SlideShare a Scribd company logo

Social enginering Erfa-møde Marts 2017

J
J Hartig

Gennemgang af Social Enginering ved DBI.

Internet
1 of 28
Social Engineering DenmenneskeligefaktoriCybersikkerhed
A r b e j d s o m r å d e r Dansk Brand- og sikringsteknisk Institut S O C I A L E N G I N E E R I N G C Y B E R E F T E R F O R S K N I N G I T F O R E N S I C S F Y S I S K & E L E K T R O N I S K S I K R I N G
Social Engineering ”Social Engineering er kunsten at få nogen til at gøre noget, de ellers ikke ville gøre, gennem psykologisk manipulation ,, DEFINITION
Eksempel Klassisk Social Engineering • Fra 2012-2015 blev SKAT snydt for 12,3 mia. Kr. • Falske ansøgninger om aktieejerskab til refundering af betalt skat for aktiegevinster • Social engineering kan have indgået i svindlen
Social Engineering Angrebscyklus Social Engineering Attack Cycle (SEAC) SE Cyklus Eksekver angreb ved at få medarbejder til at foretage en handling, som kan kompromittere sikkerheden i en virksomhed. 3. Angreb Hvis man har brug for at opretholde kontakt til sit mål, kan implementere en exit-strategi, så man kan komme tilbage til sit mål på et senere tidspunkt. 4. Exit Foretage den nødvendige research af sine mål (virksomheder og ansatte). 1. Rekognoscering Initier kontakt med målgruppe med udgangspunkt i resultater fra rekognosceringsfasen. 2. Kontakt
Social Engineering 2.0 Social Engineering har udviklet sig fra det fysiske domæne til at benytte cyberspace som platform for at elicitere informationer fra personer. Med nye kommunikationsveje er der opstået nye angrebsvektorer, som den moderne social engineer udnytter. NYE METODER
P r o j e c t S A V E : Social Vulnerability & Assessment Framework Forskningsprojekt for Forsvarsakademiet
P r o j e c t S A V E Nationalt Projekt Nationalt projekt afviklet for Forsvarsakademiet (FAK) med det formål at afdække truslen for Social Engineering 2.0 angreb mod virksomheder i Danmark. • Udviklede avancerede open source intelligence (OSINT) metoder. • Eksekverede simulerede angreb mod tre virksomheder, som enten direkte eller indirekte, udgjorde del af dansk kritisk infrastruktur. • Formålet var at afdække, og få en generel forståelse for, hvor sårbare danske virksomheder er over for SE 2.0.
SE 2.0 Angrebscyklus Project SAVE Recon- naissance Target Selection Malware Attack Exploit Weaponi- zation Persi- stence Priviliege escalation Lateral movement Data Collection Data exfiltration Exit (Optional) Pre-recon Email harvesting ID & SMPP SNA Systemic network Deep web Evaluation SE 2.0 Attack
Udførte SE Angreb Project SAVE Tre danske virksomheder deltog i forsknings- projektet, som vi fik lov at simulere angreb imod. Cyberangreb mod tre virksomheder Der blev udført cyber recon af de tre virksomheder og udvalgte medarbejdere. Cyber-rekognoscering I alt blev der afviklet 185 SE 2.0 angreb mod de tre deltagende virksomheder. 185 social engineering 2.0 angreb Vector Target #1 Target #2 Target #3 Spear- Phishing 3 1 3 Whaling 1 1 3 Conventional Phishing 2 4 146 Smishing 3 5 9 USB Attack 0 0 3 PDF attack (follow-up) 1 2 (3) 0
Rekognoscering • Crawling af e-mail adresser og telefonnumre • Personlighedsanalyse af ansatte via content fra sociale medier • Social Network Analysis (SNA) • Network footprinting (Maltego, metadata) • Darknet efterforskning af lækkede / solgte informationer om virksomhederne
Rekognoscering Project SAVE • Crawlede medarbejderes åbne facebookprofiler • Python script • Emulaterede menneskelig browsing-adfærd med Selenium for at undgå counter-crawling • Foretog en sentiment analysis (stemningsanalyse) af posts og kommentarer med en ‘bag of words’ tilgang • Baseret på stemningsanalysen kategoriserede vi brugerne ved brug af det psykologiske framework: ‘Big Five’ Sentiment Analysis & Personality Profiling:
Resultater fra Rekognoscering Project SAVE • Komplet liste over email adresser og mobilnumre • ID af kritisk database og hvordan vi kan tilgå den • Fandt komplet guide over database • Identificerede hvilke brugere der havde adgang til database • Fandt design af gæstekort på sociale medier • Metadataanalyse afslørede, hvilken software var anvendt Kritiske resultater fra rekognosceringsfasen -100,00% 0,00% 100,00% 200,00% 300,00% Agreeableness (A) Conscientousness (C) Extraversion (E)Neuroticism (N) Openness (O)
• Phishing e-mails • Spear-phishing e-mails • Credential harvesting • Whaling • CEO Fraud • Smishing • Evil USB • Malware Typiske SE 2.0 angreb
Phishing Eksempler Eksempler
Aggregerede Resultater Project SAVE 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Spear phishing Whaling Phishing Smishing PDF phishing USB Attack Success Failed Angrebstype Virksomhed #1 Virksomhed #2 Virksomhed #3 Total Spear Phishing 3 1 3 7 Whaling 1 1 1 3 Phishing 2 4 146 152 Smishing 3 5 9 17 PDF Attack 1 2 0 3 USB Attack 0 0 3 3 Total 10 13 162 185
Oversigt Project SAVE 47 pct. af alle de eksekverede SE 2.0 angreb var succesfulde med at overbevise brugeren om gøre en handling vedkommende ikke burde gøre. Kriterierne for succes var betinget af en registrering af forsøget på vores webserver log. Succesfulde angreb Lidt over halvdelen af de eksekverede angreb mislykkede under forskningsprojektet. Fra kvalitative interviews foretaget med de deltagende virksomheder, kan vi konkludere at smådetaljer i formuleringen eller mangel på info ved henvendelse (f.eks. tlf. nummer i email signaturen) har været årsagen til deres mistillid til forsøget. Mislykkede angreb 47% 53% 47% 53% Succesrate for SE 2.0 angreb
Publikation • Publikation om SAVE og social engineering 2.0 • Resultater, metoder, erfaringer og anbefalinger præsenteres • Er tilgængelig i print og digitalt
D o g a n a : Advanced Social Engineering and Vulnerability Assessment Framework R&D For The EU Commission
Dogana Konsortium The Dogana Project 18 partnere fra 11 lande i et 3-årigt Horizon 2020 projekt om next-gen Social Engineering. Partnere http://www.dogana-project.eu
The Dogana Project Udvikling af næste-generations platform til social vulnerability assessment af virksomheder via simulerede angreb. Næste Generations SE Angreb Test af nye, innovative awareness metoder, der tager udgangspunkt i individet og organisationen som helhed. Innovative Awareness Metoder Test af angreb mod mere end 1.000 medarbejdere for at vurdere, hvilke ’markers’ der kan anvendes mod forskellige typer individer. Stortest af angreb http://www.dogana-project.eu Overblik over Dogana
Dogana Platform The Dogana Project End2End platform, som indeholder avancerede recon- metoder til at afdække den ’digitale skygge’, psykologisk profilering af mål, og identificering af, hvilke individer der mest modtagelige over for fx phishing-angreb. Avanceret rekognosceringsmetoder Holistisk angrebsplatform med mulighed for at teste mange angrebsvektorer mod sin virksomhed, så man kan afsøge sårbarheder i sin virksomhed. Integreret SE 2.0 angrebsplatform http://www.dogana-project.eu
Awareness Metoder The Dogana Project Gamification er et koncept om at bruge spil som indlæringsværktøj til at højne medarbejderes awareness over for cybertrusler. Gamification Spillene kan være interaktive og enten single- eller multiplayer. De kan vise sig at være mere effektive end traditionelle indlæringsmetoder. Interaktiv læring 2 min. spil hver dag kan være mere effektiv end 6 timers awarenesstræning 2 gange om året ift. at opretholde medarbejderes awareness over for cybertrusler over tid. Mindre er mere http://www.dogana-project.eu
F r e m t i d e n s S o c i a l E n g i n e e r i n g A n g r e b
Automatiserede angreb Automatiseret Phishing SNAP_R auto-analyserer og udvælger mål og genererer relevante kommentarer på tweets med phishing links. Aut. E2E Spear Phishing på Twitter Det bruger deep learning til at vælge de mål, som er mest modtagelige over for spear phishing. Neural Network / Deep Learning
SNAP_R Fremtidens angreb SNAP_R er fem gange så effektiv sammenlignet med andre bots. Typisk succesrate er 5% til 14%. Men SNAP_R har en succesrate på 30% and 66%. Manuelt konstruerede spear phishing angreb har en succesrate på 45%. 5x så effektiv som andre bots SNAP_R er open source og alle kan tilgå det og bruge det. Her er link: https://github.com/getzerofox/SNAP_R Open Source Eksempel
IoT Ransomware Fremtidens angreb IoT ransomware er ikke længere hypotetisk. Vi har set eksempler på, hvordan IoT enheder kan kompromitteres og det åbner op for nye typer angreb. Internet of Things Ransomware Når alle enheder bliver koblet på Internettet, opstår der nye måder at angribe, både for private og for virksomheder. Fra Digital til Fysisk lockdown • Smart Biler • Smart Hjem • Pacemakers • Hospitalsudstyr • Konkrete eksempler: Smart Thermostat & Smart TV Eksempler
T a k f o r o p m æ r k s o m h e d e n Dennis Hansen Email: deh@dbi-net.dk Tel.: +45 31 53 43 44

Recommended

Forensics perspective ERFA-møde marts 2017
Forensics perspective ERFA-møde marts 2017 Forensics perspective ERFA-møde marts 2017
Forensics perspective ERFA-møde marts 2017J Hartig
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheLeslie Samuel
 
3 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 20173 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 2017Drift
 
What Makes Great Infographics
What Makes Great InfographicsWhat Makes Great Infographics
What Makes Great InfographicsSlideShare
 
Masters of SlideShare
Masters of SlideShareMasters of SlideShare
Masters of SlideShareKapost
 
STOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to SlideshareSTOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to SlideshareEmpowered Presentations
 
You Suck At PowerPoint!
You Suck At PowerPoint!You Suck At PowerPoint!
You Suck At PowerPoint!Jesse Desjardins - @jessedee
 
10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation Optimization10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation OptimizationOneupweb
 

Recommended

Forensics perspective ERFA-møde marts 2017
Forensics perspective ERFA-møde marts 2017 Forensics perspective ERFA-møde marts 2017
Forensics perspective ERFA-møde marts 2017J Hartig
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheLeslie Samuel
 
3 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 20173 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 2017Drift
 
What Makes Great Infographics
What Makes Great InfographicsWhat Makes Great Infographics
What Makes Great InfographicsSlideShare
 
Masters of SlideShare
Masters of SlideShareMasters of SlideShare
Masters of SlideShareKapost
 
STOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to SlideshareSTOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to SlideshareEmpowered Presentations
 
You Suck At PowerPoint!
You Suck At PowerPoint!You Suck At PowerPoint!
You Suck At PowerPoint!Jesse Desjardins - @jessedee
 
10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation Optimization10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation OptimizationOneupweb
 
TDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedTDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedJonas de Place
 
Keynote
KeynoteKeynote
KeynoteMicrosoft
 
DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012Kim Jensen
 
Dk cert trendrapport2012.web
Dk cert trendrapport2012.webDk cert trendrapport2012.web
Dk cert trendrapport2012.webKim Rene Jensen
 
Invitation til seminar
Invitation til seminarInvitation til seminar
Invitation til seminarJørgen Østergaard
 
Genereltom sikkerhed
Genereltom sikkerhedGenereltom sikkerhed
Genereltom sikkerhedCharli Reimert
 
Digital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondt
Digital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondtDigital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondt
Digital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondtHarald Reedtz Tokerød
 
Uden sikkerhed og compliance - ingen digital transformation
Uden sikkerhed og compliance - ingen digital transformationUden sikkerhed og compliance - ingen digital transformation
Uden sikkerhed og compliance - ingen digital transformationMicrosoft
 
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft
 
Medier og entertianment
Medier og entertianmentMedier og entertianment
Medier og entertianmentSocialsquare
 
Pentia event personalisering og sitecore
Pentia event personalisering og sitecorePentia event personalisering og sitecore
Pentia event personalisering og sitecorePentia
 
Styrk din rekruttering af specialister med sociale medier- Christina Just - C...
Styrk din rekruttering af specialister med sociale medier- Christina Just - C...Styrk din rekruttering af specialister med sociale medier- Christina Just - C...
Styrk din rekruttering af specialister med sociale medier- Christina Just - C...Mediehuset Ingeniøren Live
 
Præsentation datalækage-computerworld-januar-2014
Præsentation datalækage-computerworld-januar-2014Præsentation datalækage-computerworld-januar-2014
Præsentation datalækage-computerworld-januar-2014Kim Aarenstrup
 
HEJHEJ
HEJHEJHEJHEJ
HEJHEJThomas Funch Peckham
 
Byen Taler til dig #2 Normann Sloth om Realdania Projekt app
Byen Taler til dig #2 Normann Sloth om Realdania Projekt appByen Taler til dig #2 Normann Sloth om Realdania Projekt app
Byen Taler til dig #2 Normann Sloth om Realdania Projekt appRealdania
 
eSec. Managed Security.
eSec. Managed Security.eSec. Managed Security.
eSec. Managed Security.Ulendorf ... think
 
Sådan planlagde vi en app for nationalparker: Fra bunden
Sådan planlagde vi en app for nationalparker: Fra bundenSådan planlagde vi en app for nationalparker: Fra bunden
Sådan planlagde vi en app for nationalparker: Fra bundenDaniel Ord Rasmussen
 
PROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptxPROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptxcaniceconsulting
 
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Lars Neupart
 
Præsentation datalækage-computerworld-januar-2014-v2
Præsentation datalækage-computerworld-januar-2014-v2Præsentation datalækage-computerworld-januar-2014-v2
Præsentation datalækage-computerworld-januar-2014-v2Kim Aarenstrup
 

More Related Content

Similar to Social enginering Erfa-møde Marts 2017

TDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedTDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedJonas de Place
 
DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012Kim Jensen
 
Dk cert trendrapport2012.web
Dk cert trendrapport2012.webDk cert trendrapport2012.web
Dk cert trendrapport2012.webKim Rene Jensen
 
Digital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondt
Digital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondtDigital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondt
Digital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondtHarald Reedtz Tokerød
 
Uden sikkerhed og compliance - ingen digital transformation
Uden sikkerhed og compliance - ingen digital transformationUden sikkerhed og compliance - ingen digital transformation
Uden sikkerhed og compliance - ingen digital transformationMicrosoft
 
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft
 
Medier og entertianment
Medier og entertianmentMedier og entertianment
Medier og entertianmentSocialsquare
 
Pentia event personalisering og sitecore
Pentia event personalisering og sitecorePentia event personalisering og sitecore
Pentia event personalisering og sitecorePentia
 
Styrk din rekruttering af specialister med sociale medier- Christina Just - C...
Styrk din rekruttering af specialister med sociale medier- Christina Just - C...Styrk din rekruttering af specialister med sociale medier- Christina Just - C...
Styrk din rekruttering af specialister med sociale medier- Christina Just - C...Mediehuset Ingeniøren Live
 
Præsentation datalækage-computerworld-januar-2014
Præsentation datalækage-computerworld-januar-2014Præsentation datalækage-computerworld-januar-2014
Præsentation datalækage-computerworld-januar-2014Kim Aarenstrup
 
Byen Taler til dig #2 Normann Sloth om Realdania Projekt app
Byen Taler til dig #2 Normann Sloth om Realdania Projekt appByen Taler til dig #2 Normann Sloth om Realdania Projekt app
Byen Taler til dig #2 Normann Sloth om Realdania Projekt appRealdania
 
Sådan planlagde vi en app for nationalparker: Fra bunden
Sådan planlagde vi en app for nationalparker: Fra bundenSådan planlagde vi en app for nationalparker: Fra bunden
Sådan planlagde vi en app for nationalparker: Fra bundenDaniel Ord Rasmussen
 
PROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptxPROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptxcaniceconsulting
 
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Lars Neupart
 
Præsentation datalækage-computerworld-januar-2014-v2
Præsentation datalækage-computerworld-januar-2014-v2Præsentation datalækage-computerworld-januar-2014-v2
Præsentation datalækage-computerworld-januar-2014-v2Kim Aarenstrup
 

Similar to Social enginering Erfa-møde Marts 2017 (20)

TDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedTDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-Sikkerhed
 
Keynote
KeynoteKeynote
Keynote
 
DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012
 
Dk cert trendrapport2012.web
Dk cert trendrapport2012.webDk cert trendrapport2012.web
Dk cert trendrapport2012.web
 
Invitation til seminar
Invitation til seminarInvitation til seminar
Invitation til seminar
 
Genereltom sikkerhed
Genereltom sikkerhedGenereltom sikkerhed
Genereltom sikkerhed
 
Digital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondt
Digital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondtDigital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondt
Digital Identitet og LinkedIn - en iværksætters erfaringer på godt og ondt
 
Uden sikkerhed og compliance - ingen digital transformation
Uden sikkerhed og compliance - ingen digital transformationUden sikkerhed og compliance - ingen digital transformation
Uden sikkerhed og compliance - ingen digital transformation
 
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
 
Medier og entertianment
Medier og entertianmentMedier og entertianment
Medier og entertianment
 
Pentia event personalisering og sitecore
Pentia event personalisering og sitecorePentia event personalisering og sitecore
Pentia event personalisering og sitecore
 
Styrk din rekruttering af specialister med sociale medier- Christina Just - C...
Styrk din rekruttering af specialister med sociale medier- Christina Just - C...Styrk din rekruttering af specialister med sociale medier- Christina Just - C...
Styrk din rekruttering af specialister med sociale medier- Christina Just - C...
 
Præsentation datalækage-computerworld-januar-2014
Præsentation datalækage-computerworld-januar-2014Præsentation datalækage-computerworld-januar-2014
Præsentation datalækage-computerworld-januar-2014
 
HEJHEJ
HEJHEJHEJHEJ
HEJHEJ
 
Byen Taler til dig #2 Normann Sloth om Realdania Projekt app
Byen Taler til dig #2 Normann Sloth om Realdania Projekt appByen Taler til dig #2 Normann Sloth om Realdania Projekt app
Byen Taler til dig #2 Normann Sloth om Realdania Projekt app
 
eSec. Managed Security.
eSec. Managed Security.eSec. Managed Security.
eSec. Managed Security.
 
Sådan planlagde vi en app for nationalparker: Fra bunden
Sådan planlagde vi en app for nationalparker: Fra bundenSådan planlagde vi en app for nationalparker: Fra bunden
Sådan planlagde vi en app for nationalparker: Fra bunden
 
PROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptxPROSPER - Module 1 - Unit 5.pptx
PROSPER - Module 1 - Unit 5.pptx
 
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
 
Præsentation datalækage-computerworld-januar-2014-v2
Præsentation datalækage-computerworld-januar-2014-v2Præsentation datalækage-computerworld-januar-2014-v2
Præsentation datalækage-computerworld-januar-2014-v2
 

Social enginering Erfa-møde Marts 2017

  • 2. A r b e j d s o m r å d e r Dansk Brand- og sikringsteknisk Institut S O C I A L E N G I N E E R I N G C Y B E R E F T E R F O R S K N I N G I T F O R E N S I C S F Y S I S K & E L E K T R O N I S K S I K R I N G
  • 3. Social Engineering ”Social Engineering er kunsten at få nogen til at gøre noget, de ellers ikke ville gøre, gennem psykologisk manipulation ,, DEFINITION
  • 4. Eksempel Klassisk Social Engineering • Fra 2012-2015 blev SKAT snydt for 12,3 mia. Kr. • Falske ansøgninger om aktieejerskab til refundering af betalt skat for aktiegevinster • Social engineering kan have indgået i svindlen
  • 5. Social Engineering Angrebscyklus Social Engineering Attack Cycle (SEAC) SE Cyklus Eksekver angreb ved at få medarbejder til at foretage en handling, som kan kompromittere sikkerheden i en virksomhed. 3. Angreb Hvis man har brug for at opretholde kontakt til sit mål, kan implementere en exit-strategi, så man kan komme tilbage til sit mål på et senere tidspunkt. 4. Exit Foretage den nødvendige research af sine mål (virksomheder og ansatte). 1. Rekognoscering Initier kontakt med målgruppe med udgangspunkt i resultater fra rekognosceringsfasen. 2. Kontakt
  • 6. Social Engineering 2.0 Social Engineering har udviklet sig fra det fysiske domæne til at benytte cyberspace som platform for at elicitere informationer fra personer. Med nye kommunikationsveje er der opstået nye angrebsvektorer, som den moderne social engineer udnytter. NYE METODER
  • 7. P r o j e c t S A V E : Social Vulnerability & Assessment Framework Forskningsprojekt for Forsvarsakademiet
  • 8. P r o j e c t S A V E Nationalt Projekt Nationalt projekt afviklet for Forsvarsakademiet (FAK) med det formål at afdække truslen for Social Engineering 2.0 angreb mod virksomheder i Danmark. • Udviklede avancerede open source intelligence (OSINT) metoder. • Eksekverede simulerede angreb mod tre virksomheder, som enten direkte eller indirekte, udgjorde del af dansk kritisk infrastruktur. • Formålet var at afdække, og få en generel forståelse for, hvor sårbare danske virksomheder er over for SE 2.0.
  • 9. SE 2.0 Angrebscyklus Project SAVE Recon- naissance Target Selection Malware Attack Exploit Weaponi- zation Persi- stence Priviliege escalation Lateral movement Data Collection Data exfiltration Exit (Optional) Pre-recon Email harvesting ID & SMPP SNA Systemic network Deep web Evaluation SE 2.0 Attack
  • 10. Udførte SE Angreb Project SAVE Tre danske virksomheder deltog i forsknings- projektet, som vi fik lov at simulere angreb imod. Cyberangreb mod tre virksomheder Der blev udført cyber recon af de tre virksomheder og udvalgte medarbejdere. Cyber-rekognoscering I alt blev der afviklet 185 SE 2.0 angreb mod de tre deltagende virksomheder. 185 social engineering 2.0 angreb Vector Target #1 Target #2 Target #3 Spear- Phishing 3 1 3 Whaling 1 1 3 Conventional Phishing 2 4 146 Smishing 3 5 9 USB Attack 0 0 3 PDF attack (follow-up) 1 2 (3) 0
  • 11. Rekognoscering • Crawling af e-mail adresser og telefonnumre • Personlighedsanalyse af ansatte via content fra sociale medier • Social Network Analysis (SNA) • Network footprinting (Maltego, metadata) • Darknet efterforskning af lækkede / solgte informationer om virksomhederne
  • 12. Rekognoscering Project SAVE • Crawlede medarbejderes åbne facebookprofiler • Python script • Emulaterede menneskelig browsing-adfærd med Selenium for at undgå counter-crawling • Foretog en sentiment analysis (stemningsanalyse) af posts og kommentarer med en ‘bag of words’ tilgang • Baseret på stemningsanalysen kategoriserede vi brugerne ved brug af det psykologiske framework: ‘Big Five’ Sentiment Analysis & Personality Profiling:
  • 13. Resultater fra Rekognoscering Project SAVE • Komplet liste over email adresser og mobilnumre • ID af kritisk database og hvordan vi kan tilgå den • Fandt komplet guide over database • Identificerede hvilke brugere der havde adgang til database • Fandt design af gæstekort på sociale medier • Metadataanalyse afslørede, hvilken software var anvendt Kritiske resultater fra rekognosceringsfasen -100,00% 0,00% 100,00% 200,00% 300,00% Agreeableness (A) Conscientousness (C) Extraversion (E)Neuroticism (N) Openness (O)
  • 14. • Phishing e-mails • Spear-phishing e-mails • Credential harvesting • Whaling • CEO Fraud • Smishing • Evil USB • Malware Typiske SE 2.0 angreb
  • 16. Aggregerede Resultater Project SAVE 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Spear phishing Whaling Phishing Smishing PDF phishing USB Attack Success Failed Angrebstype Virksomhed #1 Virksomhed #2 Virksomhed #3 Total Spear Phishing 3 1 3 7 Whaling 1 1 1 3 Phishing 2 4 146 152 Smishing 3 5 9 17 PDF Attack 1 2 0 3 USB Attack 0 0 3 3 Total 10 13 162 185
  • 17. Oversigt Project SAVE 47 pct. af alle de eksekverede SE 2.0 angreb var succesfulde med at overbevise brugeren om gøre en handling vedkommende ikke burde gøre. Kriterierne for succes var betinget af en registrering af forsøget på vores webserver log. Succesfulde angreb Lidt over halvdelen af de eksekverede angreb mislykkede under forskningsprojektet. Fra kvalitative interviews foretaget med de deltagende virksomheder, kan vi konkludere at smådetaljer i formuleringen eller mangel på info ved henvendelse (f.eks. tlf. nummer i email signaturen) har været årsagen til deres mistillid til forsøget. Mislykkede angreb 47% 53% 47% 53% Succesrate for SE 2.0 angreb
  • 18. Publikation • Publikation om SAVE og social engineering 2.0 • Resultater, metoder, erfaringer og anbefalinger præsenteres • Er tilgængelig i print og digitalt
  • 19. D o g a n a : Advanced Social Engineering and Vulnerability Assessment Framework R&D For The EU Commission
  • 20. Dogana Konsortium The Dogana Project 18 partnere fra 11 lande i et 3-årigt Horizon 2020 projekt om next-gen Social Engineering. Partnere http://www.dogana-project.eu
  • 21. The Dogana Project Udvikling af næste-generations platform til social vulnerability assessment af virksomheder via simulerede angreb. Næste Generations SE Angreb Test af nye, innovative awareness metoder, der tager udgangspunkt i individet og organisationen som helhed. Innovative Awareness Metoder Test af angreb mod mere end 1.000 medarbejdere for at vurdere, hvilke ’markers’ der kan anvendes mod forskellige typer individer. Stortest af angreb http://www.dogana-project.eu Overblik over Dogana
  • 22. Dogana Platform The Dogana Project End2End platform, som indeholder avancerede recon- metoder til at afdække den ’digitale skygge’, psykologisk profilering af mål, og identificering af, hvilke individer der mest modtagelige over for fx phishing-angreb. Avanceret rekognosceringsmetoder Holistisk angrebsplatform med mulighed for at teste mange angrebsvektorer mod sin virksomhed, så man kan afsøge sårbarheder i sin virksomhed. Integreret SE 2.0 angrebsplatform http://www.dogana-project.eu
  • 23. Awareness Metoder The Dogana Project Gamification er et koncept om at bruge spil som indlæringsværktøj til at højne medarbejderes awareness over for cybertrusler. Gamification Spillene kan være interaktive og enten single- eller multiplayer. De kan vise sig at være mere effektive end traditionelle indlæringsmetoder. Interaktiv læring 2 min. spil hver dag kan være mere effektiv end 6 timers awarenesstræning 2 gange om året ift. at opretholde medarbejderes awareness over for cybertrusler over tid. Mindre er mere http://www.dogana-project.eu
  • 24. F r e m t i d e n s S o c i a l E n g i n e e r i n g A n g r e b
  • 25. Automatiserede angreb Automatiseret Phishing SNAP_R auto-analyserer og udvælger mål og genererer relevante kommentarer på tweets med phishing links. Aut. E2E Spear Phishing på Twitter Det bruger deep learning til at vælge de mål, som er mest modtagelige over for spear phishing. Neural Network / Deep Learning
  • 26. SNAP_R Fremtidens angreb SNAP_R er fem gange så effektiv sammenlignet med andre bots. Typisk succesrate er 5% til 14%. Men SNAP_R har en succesrate på 30% and 66%. Manuelt konstruerede spear phishing angreb har en succesrate på 45%. 5x så effektiv som andre bots SNAP_R er open source og alle kan tilgå det og bruge det. Her er link: https://github.com/getzerofox/SNAP_R Open Source Eksempel
  • 27. IoT Ransomware Fremtidens angreb IoT ransomware er ikke længere hypotetisk. Vi har set eksempler på, hvordan IoT enheder kan kompromitteres og det åbner op for nye typer angreb. Internet of Things Ransomware Når alle enheder bliver koblet på Internettet, opstår der nye måder at angribe, både for private og for virksomheder. Fra Digital til Fysisk lockdown • Smart Biler • Smart Hjem • Pacemakers • Hospitalsudstyr • Konkrete eksempler: Smart Thermostat & Smart TV Eksempler
  • 28. T a k f o r o p m æ r k s o m h e d e n Dennis Hansen Email: deh@dbi-net.dk Tel.: +45 31 53 43 44