Foto: AP
De Democraten op de rand voor een goede reden. Ze hebben een beetje ervaring met dit.
Wat leek op een poging van hackers, phishing, Democratische ambtenaren en het verkrijgen van toegang tot de partij van de kiezer bestand deze week bleek niets meer dan een security oefening in Michigan. En terwijl de partij nu is dat het incident laat zien hoe strak de beveiliging echt is—met oproepen geplaatst om de FBI voor iedereen kreeg verleiden tot het opgeven van een wachtwoord—de echte credit behoort tot een in San Francisco gevestigde bedrijf dat, zoals de Democratische Nationale Comité zelf, was zich niet bewust van wat er werkelijk gaande was tot minder dan 24 uur geleden.
Het is een hel van een drukke week op Zoek, het mobiele beveiligingsbedrijf dat voor het eerst ontdekt de frauduleuze pagina proberen om het vastleggen van de aanmeldgegevens van VoteBuilder, het platform Democraten bijhouden potentiële kiezers. Het werk op het bedrijf is het in principe afgesloten als beveiliging profs zijn nu het grootste deel van hun tijd uit te leggen hoe phishing werkt aan verslaggevers.
“We zijn op de telefoon sinds maandag,” zei Clinton Karr, een woordvoerder voor het bedrijf. “We zijn nog niet in staat geweest om veel anders,”
Laat woensdag, de DNC bleek dat de aanval het had aangekondigd eerder op de dag was niet een aanval op, maar een security test uitgevoerd zonder zijn kennis. Gizmodo bevestigde donderdag dat de test werd veroordeeld door de Michigan-Democraten die proberen—verstandig—om te voorkomen dat medewerkers op hun tenen in het gezicht van de lopende cyber bedreigingen van buitenlandse tegenstanders. Met de hulp van een extern bedrijf, een staat die partij ambtenaren gemaakt van een nep-inlogpagina op een externe server. Het plan was om een truc campagne stafleden tot overgave aanmeldingen dat het verlenen van toegang tot het platform wordt gebruikt door de Democratische kandidaten op elk niveau—voor fondsenwervende activiteiten, het maken van oproepen tot het ontwikkelen van commerciële prospectie strategieën, en nog veel meer.
Wat de Democraten niet voorzien is in de mogelijkheid van nep-pagina niet wordt gedetecteerd door iemand anders, die dan op zijn beurt rapporteren aan de DNC. Maar dat is precies wat er gebeurde. Tegen de tijd dat iedereen in Michigan wist wat er gaande was, kranten landelijk werden de rapportage van een federale gerechtelijk onderzoek in een andere aanval op de Democratische Partij.
“We zien duizenden phishingsites per dag. En dat is omdat ze moeten cyclus zo snel om te voorkomen dat geblokkeerd wordt door traditionele middelen.”
Dat de phishing poging bleek te zijn nep neemt niet weg van het feit dat Lookout, een beveiligingsbedrijf, dat de meeste consumenten hebben nog nooit van gehoord, niet alleen gevonden op de pagina, maar had het afsluiten van ongeveer 24 uur. Had de poging zijn echte, de onderneming zou hebben onderkend voor het opslaan van de Democraten uit andere noodlottige gebeurtenis.
De applicatie Zoek credits met het opsporen van de valse phishing pagina is ontwikkeld op basis van het onderzoek van Jeremy Richards, de onderneming van opdrachtgever security intelligence engineer. Ongeveer een jaar geleden, Richards begonnen met het onderzoeken van manieren om te detecteren phishing kits; niet nadat ze zijn gebruikt, maar als ze werden gelanceerd. Het systeem verantwoordelijk voor het opsporen van de nep-VoteBuilder pagina niet nog een mooie naam. Zoek gewoon noemt het “Phishing-AI.”
Als een security-onderzoeker, Richards heeft een achtergrond in reverse engineering bedreigingen. Zijn werk is eerder gericht op het onderzoeken van handtekeningen in het netwerkverkeer veroorzaakt door de uitvoering van malware, ontdekt een overlap tussen malware command en control-servers en phishing-infrastructuur. “Ik begon te leren hoe phishers implementeren en waar zetten zij,” zei hij. “Ik begon te kijken naar wat voor soort signalen zijn gemaakt, wat voor soort signalen worden gegenereerd tijdens dat proces.”
Rond deze tijd vorig jaar, Richards begon codering een toepassing voor het opsporen van de implementatie van phishing kits online, het maken van modellen die kunnen identificeren en classificeren van phishing-sites in real-time. In de meeste gevallen, phishing-sites worden alleen herkend nadat ze hebben hun doel gediend—na een kwaadaardige link is verstuurd naar de dupe van iemand die gevoelige informatie. Tegen de tijd dat een phishing site is eigenlijk ontdekt, is het meestal te laat. Het identificeren van hen in dit stadium is wat Zoek noemt een “offer-lam-gebaseerde oplossing.”
DNC Nu Zegt ‘Hack Poging’ Was Gewoon een Phishing Test [Updated]
Een wijd gemeld hack poging, op de belangrijkste kiezer bestand van de Democratische Nationale Partij blijkt …
Lees meer Lees
“We zien duizenden van phishing sites en een dag,” Richards zegt. “En dat is omdat ze moeten cyclus zo snel om te voorkomen dat geblokkeerd wordt door traditionele middelen.” De manieren waarop Lookout de toepassing detecteert phishing-sites is iets van een geheim, niet alleen omdat het een eigen product, maar omdat de openbaarmaking te veel over hoe het werkt zou het alleen maar geven van haar doelstellingen de sleutel om het te verslaan. Het spel, Richards zegt, is het kat en muis.
“Het is een spel dat je vertrouwd bent met de komst van een malware-bescherming standpunt. Het is mij niet onbekend”, zegt hij. “De phishing-kits wanneer ze voor het eerst kwam waren meestal slecht geschreven, slecht exemplaren, geschreven in PHP, en ze zouden opslaan van referenties die werden geoogst of e-mail. En terwijl er nog veel van die duizenden per dag, in feite—het zeker een trend in de richting van meer geavanceerde campagnes.”
Bijvoorbeeld phishing aanvallen van vandaag vaak gebruik van one-time koppelingen, waardoor ze veel moeilijker te volgen. “Er is ook een trend in de richting van het versleutelen van de HTML in de browser met javascript decoderen op run-time,” zegt hij. “Er is zeker een hoop werk aan de phishers kant te doen verduisteren. En we hebben veel gezien van het succes in de aanpak die door het analyseren van de technieken uit verschillende hoeken.”
De berichten die de phishing-links, ook steeds geavanceerder worden, is het vertrouwen minder op een traditionele e-mail, die mensen zijn van nature achterdochtig van. Aanvallers hebben, is sterk uitgebreid in SMS en sociale media, en geven blijk van een voorkeur voor een gericht persoonlijk e-mail bericht over corporate. Er is veel meer verkenning betrokken, die helpt phishers ambachtelijke unieke berichten voor fijn gerichte aanvallen.
Lookout heeft zelfs gezien mailtjes met kwaadaardige links die je vertellen ouders, het gebruik van echte namen, die hun zonen of dochters zijn geweest in een ongeval. “De kits hebben gekregen meer geavanceerde, ze kan detecteren wanneer ze worden geanalyseerd, en de verkenning is drastisch verbeterd, omdat het veel van ons leven zijn online deze dagen,” Richards zegt.
“Vanuit het perspectief dat ze proberen te emuleren een echte phishing-aanval, ze deed het heel goed. Anders zou het zijn zeer duidelijk vanaf het begin.”
Bij het Uitkijkpunt van de toepassing voor het eerst gelanceerd werd acht maanden geleden, het richt zich voornamelijk op het opsporen van bedreigingen imiteren van ongeveer een dozijn merken, vooral de groten, zoals Microsoft, Google, enzovoort. Vandaag is opgeleid om te controleren op meer dan 40 verschillende merken. Maar zelfs met al deze, is het nog steeds de phishing-sites Zoek niet onmiddellijk herkennen dat het meest interessant. De DNC de kiezer bestand programma, VoteBuilder, was een onbekende. Dat is de enige reden dat borrelde naar de top.
De nep-VoteBuilder pagina werd gemarkeerd als een high-probability-phishing-pagina, maar Zoek de AI kan niet zelf vertellen wie of wat de pagina werd het proberen te imiteren. Het vereiste van de developer ‘ s aandacht. “We zagen dit domein begint te evolueren in de tijd. We waren in staat om het te bekijken verandering van niet op een phishing-kit, een zeer slechte phishing-kit met een gebroken beelden, tot een zeer verfijnde look alike,” zegt Richard.
Op donderdag, een in Californië gevestigde bedrijf genaamd DigiDem bevestigd dat hij was ingehuurd door de Michigan Democratische Partij om te helpen bij het uitvoeren van de test. “Als onderdeel van de opleiding, liepen we testen op de Michigan state partij de campagne voor de interne veiligheid van de maatregelen die struikelde een extern alarm” van de groep co-uitvoerend bestuurder, Alicia Rockmore, vertelde Gizmodo.
Volgens Lookout, DigiDem deed een ongelooflijke job.
“Vanuit het perspectief dat ze proberen te emuleren een echte phishing-aanval, ze deed het heel goed,” zei Richards. “Anders zou het zijn zeer duidelijk vanaf het begin.”
Tijdens de test werd niet toegestaan door de DNC, en klinkt een vals alarm, zo luid, zal waarschijnlijk leiden tot zware kritiek, de aard van de test van de Michigan Democraten uitgevoerd moet worden gebeurt meer, niet minder. Bij een Wit Huis briefing niet twee weken geleden, van de natie top van de nationale veiligheid ambtenaren gewaarschuwd dat de buitenlandse invloed op de operaties en de pogingen tot ondermijning van het land, de verkiezing van infrastructuur zijn op de stijging, niet verzwakkende simpelweg omdat van Amerika ‘ s nieuwe hyperawareness.
“Onze tegenstanders probeert te ondermijnen ons land op permanente en regelmatige basis,” waarschuwde de FBI Directeur Christopher Wray. “Of het een verkiezing seizoen of niet.”