छात्रों को एक फ्लैग अभ्यास पर कब्जा करने के दौरान एक संरक्षक की चौकस नजर के तहत एक मेजबान कंप्यूटर में घुसपैठ करता है। रिचर्ड मैथ्यूज, लेखक प्रदान की गई
परमाणु पनडुब्बी, शीर्ष गुप्त सैन्य ठिकाने और निजी व्यवसाय आम में क्या हैं?
वे सभी चेडर के एक साधारण स्लाइस के प्रति संवेदनशील हैं।
यह "पेन परीक्षण" अभ्यास का स्पष्ट परिणाम था, अन्यथा प्रवेश परीक्षण के रूप में जाना जाता है वार्षिक साइबर सुरक्षा समर स्कूल जुलाई में टालिन, एस्टोनिया में।
मैंने तीसरे वार्षिक में शोध प्रस्तुत करने के लिए ऑस्ट्रेलिया के एक दल के साथ भाग लिया अंतःविषय साइबर अनुसंधान कार्यशाला। हमें इस तरह की कंपनियों का दौरा करने का मौका मिला Skype और Funderbeam, साथ ही नाटो सहयोगात्मक साइबर रक्षा उत्कृष्टता केंद्र.
इस वर्ष के स्कूल का विषय सोशल इंजीनियरिंग था - जो लोगों को महत्वपूर्ण सूचनाओं को ऑनलाइन साकार करने के लिए उनके साथ छेड़छाड़ करने की कला है। हमने इस बात पर ध्यान केंद्रित किया कि सोशल इंजीनियरिंग क्यों काम करती है, इस तरह के हमलों को कैसे रोका जाए और किसी घटना के बाद डिजिटल साक्ष्य कैसे इकट्ठा किए जाएं।
हमारी यात्रा का मुख्य आकर्षण फ्लैग (CTF) साइबर रेंज एक्सरसाइज में लाइव फायर कैप्चर में भाग लेना था, जहां टीमों ने एक असली कंपनी का परीक्षण करने के लिए सोशल इंजीनियरिंग हमलों को अंजाम दिया।
कलम परीक्षण और असली दुनिया फ़िशिंग
पेन परीक्षण एक भौतिक या डिजिटल प्रणाली की सुरक्षा पर एक अधिकृत नकली हमला है। इसका उद्देश्य कमजोरियों का पता लगाना है जो अपराधी शोषण कर सकते हैं।
इस तरह के परीक्षण डिजिटल से होते हैं, जहां लक्ष्य भौतिक तक फ़ाइलों और निजी डेटा तक पहुंच रहा है, जहां शोधकर्ता वास्तव में किसी कंपनी के भीतर इमारतों या स्थानों में प्रवेश करने का प्रयास करते हैं।
रिचर्ड मैथ्यूज, लेखक प्रदान की
समर स्कूल के दौरान, हमने दुनिया भर के पेशेवर हैकर्स और कलम परीक्षकों से सुना। कहानियों में बताया गया था कि कैसे सुरक्षित क्षेत्रों में भौतिक प्रवेश प्राप्त किया जा सकता है, जिसमें आईडी कार्ड और आत्मविश्वास जैसे आकार के पनीर के टुकड़े से अधिक कुछ नहीं का उपयोग किया जा सकता है।
इसके बाद हमने कई झंडों के माध्यम से इन पाठों को व्यावहारिक उपयोग के लिए रखा - ऐसे लक्ष्य जिन्हें हासिल करने के लिए टीमों की आवश्यकता थी। हमारी चुनौती एक अनुबंधित कंपनी का आकलन करना था कि यह देखने के लिए कि वह सोशल इंजीनियरिंग हमलों के प्रति कितनी संवेदनशील थी।
शारीरिक परीक्षण विशेष रूप से हमारे अभ्यास के दौरान सीमा से दूर था। कंपनी के साथ नैतिक सीमाएं भी तय की गईं ताकि हम साइबर सुरक्षा विशेषज्ञों के रूप में काम कर सकें और अपराधी नहीं।
OSINT: ओपन सोर्स इंटेलिजेंस
पहला झंडा कंपनी पर शोध करने का था।
नौकरी के साक्षात्कार के लिए शोध करने के बजाय, हम सार्वजनिक रूप से उपलब्ध जानकारी के भीतर संभावित कमजोरियों की तलाश में थे। इसे ओपन सोर्स इंटेलिजेंस (OSINT) के रूप में जाना जाता है। जैसे कि:
- निदेशक मंडल कौन हैं?
- उनके सहायक कौन हैं?
- कंपनी में क्या घटनाएं हो रही हैं?
- क्या वे इस समय छुट्टी पर होने की संभावना है?
- हम किस कर्मचारी से संपर्क कर सकते हैं?
हम असाधारण स्पष्टता के साथ इन सभी सवालों का जवाब देने में सक्षम थे। हमारी टीम ने मीडिया में रिपोर्ट की गई घटनाओं से सीधे फोन नंबर और कंपनी के तरीके भी खोजे।
फ़िशिंग ईमेल
इस जानकारी का उपयोग तब किया गया था जब हमारे OSINT जांच से प्राप्त लक्ष्यों पर निर्देशित दो फ़िशिंग ईमेल बनाए गए थे। फ़िशिंग तब होती है जब व्यक्तिगत जानकारी प्राप्त करने के लिए दुर्भावनापूर्ण ऑनलाइन संचार का उपयोग किया जाता है।
इस झंडे का उद्देश्य हमारे ईमेल के भीतर एक लिंक पर क्लिक करना था। कानूनी और नैतिक कारणों से, ईमेल की सामग्री और उपस्थिति का खुलासा नहीं किया जा सकता है।
जैसे ग्राहक क्लिक करते हैं बिना पढ़े नियम और शर्तें, हमने इस तथ्य का फायदा उठाया कि हमारे लक्ष्य ब्याज की एक लिंक पर क्लिक करेंगे, जहां यह इंगित किए बिना कि लिंक इंगित कर रहा था।
फ्रेडी डेज़्योर / C3S, लेखक प्रदान की
असली फ़िशिंग हमले में, एक बार जब आप लिंक पर क्लिक करते हैं, तो आपका कंप्यूटर सिस्टम समझौता कर लेता है। हमारे मामले में, हमने अपने लक्ष्य को हमारे बनाने की सौम्य साइटों पर भेज दिया।
ग्रीष्मकालीन स्कूल में अधिकांश टीमों ने एक सफल फ़िशिंग ईमेल हमला किया। कुछ ने कंपनी में अपना ईमेल फॉरवर्ड करने में भी कामयाबी हासिल की।
फ्रेडी डेज़्योर / C3S, लेखक प्रदान की
हमारे नतीजे शोधकर्ताओं के निष्कर्षों को एक भरोसेमंद से एक समझौता किए गए ईमेल को अलग करने में असमर्थता के बारे में बताते हैं। 117 लोगों के एक अध्ययन में पाया गया कि आसपास 42% ईमेल गलत तरीके से वर्गीकृत किए गए थे रिसीवर द्वारा वास्तविक या नकली के रूप में।
भविष्य में फ़िशिंग
फ़िशिंग केवल प्राप्त करने की संभावना है और अधिक परिष्कृत.
बुनियादी सुरक्षा मानकों में इंटरनेट से जुड़े उपकरणों की बढ़ती संख्या के साथ, शोधकर्ताओं का सुझाव है कि फ़िशिंग हमलावर इन उपकरणों को अपहरण करने के तरीकों की तलाश करेंगे। लेकिन कंपनियां कैसे जवाब देंगी?
तेलिन में मेरे अनुभव के आधार पर, हम देखेंगे कि कंपनियां साइबर हमलों से कैसे निपटती हैं, यह अधिक पारदर्शी होता है। एक बड़े पैमाने के बाद 2007 में साइबर हमला, उदाहरण के लिए, एस्टोनियाई सरकार ने सही तरीके से प्रतिक्रिया दी।
जनता को स्पिन प्रदान करने और सरकारी सेवाओं को धीरे-धीरे ऑफ़लाइन करने के बजाय, उन्होंने स्पष्ट रूप से स्वीकार किया कि वे एक अज्ञात विदेशी एजेंट से हमले कर रहे थे।
इसी तरह, व्यवसायों को हमले के समय स्वीकार करना होगा। यह अपने और अपने ग्राहकों के बीच विश्वास को फिर से स्थापित करने और एक फ़िशिंग हमले के आगे प्रसार को रोकने का एकमात्र तरीका है।
तब तक क्या मैं आप में दिलचस्पी ले सकता हूं मुफ्त एंटी फ़िशिंग सॉफ़्टवेयर?
लेखक के बारे में
रिचर्ड मैथ्यूज, पीएचडी उम्मीदवार, एडीलेड विश्वविद्यालय
इस लेख से पुन: प्रकाशित किया गया है वार्तालाप क्रिएटिव कॉमन्स लाइसेंस के तहत। को पढ़िए मूल लेख.