Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019

48 views

Published on

Zostaną przedstawione przykłady ataków socjotechnicznych wykonanych podczas testów bezpieczeństwa. Prelegent opowie o tym jak się bronić i jak reagować podczas incydentów bezpieczeństwa.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019

  1. 1. Ataki socjotechniczne w praktyce Borys Łącki 12.10.2019
  2. 2. Borys Łącki Od ponad 16 lat wykonując testy penetracyjne, testujemy bezpieczeństwo i zabezpieczamy zasoby Klientów.
  3. 3. Oszustwo
  4. 4. Rachunek, paczka, Dzień dobry, W załączniku znajduje się faktura. Faktura VAT - sprzedaży nr. 25/05/2019 Proszę o zapłatę załączonej faktury.
  5. 5. GIODO vs. UODO https://uodo.gov.pl/pl/138/1218
  6. 6. Zaufanie
  7. 7. Emocje – strach, radość, ciekawość
  8. 8. Strach Pragniemy poinformować, że odnotowaliśmy dług z tytułu usług telekomunikacyjnych. Proszę o pilne zapłacenie 678.90 PLN Numer rachunku bankowego i szczegóły: https://[xxxxxx] Z poważaniem Magosz Leokadia
  9. 9. Radość Szanowny Kliencie, w załączeniu przesyłamy korespondencję w sprawie przysługującego zwrotu nadwyżki. W związku z tym zwracamy się z prośbą o złożenie dyspozycji określającej formę wypłaty umożliwiającej jej zwrot. Najszybszą formą realizacji zwrotu jest przelew bankowy, wiec zachęcamy do wskazania numeru rachunku bankowego, na który zostanie zrealizowany przelew.
  10. 10. Ciekawość ;) W tym momencie Twoje konto e-mail zostało zhakowane (zobacz na „from address", teraz mam dostęp do twoich kont). Najciekawszym momentem, który odkryłem, są nagrania wideo, w których masturbujesz.
  11. 11. Klikalność? ?
  12. 12. Klikalność? Brain food :)
  13. 13. Klikalność?
  14. 14. Klikalność? Click rates were nearly identical across industries, between 20% and 22% for all lures in aggregate.
  15. 15. Dzień tygodnia HUMANREPORT 2019 FACTOR - ProofPoint ?
  16. 16. Dzień tygodnia HUMANREPORT 2019 FACTOR - ProofPoint
  17. 17. Testy penetracyjne – skuteczność socjotechniki
  18. 18. Testujemy konkurencję :) Subject: Szacunkowa wycena testów bezpieczeństwa CC: biuro@logicaltrust.net, securitum@securitum.pl, biuro@hostersi.pl, sekurak@sekurak.pl, biuro@2bits.pl, szymon.chruscicki@testarmy.com, testy@niebezpiecznik.pl, biuro@niebezpiecznik.pl, office@pentesters.pl, os@opensecurity.pl, info@audytel.pl, info@prevenity.com, info@redteam.pl, formica@formica.com.pl, nask@nask.pl, biuro@sages.com.pl, katarzyna.braclaw@detektyw24.net, jozef.polikowski@detektyw24.net, info@ensi.net
  19. 19. Testujemy konkurencję :) Szanowny Panie, przesyłam odnośnik do szczegółowej oferty zawierającej informacje na temat portfolio firmy oraz dane na temat zakresu testów i szacunkową wycenę. https://logicaltrust.net/oferta_numer_193.html Uprzejmie proszę o informację czy oferta jest dla Państwa atrakcyjna. Z poważaniem
  20. 20. obiecuje-juz-nigdy-przenigdy-nie-otwierac-ofert-konkurencji.pl
  21. 21. Rejestracja
  22. 22. Rejestracja + password reuse
  23. 23. heedlessnesses.com
  24. 24. heedlessnesses.com Catch All E-mails: ● hedlessnesses.com ● heedlesnesses.com ● heedlessnessess.com ● heedlessneses.com ● hedleessnesses.com ● heedlesneses.com ● hedlesneses.com
  25. 25. heedlessnesses.com CC: ● Faktury i rachunki ● Ustalenia po spotkaniach ● Umowy ● Dokumentacja do projektów
  26. 26. heedlessnesses.com - malware
  27. 27. Telefon + CRM + podatności
  28. 28. Linux
  29. 29. Linux
  30. 30. Linux
  31. 31. Linux
  32. 32. Linux
  33. 33. Linux
  34. 34. Linux
  35. 35. Linux
  36. 36. Linux
  37. 37. Linux
  38. 38. Linux
  39. 39. Linux
  40. 40. Linux
  41. 41. Linux
  42. 42. Linux
  43. 43. Dzień dobry, dzwonię z działu IT
  44. 44. Mac - Ashok Kumar
  45. 45. Mac - Ashok Kumar
  46. 46. Mac - Ashok Kumar
  47. 47. Mac - Ashok Kumar
  48. 48. Obrona - podsumowanie • zabezpiecz dostęp - 2FA/MFA • ograniczaj usługi w sieci Internet • monitoruj (dostęp, domeny, dane) • SMTP, DNS, WWW filtering • edukuj i trenuj ciekawie https://securityinside.com :) • dbaj o zdrową przestrzeń do pracy • ograniczaj dostępne dane • przygotuj się na incydent
  49. 49. Materiały dodatkowe Filmy: APT x 3 - wybrane studium przypadków Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy zaproszenie dla cyberprzestępców? Narzędzia do zautomatyzowanego testowania bezpieczeństwa OWASP Top10 Najpopularniejsze błędy bezpieczeństwa aplikacji WWW Podstawowy arsenał testera bezpieczeństwa aplikacji WWW Darmowa edukacja: https://phishingquiz.securityinside.com [EN] https://quiz.securityinside.pl [PL] https://quiz2.securityinside.pl [PL] https://sprawdzpesel.pl https://sprawdzkontobankowe.pl https://pixabay.com/en/ - Zdjęcia
  50. 50. Szkolenia – rabat https://z3s.pl/szkolenia/ https://securityinside.com Atak i obrona: ● Bezpieczeństwo aplikacji WWW ● Bezpieczeństwo aplikacji mobilnych -20% Obowiązuje 66 dni Hasło: STRONAB19
  51. 51. Pytania Dziękuję za uwagę Borys Łącki b.lacki@logicaltrust.net

×