتراوح هذا الاختبار من الرقمي ، حيث يكون الهدف هو الوصول إلى الملفات والبيانات الخاصة ، إلى الفعلي ، حيث يحاول الباحثون بالفعل الدخول إلى المباني أو المساحات داخل الشركة.

حضر طلاب جامعة أديليد جولة خاصة في مكتب تالين سكايب لعرض تقديمي حول الأمن السيبراني. ريتشارد ماتوس, مؤلف المنصوص

خلال المدرسة الصيفية ، سمعنا من المتسللين المحترفين واختبار القلم من جميع أنحاء العالم. تم إخبار القصص حول كيفية الحصول على الدخول المادي إلى مناطق آمنة باستخدام أكثر من قطعة من الجبن على شكل بطاقة هوية وثقة.

ثم نستخدم هذه الدروس في التطبيق العملي من خلال العديد من الأعلام - الأهداف التي تحتاجها الفرق لتحقيقها. كان التحدي الذي يواجهنا هو تقييم شركة متعاقدة لمعرفة مدى تعرضها لهجمات الهندسة الاجتماعية.

كان الاختبار البدني على وجه التحديد خارج الحدود خلال التدريبات لدينا. تم أيضًا تعيين حدود أخلاقية مع الشركة للتأكد من أننا نتصرف كأخصائيين في الأمن السيبراني وليس كمجرمين.

OSINT: الذكاء المفتوح المصدر

العلم الأول كان البحث عن الشركة.

بدلاً من البحث كما تفعل في مقابلة عمل ، بحثنا عن نقاط الضعف المحتملة ضمن المعلومات المتاحة للجمهور. هذا هو المعروف باسم مفتوح المصدر الاستخبارات (OSINT). مثل:

من هم مجلس الإدارة؟
من هم مساعدوهم؟
ما هي الأحداث التي تحدث في الشركة؟
هل من المحتمل أن يكونوا في إجازة في الوقت الحالي؟
ما هي معلومات اتصال الموظف التي يمكننا جمعها؟

تمكنا من الإجابة على كل هذه الأسئلة بوضوح غير عادي. حتى أن فريقنا عثر على أرقام هواتف وطرق مباشرة للشركة من الأحداث التي تم الإبلاغ عنها في وسائل الإعلام.

البريد الإلكتروني التصيد

ثم تم استخدام هذه المعلومات لإنشاء رسالتين بريد إلكتروني للتصيد موجهة نحو أهداف تم تحديدها من خلال تحقيقات OSINT. الخداع هو عندما يتم استخدام الاتصالات الضارة عبر الإنترنت للحصول على معلومات شخصية.

الهدف من هذه العلامة هو الحصول على رابط داخل رسائل البريد الإلكتروني الخاصة بنا. لأسباب قانونية وأخلاقية ، لا يمكن الكشف عن محتوى ومظهر البريد الإلكتروني.

تماما مثل العملاء انقر على الشروط والأحكام دون قراءة، لقد استغلنا حقيقة أن أهدافنا ستنقر على رابط الاهتمام دون التحقق من حيث يشير الرابط.

يمكن الحصول على العدوى الأولية للنظام من خلال بريد إلكتروني بسيط يحتوي على رابط. فريدي ديزيور / C3S, مؤلف المنصوص

في هجوم تصيد حقيقي ، بمجرد النقر على الرابط ، يكون نظام الكمبيوتر الخاص بك معرضًا للخطر. في حالتنا ، أرسلنا أهدافنا إلى مواقع حميدة من صنعنا.

حققت غالبية الفرق في المدرسة الصيفية هجومًا ناجحًا عبر البريد الإلكتروني. تمكن البعض حتى من إعادة توجيه رسائل البريد الإلكتروني الخاصة بهم في جميع أنحاء الشركة.

معظم الناس يسقطون بسبب رسائل البريد الإلكتروني المزيفة: دروس من المدرسة الصيفية للأمن السيبراني عندما يقوم الموظفون بإعادة توجيه رسائل البريد الإلكتروني داخل الشركة ، يزداد عامل الثقة في البريد الإلكتروني ويزيد احتمال النقر فوق الروابط الموجودة في تلك الرسالة الإلكترونية. فريدي ديزيور / C3S, مؤلف المنصوص

تعزز نتائجنا النتائج التي توصل إليها الباحثون حول عدم قدرة الناس على التمييز بين البريد الإلكتروني الذي يتعرض للخطر والرسائل غير الموثوق بها. وجدت دراسة واحدة من الناس 117 أن حولها تم تصنيف 42٪ من رسائل البريد الإلكتروني بشكل غير صحيح إما حقيقية أو وهمية من قبل المتلقي.

التصيد في المستقبل

الخداع من المرجح أن يحصل فقط اكثر تطورا.

مع تزايد عدد الأجهزة المتصلة بالإنترنت التي تفتقر إلى معايير الأمان الأساسية ، يشير الباحثون إلى أن مهاجمو الخداع سيبحثون عن طرق لاختطاف هذه الأجهزة. لكن كيف ستستجيب الشركات؟

بناءً على تجربتي في تالين ، سنرى أن الشركات تصبح أكثر شفافية في كيفية تعاملها مع الهجمات الإلكترونية. بعد ضخمة الهجوم السيبراني في 2007على سبيل المثال ، ردت الحكومة الإستونية بالطريقة الصحيحة.

فبدلاً من تزويد الجمهور بالدوران والتستر على الخدمات الحكومية التي تعمل ببطء خارج الإنترنت ، اعترفوا صراحةً أنهم تعرضوا للهجوم من عميل أجنبي مجهول.

وبالمثل ، سوف تحتاج الشركات إلى الاعتراف عندما تتعرض للهجوم. هذه هي الطريقة الوحيدة لإعادة الثقة بين أنفسهم وعملائهم ، ولمنع المزيد من انتشار هجوم التصيد الاحتيالي.

حتى ذلك الحين ، هل يمكنني الاهتمام بك برنامج مكافحة الخداع المجاني؟

عن المؤلف

ريتشارد ماتوس، مرشح الدكتوراه، جامعة أديلايد

يتم إعادة نشر هذه المقالة من المحادثة تحت رخصة المشاع الإبداعي. إقرأ ال المقال الأصلي.

استراحة

شكرا لزيارتكم InnerSelf.com، حيث هناك +20,000 مقالات تغير الحياة تروج لـ "مواقف جديدة وإمكانيات جديدة". جميع المقالات مترجمة إلى 30+ لغات. اشتراك لمجلة InnerSelf، التي تُنشر أسبوعيًا، وDaily Inspiration لماري تي راسل. مجلة InnerSelf تم نشره منذ عام 1985.