Prezenter omówi najczęstsze problemy związane z dedykowanymi atakami typu phishing na podstawie przeprowadzonych testów bezpieczeństwa. Słuchacze zrozumieją dlaczego skuteczny atakujący zawsze wygrywa i otrzymają praktyczne wskazówki dotyczące procesów, technologii i edukacji, by maksymalnie utrudnić zadanie cyberprzestępcom.
4. Phishing
Phishing – metoda oszustwa, w której
przestępca podszywa się pod inną osobę
lub instytucję, w celu wyłudzenia
określonych informacji (np. danych
logowania, szczegółów karty kredytowej)
lub nakłonienia ofiary do określonych
działań.
https://pl.wikipedia.org/wiki/Phishing
7. Statystyki
● Unfortunately, on average 4% of people in
any given phishing campaign will click it,
and the vampire only needs one person to
let them in.
Verizon’s 2018 Data Breach Investigations Report
● On average, 53% of infosec professionals
reported experiencing spear phishing in
2017.
State of the phish 2018 – Wombat Security
10. Statystyki
● Some 91% of cyberattacks begin with a
"spear phishing" email, according to
research from security software firm Trend
Micro (2012)!
● Testy penetracyjne: 100% skuteczności
13. Przykład 1
Hi,
After our infrastructure migration, please
immediately confirm your accounts on our
XXX service:
https://xxx.oursimilardomain.com/login/
Thanks for cooperation and fast response.
XXX Administrator - YYYYYYY
14. Przykład 1
● 30 e-maili
● 4 hasła od 3 osób (~10%)
● E-mail
● Slack (password reuse)
● JIRA (password reuse)
● Github - Dostęp do kodów źródłowych
15. Przykład 2
Witam,
pilnie proszę o sprawdzenie czy nasza nowa
strona:
https:/xxx/wersja-testowa/
poprawnie się wyświetla i nie wyskakują błędy.
Za 12 godzin uruchamiamy wersję
produkcyjną i zależy nam na wykryciu
wszelkich nieprawidłowości.
16. Przykład 2
● 1 000 e-maili
● 51 osób podało dane (~5%)
● Password reuse
● Zrzuty ekranów przesłane od pracowników
17. Przykład 3
● Phishing ~ 400 e-maili
● 26 osób podało dane (6%)
● Dane do VPN
● EternalBlue
● Mimikatz i kolejne serwery (AD password
reuse)
● AD admin
43. lists.proidea.org.pl
Strona informacyjna listy Management - Proidea
https://lists.proidea.org.pl/listinfo/management
Listą Management opiekuje się janusz.kamienski at
proidea.org.pl, zenon.matuszyk at networkers.pl,
marcin.plesinski at networkers.pl
Strona informacyjna listy 4developers-speakers - Proidea
https://lists.proidea.org.pl/listinfo/4developers-speakers
Listą 4developers-speakers opiekuje się slawek.jabs at
proidea.org.pl, marek.nowak at proidea.org.pl,
zenon.matuszyk at networkers.pl, marcin.plesinski at
63. Podsumowanie
● Tech: Ogranicz usługi + [2/M]FA
– URL/DNS blackholing, e-mail skaner, DNS monitoring
● Ludzie: edukuj i trenuj (OSINT)
– Jak i komu zgłosić podejrzany e-mail?
● Procesy: przygotuj się na incydent
– Zmiana haseł, blokada, komunikacja, analiza
64. Materiały dodatkowe
Filmy:
APT x 3 - wybrane studium przypadków
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy zaproszenie dla cyberprzestępców?
Narzędzia do zautomatyzowanego testowania bezpieczeństwa
OWASP Top10 Najpopularniejsze błędy bezpieczeństwa aplikacji WWW
Podstawowy arsenał testera bezpieczeństwa aplikacji WWW
Darmowa edukacja:
https://quiz.securityinside.pl
https://quiz2.securityinside.pl
http://sprawdzpesel.pl
http://sprawdzkontobankowe.pl
https://pixabay.com/en/ - Zdjęcia
https://www.iconfinder.com/Vecteezy - Ikony