Todos se enamoran de correos electrónicos falsos: lecciones de la escuela de verano de ciberseguridad
Los estudiantes se infiltran en una computadora host bajo la atenta mirada de un mentor durante un ejercicio de captura de la bandera. Richard Matthews, Autor proporcionado. 

¿Qué tienen en común los submarinos nucleares, las bases militares de alto secreto y las empresas privadas?

Todos son vulnerables a una simple rebanada de queso cheddar.

Este fue el claro resultado de un ejercicio de "prueba de la pluma", también conocido como prueba de penetración, en el Escuela anual de verano de seguridad cibernética en Tallin, Estonia en julio.

Asistí, junto con un contingente de Australia, para presentar una investigación en la tercera reunión anual. Taller interdisciplinario de investigación cibernética. También tuvimos la oportunidad de visitar empresas como Skype y Funderbeam, Así como la Centro de excelencia colaborativo de defensa cibernética de la OTAN.

El tema de la escuela de este año fue la ingeniería social: el arte de manipular a las personas para divulgar información crítica en línea sin darse cuenta. Nos centramos en por qué funciona la ingeniería social, cómo prevenir tales ataques y cómo reunir evidencia digital después de un incidente.

gráfico de suscripción interior

Lo más destacado de nuestra visita fue la participación en un ejercicio de alcance cibernético de captura de la bandera de fuego vivo (CTF), donde los equipos llevaron a cabo ataques de ingeniería social para probar una empresa real.

Prueba de pluma y phishing del mundo real

La prueba con lápiz es un ataque simulado autorizado contra la seguridad de un sistema físico o digital. Su objetivo es encontrar vulnerabilidades que los delincuentes puedan explotar.

Dichas pruebas van desde lo digital, donde el objetivo es acceder a archivos y datos privados, hasta lo físico, donde los investigadores realmente intentan ingresar a edificios o espacios dentro de una empresa.

La mayoría de las personas caen en correos electrónicos falsos: lecciones de la escuela de verano de ciberseguridad
Los estudiantes de la Universidad de Adelaida asistieron a un recorrido privado por la oficina de Skype de Tallin para una presentación sobre seguridad cibernética. Richard Matthews, autor proporcionado

Durante la escuela de verano, escuchamos a hackers profesionales y probadores de bolígrafos de todo el mundo. Se contaron historias sobre cómo se puede obtener acceso físico a áreas seguras utilizando nada más que un trozo de queso con forma de tarjeta de identificación y confianza.

Luego, ponemos estas lecciones en práctica a través de varios indicadores, objetivos que los equipos deben alcanzar. Nuestro desafío era evaluar a una empresa contratada para ver qué tan susceptible era a los ataques de ingeniería social.

Las pruebas físicas estuvieron específicamente fuera de los límites durante nuestros ejercicios. También se establecieron límites éticos con la compañía para garantizar que actuamos como especialistas en seguridad cibernética y no como delincuentes.

OSINT: Inteligencia de código abierto

La primera bandera fue investigar la empresa.

En lugar de investigar como lo haría para una entrevista de trabajo, buscamos vulnerabilidades potenciales dentro de la información disponible públicamente. Esto se conoce como inteligencia de código abierto (OSINT). Como:

  • ¿Quiénes son la junta directiva?
  • quienes son sus asistentes?
  • ¿Qué eventos están sucediendo en la empresa?
  • ¿Es probable que estén de vacaciones en este momento?
  • ¿Qué información de contacto de los empleados podemos recopilar?

Pudimos responder a todas estas preguntas con extraordinaria claridad. Nuestro equipo incluso encontró números de teléfono directos y formas de ingresar a la empresa a partir de eventos informados en los medios.

El correo electrónico de phishing

Esta información se utilizó para crear dos correos electrónicos de phishing dirigidos a objetivos identificados a partir de nuestras investigaciones de OSINT. El phishing es cuando se utilizan comunicaciones maliciosas en línea para obtener información personal.

El objetivo de esta bandera era hacer clic en un enlace dentro de nuestros correos electrónicos. Por razones legales y éticas, el contenido y la apariencia del correo electrónico no se pueden divulgar.

Al igual que los clientes hacen clic en términos y condiciones sin leer, explotamos el hecho de que nuestros objetivos harían clic en un enlace de interés sin verificar hacia dónde apuntaba el enlace.

La mayoría de las personas caen en correos electrónicos falsos: lecciones de la escuela de verano de ciberseguridadLa infección inicial de un sistema se puede obtener mediante un simple correo electrónico que contiene un enlace. Freddy Dezeure / C3S, autor proporcionado

En un ataque de phishing real, una vez que hace clic en el enlace, su sistema informático se ve comprometido. En nuestro caso, enviamos nuestros objetivos a sitios benignos de nuestra creación.

La mayoría de los equipos en la escuela de verano lograron un ataque exitoso de correo electrónico de phishing. Algunos incluso lograron reenviar su correo electrónico a toda la empresa.

La mayoría de las personas caen en correos electrónicos falsos: lecciones de la escuela de verano de ciberseguridad Cuando los empleados reenvían correos electrónicos dentro de una empresa, el factor de confianza del correo electrónico aumenta y es más probable que se haga clic en los enlaces contenidos en ese correo electrónico. Freddy Dezeure / C3S, autor proporcionado

Nuestros resultados refuerzan los hallazgos de los investigadores sobre la incapacidad de las personas para distinguir un correo electrónico comprometido de uno confiable. Un estudio de personas 117 encontró que alrededor 42% de correos electrónicos fueron clasificados incorrectamente ya sea real o falso por el receptor.

Phishing en el futuro

Es probable que solo se produzca phishing más sofisticado.

Con un número creciente de dispositivos conectados a Internet que carecen de estándares de seguridad básicos, los investigadores sugieren que los atacantes de phishing buscarán métodos para secuestrar estos dispositivos. Pero, ¿cómo responderán las empresas?

Según mi experiencia en Tallin, veremos que las empresas se vuelven más transparentes en su forma de lidiar con los ataques cibernéticos. Después de un masivo ataque cibernético en 2007Por ejemplo, el gobierno de Estonia reaccionó de la manera correcta.

En lugar de dar un giro al público y encubrir los servicios gubernamentales que se desconectan lentamente, admitieron que estaban bajo ataque de un agente extranjero desconocido.

Del mismo modo, las empresas deberán admitir cuándo están bajo ataque. Esta es la única forma de restablecer la confianza entre ellos y sus clientes, y evitar la propagación de un ataque de phishing.

Hasta entonces, ¿puedo interesarte? software anti-phishing gratuito?La conversación

Sobre la autora

Richard Matthews, Candidato a doctor, Universidad de Adelaide

Este artículo se republica de La conversación bajo una licencia Creative Commons. Leer el articulo original.