Foto: AP
Demokraterne er på kant med god grund. De har lidt erfaring med dette.
Hvad der syntes at være et forsøg fra hackere til phish Demokratiske embedsmænd og få adgang til partiets vælgere fil i denne uge viste sig at være intet mere end en sikkerhed øvelse i Michigan. Og mens partiets linje nu, er, at episoden viser, hvordan stramme sin sikkerhed virkelig er—med opkald placeret til FBI, før nogen fik lokket til at opgive en adgangskode—real kredit tilhører en San Francisco-baserede selskab, der, som den Demokratiske Nationale Komité i sig selv, var uvidende om, hvad der var virkelig tænkt på, indtil mindre end 24 timer siden.
Det har været et helvede af en travl uge på Lookout mobile security firma, der først opdagede den falske side forsøger at fange loginoplysninger af VoteBuilder, platform Demokrater bruge til at spore potentielle vælgere. Arbejde på virksomheden har været stort set lukket ned som sit security pros nu bruger det meste af deres tid på at forklare, hvordan phishing virker til journalister.
“Vi har været på telefonen siden mandag,” sagde Clinton Karr, et selskab talsmand. “Vi har ikke været i stand til at gøre meget andet,”
Sent onsdag, DNC afsløret, at de angreb, som blev offentliggjort tidligere i dag ikke var et angreb på alle, men en sikkerhed, test, der udføres uden dennes viden. Gizmodo bekræftede torsdag, at testen blev bestilt af Michigan Demokrater, der forsøger—med omtanke—for at holde medarbejdere på deres tæer i lyset af den fortsatte cyber trusler fra udenlandske modstandere. Med hjælp fra en ekstern virksomhed, stat, der er part embedsmænd oprettet en falsk login-side på en ekstern server. Planen var at narre kampagne medarbejdere til at overgive login, som giver adgang til den platform, der bruges af de Demokratiske kandidater på alle niveauer—for fundraising aktiviteter, for at oprette opkaldslister, at udvikle opsøgende strategier, og meget mere.
Hvad Demokrater ikke kunne forudse, er muligheden for falsk side, der er registreret af en anden person, hvem ville så til gengæld at rapportere det til DNC. Men det er præcis, hvad der skete. Ved den tid, nogen der i Michigan vidste, hvad der foregik, aviser landsdækkende rapportering var en føderal lov håndhævelse undersøgelse af et angreb på de Demokratiske Parti.
“Vi ser at tusindvis af phishing-websteder en dag. Og det er fordi, de nødt til at cykle så hurtigt, for at undgå at blive blokeret af traditionelle midler.”
At phishing-forsøg viste sig at være falske, betyder det ikke tage væk fra det faktum, at Lookout, et vagtselskab, som de fleste forbrugere har aldrig hørt om, ikke kun opdaget den side, men havde det lukket ned i cirka 24 timer. Havde forsøget været reel, selskabet ville have været bredt anerkendt for at gemme Demokrater fra en anden skæbnesvangre episode.
Ansøgningen Udkig kreditter med at afsløre de falske phishing-side, blev udviklet baseret på forskning af Jeremy keith Richards, selskabets princippet security intelligence ingeniør. Omtrent et år siden, Richards begyndte at forske i måder at registrere phishing-kits, ikke, efter at de blev brugt, men da de blev lanceret. Systemet er ansvarlig for at afsløre den falske VoteBuilder side endnu ikke har et fancy navn. Udkig blot kalder det “Phishing AI.”
Som en sikkerheds-forsker, Richards har en baggrund i reverse engineering trusler. Hans arbejde, der tidligere blev fokuseret på at undersøge underskrifter i trafikken på nettet, der er forårsaget af udførelsen af malware, hvor de opdagede en overlapning mellem malware kommando-og kontrol-servere og phishing-infrastruktur. “Jeg begyndte at lære, hvordan phishere implementere og hvor de implementere,” sagde han. “Jeg begyndte at se, hvad slags signaler, der er lavet, hvilken slags signaler, der er genereret i løbet af denne proces.”
Omkring dette tidspunkt sidste år, Richards begyndte kodning et program, der kan spore udbredelsen af phishing-kits online, at skabe modeller, der kunne identificere og klassificere phishing-websteder i realtid. I de fleste tilfælde, phishing-websteder er kun konstateret, efter at de har tjent deres formål—efter et ondsindet link er blevet sendt for at narre nogen til at forråde følsom stykke af oplysninger. Ved den tid, et phishing-websted er faktisk opdaget, er det som regel for sent. At identificere dem på dette stadium er, hvad Udkig kalder en “offerlam-baseret løsning.”
DNC Nu Siger ‘Hacking Forsøg’ Var Bare en Phishing Test [Opdateret]
Et meget omtalt forsøg på hacking på de vigtigste vælgere fil af den Demokratiske Nationale Parti viser sig …
Læs mere Læs
“Vi ser at tusindvis af phishing-websteder en dag,” siger Richards. “Og det er fordi, de nødt til at cykle så hurtigt, for at undgå at blive blokeret af traditionelle midler.” De måder, hvorpå Lookout programmet opdager phishing-websteder er noget af en hemmelighed, ikke kun fordi det er et proprietært produkt, men fordi at afsløre for meget om, hvordan det fungerer kun ville give sine mål nøglen til at besejre det. Spillet, siger Richards, kat og mus.
“Det er et spil, du kender, der kommer fra en malware beskyttelse synspunkt. Det er ikke uvant for mig,” siger han. “Phishing-kits, når de først kom ud, var typisk dårligt skrevet, dårlige kopier, skrevet i PHP, og de vil enten gemme legitimationsoplysninger, der blev høstet eller e-mail dem ud. Og mens der stadig er masser af at—tusindvis hver dag, og det faktum at det helt sikkert tendenser nu mod mere sofistikerede kampagner.”
For eksempel, phishing-angreb er i dag ofte bruger engangs-links, som gør dem langt mere vanskelig at spore. “Der har også været en tendens til at kryptere HTML i browseren, og have javascript dekryptere det på run-time,” siger han. “Der er helt sikkert en masse at arbejde på, at phishere side at gøre formørkelse. Og vi har set en masse af succes i at tackle, at ved at analysere de teknikker fra flere vinkler.”
De beskeder, der transporterer phishing-links, også bliver mere og mere sofistikerede, stoler mindre på en traditionel e-mail, som folk bliver naturligt nok mistænksom. Angriberne er blevet udvidet betydeligt i SMS og sociale medier, og viser en præference for målretning af personlige e-mail over corporate. Der er langt mere rekognoscering, der er involveret i dag, som hjælper med at phishere håndværk unikke beskeder til fint målrettede angreb.
Lookout har endda set-beskeder, der transporterer skadelige links, der fortæller forældre, at bruge rigtige navne, og at deres sønner eller døtre har været i en ulykke. “Kits har fået mere avancerede, at de kan registrere, når de er ved at blive analyseret, og rekognoscering har dramatisk forbedret på grund af, hvor meget vores liv er online i disse dage,” siger Richards.
“Fra det perspektiv, at de prøvede at efterligne en ægte phishing-angreb, de gjorde det rigtig godt. Ellers ville det have været meget tydelige fra begyndelsen.”
Når Lookout programmet første gang blev lanceret for otte måneder siden, det er primært fokuseret på at afsløre trusler, der efterligner omtrent et dusin mærker, for det meste store virksomheder såsom Microsoft, Google, og så videre. Det er i dag uddannet til at overvåge for mere end 40 forskellige mærker. Men selv med alle disse, er det stadig den phishing-websteder Lookout ikke umiddelbart genkender, der er de mest interessante. DNC ‘ s vælgere fil program, VoteBuilder, var en ukendt. Det er den eneste grund til at det boblede op til toppen.
Den falske VoteBuilder side var markeret som værende af en høj sandsynlighed phishing-side, men Lookout AI kan ikke i sig selv fortælle, hvem eller hvad der siden blev der forsøger at efterligne. Det krævede, at de udvikler opmærksomhed. “Vi så dette domæne begynder at udvikle sig over tid. Vi var i stand til at se det ændre ikke en phishing-kit, til en meget dårlig phishing-kit med brudte billeder, til en meget sofistikeret look alike,” siger Richard.
På torsdag, Californien-baserede selskab kaldet DigiDem bekræftede, at det var blevet hyret af Michigan Demokratiske Parti til at bistå i at udføre testen. “Som en del af den uddannelse, vi kørte test på Michigan state party kampagne’ s interne sikkerhedsforanstaltninger, der er blevet udløst en ekstern alarm,” den gruppe, co-executive director, Alicia Rockmore, fortalte Gizmodo.
I henhold til Udkig, DigiDem gjorde et brag op job.
“Fra det perspektiv, at de prøvede at efterligne en ægte phishing-angreb, de gjorde det rigtig godt,” siger Richards. “Ellers ville det have været meget tydelige fra begyndelsen.”
Mens testen blev ikke godkendt af DNC, og lyder en falsk alarm så højt, er tilbøjelige til at føre til nogle hårde kritik, den slags test Michigan Demokrater gennemført skal ske mere, ikke mindre. På et Hvide Hus briefing ikke for to uger siden, nationens øverste nationale sikkerhed embedsmænd advarede om, at udenlandske indflydelse operationer og forsøg på at undergrave landets valget infrastruktur er stigende, ikke aftagende simpelthen på grund af Usa ‘ s nyfundne hyperawareness.
“Vores modstandere forsøger at underminere vores land på en vedvarende og regelmæssigt,” advarede FBI Direktør Christopher Wray. “Uanset om det er valg sæson eller ej.”