Zostaną przedstawione przykłady ataków socjotechnicznych wykonanych podczas testów bezpieczeństwa. Prelegent opowie o tym jak się bronić i jak reagować podczas incydentów bezpieczeństwa.

1. Ataki socjotechniczne w praktyce
Borys Łącki
4.06.2019

2. Borys Łącki
Od ponad 15 lat wykonując testy penetracyjne, testujemy
bezpieczeństwo i zabezpieczamy zasoby Klientów.

3. Oszustwo

4. Rachunek, paczka,
Dzień dobry,
W załączniku znajduje się faktura.
Faktura VAT - sprzedaży nr. 25/05/2019
Proszę o zapłatę załączonej faktury.

5. Zaufanie

6. Emocje – strach, radość, ciekawość

7. Strach
Pragniemy poinformować, że odnotowaliśmy dług z tytułu usług
telekomunikacyjnych.
Proszę o pilne zapłacenie 678.90 PLN
Numer rachunku bankowego i szczegóły: https://[xxxxxx]
Z poważaniem
Magosz Leokadia

8. Radość
Szanowny Kliencie,
w załączeniu przesyłamy korespondencję w sprawie
przysługującego zwrotu nadwyżki. W związku z tym
zwracamy się z prośbą o złożenie dyspozycji
określającej formę wypłaty umożliwiającej jej zwrot.
Najszybszą formą realizacji zwrotu jest przelew
bankowy, wiec zachęcamy do wskazania numeru
rachunku bankowego, na który zostanie
zrealizowany przelew.

9. Ciekawość ;)
W tym momencie Twoje konto e-mail zostało zhakowane
(zobacz na „from address", teraz mam dostęp do twoich
kont).
Najciekawszym momentem, który odkryłem, są nagrania
wideo, w których masturbujesz.

10. Testy penetracyjne – skuteczność socjotechniki

11. Testujemy konkurencję :)
Subject: Szacunkowa wycena testów bezpieczeństwa
CC: biuro@logicaltrust.net, securitum@securitum.pl,
biuro@hostersi.pl, sekurak@sekurak.pl, biuro@2bits.pl,
szymon.chruscicki@testarmy.com, testy@niebezpiecznik.pl,
biuro@niebezpiecznik.pl, office@pentesters.pl,
os@opensecurity.pl, info@audytel.pl, info@prevenity.com,
info@redteam.pl, formica@formica.com.pl, nask@nask.pl,
biuro@sages.com.pl, katarzyna.braclaw@detektyw24.net,
jozef.polikowski@detektyw24.net, info@ensi.net

12. Testujemy konkurencję :)
Szanowny Panie,
przesyłam odnośnik do szczegółowej oferty zawierającej informacje
na temat portfolio firmy oraz dane na temat zakresu testów i
szacunkową wycenę.
https://logicaltrust.net/oferta_numer_193.html
Uprzejmie proszę o informację czy oferta jest dla Państwa
atrakcyjna.
Z poważaniem

13. obiecuje-juz-nigdy-przenigdy-nie-otwierac-ofert-konkurencji.pl

14. Rejestracja

15. Rejestracja + password reuse

16. heedlessnesses.com

17. heedlessnesses.com
Catch All E-mails:
●
hedlessnesses.com
●
heedlesnesses.com
●
heedlessnessess.com
●
heedlessneses.com
●
hedleessnesses.com
●
heedlesneses.com
●
hedlesneses.com

18. heedlessnesses.com
CC:
●
Faktury i rachunki
●
Ustalenia po spotkaniach
●
Umowy
●
Dokumentacja do projektów

19. heedlessnesses.com - malware

20. Telefon + CRM + podatności

21. Linux

22. Linux

23. Linux

24. Linux

25. Linux

26. Linux

27. Linux

28. Linux

29. Linux

30. Linux

31. Linux

32. Linux

33. Linux

34. Linux

35. Linux

36. Mac - Ashok Kumar

37. Mac - Ashok Kumar

38. Mac - Ashok Kumar

39. Mac - Ashok Kumar

40. Obrona - podsumowanie
•
zabezpiecz dostęp - 2FA/MFA
•
ograniczaj usługi w sieci Internet
•
monitoruj (dostęp, domeny, dane)
•
SMTP, DNS, WWW filtering
•
edukuj i trenuj ciekawie https://securityinside.com :)
•
dbaj o zdrową przestrzeń do pracy
•
ograniczaj dostępne dane
•
przygotuj się na incydent

41. Materiały dodatkowe
Filmy:
APT x 3 - wybrane studium przypadków
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy zaproszenie dla cyberprzestępców?
Narzędzia do zautomatyzowanego testowania bezpieczeństwa
OWASP Top10 Najpopularniejsze błędy bezpieczeństwa aplikacji WWW
Podstawowy arsenał testera bezpieczeństwa aplikacji WWW
Darmowa edukacja:
https://quiz.securityinside.pl
https://quiz2.securityinside.pl
https://sprawdzpesel.pl
https://sprawdzkontobankowe.pl
https://pixabay.com/en/ - Zdjęcia
https://www.iconfinder.com/Vecteezy - Ikony
https://www.flaticon.com - Icons made by Freepik

42. Szkolenia – rabat
https://z3s.pl/szkolenia/
https://securityinside.com
Atak i obrona:
●
Bezpieczeństwo aplikacji WWW
●
Bezpieczeństwo aplikacji mobilnych
-20%
Obowiązuje 66 dni
Hasło: ueseiquu

43. Pytania
Dziękuję za uwagę
Borys Łącki
b.lacki@logicaltrust.net