Prezenter omówi najczęstsze problemy związane z dedykowanymi atakami typu phishing na podstawie przeprowadzonych testów bezpieczeństwa. Słuchacze zrozumieją dlaczego skuteczny atakujący zawsze wygrywa i otrzymają praktyczne wskazówki dotyczące procesów, technologii i edukacji, by maksymalnie utrudnić zadanie cyberprzestępcom.

1. Spear phishing
Jak się bronić? Case studies
Borys Łącki
Przemysław Sierociński
2018.10.13

2. Od ponad 10 lat wykonując testy penetracyjne,
testujemy bezpieczeństwo i zabezpieczamy
zasoby Klientów.
Borys Łącki

3. Security BSides
$ ls | grep bsides
● 20141010-securitybsides-ddos
● 20151010-securitybsides-3xapt
● 20161019-securitybsides-devops
● 20171014-securitybsides-red_teaming
● 20181013-securitybsides-phishing

4. Phishing

5. Phishing
Phishing – metoda oszustwa, w której
przestępca podszywa się pod inną osobę
lub instytucję, w celu wyłudzenia
określonych informacji (np. danych
logowania, szczegółów karty kredytowej)
lub nakłonienia ofiary do określonych
działań.
https://pl.wikipedia.org/wiki/Phishing

6. Phishing

7. Phishing/malware

8. Statystyki
● Unfortunately, on average 4% of people in
any given phishing campaign will click it,
and the vampire only needs one person to
let them in.
Verizon’s 2018 Data Breach Investigations Report
● On average, 53% of infosec professionals
reported experiencing spear phishing in
2017.
State of the phish 2018 – Wombat Security

9. Co to jest phishing?

10. Co to jest phishing?

11. Statystyki
● Some 91% of cyberattacks begin with a
"spear phishing" email, according to
research from security software firm Trend
Micro (2012)!
● Testy penetracyjne: 100% skuteczności

12. Narzędzia

13. Narzędzia :)
#!/bin/bash
for email in `cat adresy-email.txt`; do
sleep $((RANDOM %3 + 1))
cat mail.txt | mail -s "Temat" -a (...) $email
echo $email
done

14. Błędy w przeglądarkach

15. Błędy w programach pocztowych

16. Krok po kroku
● Rekonesans
● Zakup domeny
● Konfiguracja DNS (krótki TTL)
● Konfiguracja SMTP (SPF/DKIM)
● Konfiguracja serwera WWW (SSL)
● Testy wewnętrzne
● 48h!

17. Przykład 1
Hi,
After our infrastructure migration, please
immediately confirm your accounts on our
XXX service:
https://xxx.oursimilardomain.com/login/
Thanks for cooperation and fast response.
XXX Administrator - YYYYYYY

18. Przykład 1
● 30 e-maili
● 4 hasła od 3 osób (~10%)
● E-mail
● Slack (password reuse)
● JIRA (password reuse)
● Github - Dostęp do kodów źródłowych

19. Przykład 2
Witam,
pilnie proszę o sprawdzenie czy nasza nowa
strona:
https:/xxx/wersja-testowa/
poprawnie się wyświetla i nie wyskakują błędy.
Za 12 godzin uruchamiamy wersję
produkcyjną i zależy nam na wykryciu
wszelkich nieprawidłowości.

20. Przykład 2
● 1 000 e-maili
● 51 osób podało dane (~5%)
● Password reuse
● Zrzuty ekranów przesłane od pracowników

21. Przykład 3
● Phishing ~ 400 e-maili
● 26 osób podało dane (6%)
● Dane do VPN
● EternalBlue
● Mimikatz i kolejne serwery (AD password
reuse)
● AD admin

22. Phishing - wymagania
1 - Adresy e-mail
2 - Strona WWW

23. Proidea

24. Facebook

25. Facebook

26. LinkedIn

27. LinkedIn

28. GoldenLine

29. GoldenLine

30. gotcha.pw

31. theHarvester

32. theHarvester

33. hunter.io

34. WWW

35. WWW

36. Web Archive

37. WWW

38. WWW

39. WWW

40. dnsmap

41. revDNS

42. RiskIQ

43. Certyfikaty SSL

44. Certyfikaty SSL

45. Certyfikaty SSL

46. Certyfikaty SSL

47. lists.proidea.org.pl
Strona informacyjna listy Management - Proidea
https://lists.proidea.org.pl/listinfo/management
Listą Management opiekuje się janusz.kamienski at
proidea.org.pl, zenon.matuszyk at networkers.pl,
marcin.plesinski at networkers.pl
Strona informacyjna listy 4developers-speakers - Proidea
https://lists.proidea.org.pl/listinfo/4developers-speakers
Listą 4developers-speakers opiekuje się slawek.jabs at
proidea.org.pl, marek.nowak at proidea.org.pl,
zenon.matuszyk at networkers.pl, marcin.plesinski at

48. Informacje

49. Firmy

50. bgp.he.net

51. Robtex

52. Meta dane
exiftool *.pdf |grep Author
Author : Emilia PROIDEA
Author : darek
Author : T.K.
Author : darek
Author : Karolina
Author : Karolina

53. VirusTotal.com

54. Slack

55. mail.proidea.org.pl

56. Zakup domeny + VPS

57. mail-proidea.org.pl

58. mail.proidea.org.pl

59. E-mail

60. mail.proidea.org.pl

61. mail.proidea.org.pl

62. Reakcja pracowników

63. Reakcja pracowników

64. Podsumowanie ataku
● 55 e-maili wykrytych
● 34 e-maile dostarczone
● 3 konta e-mail przejęte (~10%)
Koszty:
● VPS: 3 zł / Domena: 0 zł
● Czas: kilka godzin

65. Slack

66. Slack

67. Podsumowanie
● Tech: Ogranicz usługi + [2/M]FA
– URL/DNS blackholing, e-mail skaner, DNS monitoring
● Ludzie: edukuj i trenuj (OSINT)
– Jak i komu zgłosić podejrzany e-mail?
● Procesy: przygotuj się na incydent
– Zmiana haseł, blokada, komunikacja, analiza

68. Materiały dodatkowe
Filmy:
APT x 3 - wybrane studium przypadków
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy zaproszenie dla cyberprzestępców?
Narzędzia do zautomatyzowanego testowania bezpieczeństwa
OWASP Top10 Najpopularniejsze błędy bezpieczeństwa aplikacji WWW
Podstawowy arsenał testera bezpieczeństwa aplikacji WWW
Darmowa edukacja:
https://quiz.securityinside.pl
https://quiz2.securityinside.pl
http://sprawdzpesel.pl
http://sprawdzkontobankowe.pl
https://pixabay.com/en/ - Zdjęcia
https://www.iconfinder.com/Vecteezy - Ikony

69. https://z3s.pl/szkolenia/
https://securityinside.pl
Atak i obrona:
● Bezpieczeństwo aplikacji WWW
● Bezpieczeństwo aplikacji mobilnych
-20%
Obowiązuje 51 dni
Hasło: 9an3q
Szkolenia – rabat

70. Dziękuję za uwagę
Borys Łącki
b.lacki@logicaltrust.net
Pytania