Prezenter omówi najczęstsze problemy związane z dedykowanymi atakami typu phishing na podstawie przeprowadzonych testów bezpieczeństwa. Słuchacze zrozumieją dlaczego skuteczny atakujący zawsze wygrywa i otrzymają praktyczne wskazówki dotyczące procesów, technologii i edukacji, by maksymalnie utrudnić zadanie cyberprzestępcom.

1. Spear phishing
Jak się bronić? Case studies
Borys Łącki
Przemysław Sierociński
2018.06.05

2. Od ponad 10 lat wykonując testy penetracyjne,
testujemy bezpieczeństwo i zabezpieczamy
zasoby Klientów.
Borys Łącki

3. Phishing

4. Phishing
Phishing – metoda oszustwa, w której
przestępca podszywa się pod inną osobę
lub instytucję, w celu wyłudzenia
określonych informacji (np. danych
logowania, szczegółów karty kredytowej)
lub nakłonienia ofiary do określonych
działań.
https://pl.wikipedia.org/wiki/Phishing

5. Phishing

6. Phishing/malware

7. Statystyki
● Unfortunately, on average 4% of people in
any given phishing campaign will click it,
and the vampire only needs one person to
let them in.
Verizon’s 2018 Data Breach Investigations Report
● On average, 53% of infosec professionals
reported experiencing spear phishing in
2017.
State of the phish 2018 – Wombat Security

8. Co to jest phishing?

9. Co to jest phishing?

10. Statystyki
● Some 91% of cyberattacks begin with a
"spear phishing" email, according to
research from security software firm Trend
Micro (2012)!
● Testy penetracyjne: 100% skuteczności

11. Błędy w przeglądarkach

12. Błędy w programach pocztowych

13. Przykład 1
Hi,
After our infrastructure migration, please
immediately confirm your accounts on our
XXX service:
https://xxx.oursimilardomain.com/login/
Thanks for cooperation and fast response.
XXX Administrator - YYYYYYY

14. Przykład 1
● 30 e-maili
● 4 hasła od 3 osób (~10%)
● E-mail
● Slack (password reuse)
● JIRA (password reuse)
● Github - Dostęp do kodów źródłowych

15. Przykład 2
Witam,
pilnie proszę o sprawdzenie czy nasza nowa
strona:
https:/xxx/wersja-testowa/
poprawnie się wyświetla i nie wyskakują błędy.
Za 12 godzin uruchamiamy wersję
produkcyjną i zależy nam na wykryciu
wszelkich nieprawidłowości.

16. Przykład 2
● 1 000 e-maili
● 51 osób podało dane (~5%)
● Password reuse
● Zrzuty ekranów przesłane od pracowników

17. Przykład 3
● Phishing ~ 400 e-maili
● 26 osób podało dane (6%)
● Dane do VPN
● EternalBlue
● Mimikatz i kolejne serwery (AD password
reuse)
● AD admin

18. Phishing - wymagania
1 - Adresy e-mail
2 - Strona WWW

19. Proidea

20. Facebook

21. Facebook

22. LinkedIn

23. LinkedIn

24. GoldenLine

25. GoldenLine

26. gotcha.pw

27. theHarvester

28. theHarvester

29. hunter.io

30. WWW

31. WWW

32. Web Archive

33. WWW

34. WWW

35. WWW

36. dnsmap

37. revDNS

38. RiskIQ

39. Certyfikaty SSL

40. Certyfikaty SSL

41. Certyfikaty SSL

42. Certyfikaty SSL

43. lists.proidea.org.pl
Strona informacyjna listy Management - Proidea
https://lists.proidea.org.pl/listinfo/management
Listą Management opiekuje się janusz.kamienski at
proidea.org.pl, zenon.matuszyk at networkers.pl,
marcin.plesinski at networkers.pl
Strona informacyjna listy 4developers-speakers - Proidea
https://lists.proidea.org.pl/listinfo/4developers-speakers
Listą 4developers-speakers opiekuje się slawek.jabs at
proidea.org.pl, marek.nowak at proidea.org.pl,
zenon.matuszyk at networkers.pl, marcin.plesinski at

44. Informacje

45. Firmy

46. bgp.he.net

47. Robtex

48. Meta dane
exiftool *.pdf |grep Author
Author : Emilia PROIDEA
Author : darek
Author : T.K.
Author : darek
Author : Karolina
Author : Karolina

49. VirusTotal.com

50. Slack

51. mail.proidea.org.pl

52. Zakup domeny + VPS

53. mail-proidea.org.pl

54. mail.proidea.org.pl

55. E-mail

56. mail.proidea.org.pl

57. mail.proidea.org.pl

58. Reakcja pracowników

59. Reakcja pracowników

60. Podsumowanie ataku
● 55 e-maili wykrytych
● 34 e-maile dostarczone
● 3 konta e-mail przejęte (~10%)
Koszty:
● VPS: 3 zł / Domena: 0 zł
● Czas: kilka godzin

61. Slack

62. Slack

63. Podsumowanie
● Tech: Ogranicz usługi + [2/M]FA
– URL/DNS blackholing, e-mail skaner, DNS monitoring
● Ludzie: edukuj i trenuj (OSINT)
– Jak i komu zgłosić podejrzany e-mail?
● Procesy: przygotuj się na incydent
– Zmiana haseł, blokada, komunikacja, analiza

64. Materiały dodatkowe
Filmy:
APT x 3 - wybrane studium przypadków
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy zaproszenie dla cyberprzestępców?
Narzędzia do zautomatyzowanego testowania bezpieczeństwa
OWASP Top10 Najpopularniejsze błędy bezpieczeństwa aplikacji WWW
Podstawowy arsenał testera bezpieczeństwa aplikacji WWW
Darmowa edukacja:
https://quiz.securityinside.pl
https://quiz2.securityinside.pl
http://sprawdzpesel.pl
http://sprawdzkontobankowe.pl
https://pixabay.com/en/ - Zdjęcia
https://www.iconfinder.com/Vecteezy - Ikony

65. https://z3s.pl/szkolenia/
https://securityinside.pl
Atak i obrona:
● Bezpieczeństwo aplikacji WWW
● Bezpieczeństwo aplikacji mobilnych
-20%
Obowiązuje 51 dni
Hasło: J4mS2
Szkolenia – rabat

66. Dziękuję za uwagę
Borys Łącki
b.lacki@logicaltrust.net
Pytania