Os alunos se infiltram no computador host sob o olhar atento de um mentor durante um exercício de captura da bandeira. Richard Matthews, Autor fornecido. 

O que os submarinos nucleares, as bases militares ultra-secretas e as empresas privadas têm em comum?

Todos eles são vulneráveis ​​a uma simples fatia de queijo cheddar.

Esse foi o resultado claro de um exercício de "teste de caneta", também conhecido como teste de penetração, no Escola de Verão anual da Cyber ​​Security em Tallinn, Estônia, em julho.

Participei, juntamente com um contingente da Austrália, de apresentar pesquisas no terceiro ano anual Workshop interdisciplinar de pesquisa cibernética. Também tivemos a chance de visitar empresas como Skype e Funderbeam, Bem como o Centro de Excelência em Defesa Cibernética Colaborativo da OTAN.

O tema da escola deste ano foi engenharia social - a arte de manipular pessoas para divulgar informações críticas on-line sem perceber. Nós nos concentramos em por que a engenharia social funciona, como evitar esses ataques e como coletar evidências digitais após um incidente.

O destaque de nossa visita foi a participação em um exercício de alcance cibernético (CTF), onde equipes realizaram ataques de engenharia social para testar uma empresa real.

Teste de caneta e phishing no mundo real

O teste de caneta é um ataque simulado autorizado à segurança de um sistema físico ou digital. O objetivo é encontrar vulnerabilidades que os criminosos possam explorar.

Esses testes variam do digital, onde o objetivo é acessar arquivos e dados privados, ao físico, onde os pesquisadores realmente tentam entrar em edifícios ou espaços dentro de uma empresa.

Os estudantes da Universidade de Adelaide participaram de um tour privado no escritório do Tallinn Skype para uma apresentação sobre segurança cibernética. Richard Matthews, Autor fornecida

Durante a escola de verão, ouvimos hackers profissionais e testadores de caneta de todo o mundo. Foram contadas histórias sobre como a entrada física em áreas seguras pode ser obtida usando nada além de um pedaço de queijo em forma de carteira de identidade e confiança.

Colocamos essas lições em uso prático por meio de várias bandeiras - objetivos que as equipes precisavam alcançar. Nosso desafio era avaliar uma empresa contratada para ver se ela era suscetível a ataques de engenharia social.

O teste físico estava especificamente fora dos limites durante nossos exercícios. Também foram estabelecidos limites éticos com a empresa para garantir que agíamos como especialistas em segurança cibernética e não como criminosos.

OSINT: Inteligência de código aberto

A primeira bandeira foi pesquisar a empresa.

Em vez de pesquisar como você faria para uma entrevista de emprego, procuramos possíveis vulnerabilidades nas informações publicamente disponíveis. Isso é conhecido como inteligência de código aberto (OSINT). Tal como:

• quem é o conselho de administração?
• quem são seus assistentes?
• que eventos estão acontecendo na empresa?
• é provável que eles estejam de férias no momento?
• Que informações de contato dos funcionários podemos coletar?

Conseguimos responder a todas essas perguntas com uma clareza extraordinária. Nossa equipe chegou a encontrar números de telefone diretos e formas de entrar na empresa a partir de eventos divulgados na mídia.

O email de phishing

Essas informações foram usadas para criar dois e-mails de phishing direcionados aos destinos identificados em nossas investigações do OSINT. Phishing é quando as comunicações online maliciosas são usadas para obter informações pessoais.

O objetivo desta bandeira era obter um link em nossos e-mails clicados. Por razões legais e éticas, o conteúdo e a aparência do email não podem ser divulgados.

Assim como os clientes clicam em termos e condições sem leitura, exploramos o fato de que nossas metas clicariam em um link de interesse sem verificar para onde o link estava apontando.

A infecção inicial de um sistema pode ser obtida por um simples email contendo um link. Freddy Dezeure / C3S, Autor fornecida

Em um ataque de phishing real, quando você clica no link, o sistema do seu computador fica comprometido. No nosso caso, enviamos nossas metas para sites benignos de nossa fabricação.

A maioria das equipes da escola de verão conseguiu um ataque bem-sucedido de e-mail de phishing. Alguns até conseguiram encaminhar seus emails para toda a empresa.

Quando os funcionários encaminham emails em uma empresa, o fator de confiança do email aumenta e é mais provável que os links contidos nesse email sejam clicados. Freddy Dezeure / C3S, Autor fornecida

Nossos resultados reforçam as descobertas dos pesquisadores sobre a incapacidade das pessoas de distinguir um email comprometido de um confiável. Um estudo de pessoas da 117 descobriu que em torno de 42% dos e-mails foram classificados incorretamente como real ou falso pelo receptor.

Phishing no futuro

É provável que o phishing obtenha apenas Mais sofisticado.

Com um número crescente de dispositivos conectados à Internet sem padrões básicos de segurança, os pesquisadores sugerem que os invasores de phishing procurarão métodos de seqüestrar esses dispositivos. Mas como as empresas responderão?

Com base na minha experiência em Tallinn, veremos as empresas se tornarem mais transparentes na maneira como lidam com ataques cibernéticos. Depois de uma enorme ataque cibernético no 2007, por exemplo, o governo estoniano reagiu da maneira certa.

Em vez de fornecer orientação ao público e encobrir lentamente os serviços governamentais, eles admitiram que estavam sendo atacados por um agente estrangeiro desconhecido.

Da mesma forma, as empresas precisarão admitir quando estão sob ataque. Essa é a única maneira de restabelecer a confiança entre eles e seus clientes e impedir a propagação de um ataque de phishing.

Até então, posso lhe interessar software anti-phishing gratuito?

Sobre o autor

Richard MatthewsPhD Candidato, Universidade de Adelaide

Este artigo foi republicado a partir de A Conversação sob uma licença Creative Commons. Leia o artigo original.