暑期学校期间,我们听到从专业黑客和笔测试人员来自世界各地。故事被告知身体如何进入安全区域可以获得使用只不过一块乳酪形状像一个身份证和信心。
然后我们把这些教训通过几个旗帜——实际应用,团队需要达成的目标。我们面临的挑战是评估一个承包公司如何受到社会工程攻击。
物理试验是专门限制在我们练习。伦理界限也将与该公司,以确保我们是作为网络安全专家,而不是罪犯。
OSINT:开源情报
第一个标志是研究公司。
而不是研究作为面试你会,我们去寻找潜在的漏洞在公开信息。这就是所谓的开源情报(OSINT)。如:
董事会是谁?
他们的助手是谁?
事件发生在什么公司?
他们可能现在度假吗?
我们的员工联系信息可以收集什么呢?
我们能够以非凡的清晰回答所有些问题。我们的团队甚至发现了直接电话号码和方式进入公司从事件媒体的报道。
网络钓鱼电子邮件
这些信息被用来创建两个网络钓鱼电子邮件从我们OSINT调查针对目标识别。网络钓鱼是当恶意使用在线交流来获取个人信息。
这个标志的目的是得到一个点击链接在我们的电子邮件。法律和道德的原因,邮件的内容和外观不能透露。
就像客户点击没有阅读条款和条件,我们利用这一事实感兴趣的目标点击一个链接没有检查链接所指的地方。
最初感染的系统可以通过一个简单的电子邮件包含一个链接。 弗雷迪Dezeure / c3作物, 作者提供了
在一个真正的网络钓鱼攻击,一旦你点击了链接,你的电脑系统被破坏。在我们的例子中,我们发送我们的良性目标网站。
大多数的团队在暑期学校取得一个成功的网络钓鱼电子邮件攻击。有些人甚至整个公司设法让他们的电子邮件转发。
当员工在公司邮件转发邮件的信任因素增加和电子邮件中包含的链接更有可能点击。 弗雷迪Dezeure / c3作物, 作者提供了
我们的结果加强研究人员的发现对人无法区分泄露的电子邮件从一个值得信赖的人。117人的一项研究发现42%的电子邮件被错误地分类真的或假的接收器。
钓鱼在未来
钓鱼可能只能得到更复杂的.
与越来越多的联网设备缺乏基本的安全标准,研究人员认为,网络钓鱼攻击者将寻求劫持这些设备的方法。但公司将如何应对?
根据我的经验在塔林,我们将看到公司变得更加透明在如何应对网络攻击。在大规模的2007年网络攻击例如,爱沙尼亚政府反应以正确的方式。
而不是向公众提供旋转和离线慢慢掩盖政府服务,他们承认直接受到未知攻击外国代理。
同样,企业需要承认当他们受到攻击。这是唯一的方法来重建他们自己和他们的客户之间的信任,并防止进一步传播的网络钓鱼攻击。
在那之前,我能让你感兴趣免费的反钓鱼软件吗?
下一篇:澳大利亚的火山历史比你想象的更近
责任编辑:admin
