Phishingové útoky v roce 2014

Rozměr: px

Začít zobrazení ze stránky:

Download "Phishingové útoky v roce 2014"

Ján Špringl
před 7 lety
Počet zobrazení:

1 Phishingové útoky v roce 2014 Aleš Padrta 1

2 FLAB a CESNET-CERTS CESNET-CERTS Bezpečnostní tým pro reakci na incidenty Přehled o proběhlých incidentech FLAB Forenzní LABoratoř Podpůrné pracoviště CESNET-CERTS Analýza incidentů Další služby Blízký kontakt s phishingy Analýza závadných příloh 2

3 Věčné dilema uživatele Nejsem si jistý, zda jde o podvod... nebo je IT oddělení outsourcováno a posílá y ze Zimbabwe... 3

4 Scam, phishing, podvodný Zvyklosti uživatelů (a médií) Podvodný = phishing Terminologii si nenechají vymluvit Radost, že poznají problémový Phishing Podmnožina podvodných ů Název z password harvesting fishing Využívá sociální inženýrství Podvodný (scam - podvod) Není omezen na sbírání credentials 4

5 Evoluce podvodných ů Evo-level 1 (phishing) Lákání credentials jako odpověď na Milášek zákazník, pošlete vaše heslo a čislo boty Evo-level 2 (phishing) Přesměrování na podvodnou stránku Náš klient, zkontrolovat si stav účet na Evo-level 3 (scam) Závadná příloha Vážený dlužník, zaplať nebo přijde exekutor pohledávka popsána v přiloze. 5

6 Seminář o bezpečnosti Populární podvodné y 2014 (a trochu 2015) 6

7 Populární podvodné y dokument pro uživatele Google Docs II 7

8 Populární podvodné y malware smlouva (botnet klient) III 8

9 Populární podvodné y bankovní data (karty, e-banking) I 9

10 Populární podvodné y malware exekuce (evoluce smlouvy ) III 10

11 Populární podvodné y platba za doménu (peníze na jiný účet) I 11

12 Populární podvodné y zásilka České pošty (cryptolocker) III 12

13 Populární podvodné y příloha vánoční pohlednice (.src) III 13

14 Populární podvodné y malware objednávka (.src) III 14

Populární podvodné e-maily 1.2.2015 přístup do KB Předmět: Certifikat: error #910 Datum: Sun, 1 Feb 2015 14:47:36 +0100 Od: MojeBanka <cert@wizardmojebanka.

15 Populární podvodné y přístup do KB Předmět: Certifikat: error #910 Datum: Sun, 1 Feb :47: Od: MojeBanka <cert@wizardmojebanka.cz> Komu: civenka@civ.zcu.cz Vážení zákazníci. Z bezpečnostních důvodů je nutné znovu potvrdit platnost certifikátu. Ověřit nyní < II 15

16 Populární podvodné y příloha srážky z účtu (eskalace dluh exekutor srážky) 16

17 Populární podvodné y Společné znaky Nátlak (sociální inženýrství) Vhodné načasování Pretexting (mluví se o faktuře v příloze MUSÍ BÝT faktura) Problém Obcházení technických opatření Kličkování před spamfiltrem Např. přílohy v archivu v zaheslovaném archivu Přesvědčivost Uživatel nakonec reaguje 17

18 Seminář o bezpečnosti Co se s tím dá dělat? 18

19 Prevence Technické prostředky Filtrování pošty Generický závadný obsah Filtrování spustitelných příloh Není 100% + soukromé schránky Restrikce v systému zabezpečení stanic Antivirová řešení, Host IPS, Vzdělaní uživatelé Řešení pro kulové univerzity ve vakuu Snaha vzdělávat (směřovat k ideálu) 19

20 Reakce na konkrétní vlnu Zkomplikovat další příjem Specifický spamfiltr Zkomplikovat malware spuštění Konkrétní pravidla v HIPS/AV řešení Smazat z ových schránek Informovat uživatele Minimalizovat dopady Zakázat odchozí poštu na reply-to pro evo-level 1 Blokovat URL pro podvržené stránky pro evo-level 2 Blokovat na perimetru spojení s IP C&C / dropzóny 20

21 Reakce na konkrétní vlnu Identifikovat kompromitované stanice Lokálně (souborový systém, registry) Podle síťového provozu využití informací z Passive DNS (pokud je používán fast flux) Identifikovat dopady kompromitace Lokální Odchycení hesel, uložená data (změna, smazání, krádež) Dosah ze stanice Změny v informačních systémech Šíření přes úložiště (např. Cryptolocker a namapované disky) 21

22 Analýza malware Cíl = získat informace Co malware v systému dělá Jak poznat kompromitovanou stanici Lokálně (filesystem, registry, běžící procesy) Síťové chování (netflow) Jak malware ztížit život Doručení uživateli Spuštění Komunikace s C&C Jak se k informacím dobrat? Forenzní analýza 22

23 Analýza malware Požadavek na rychlost dynamická analýza Kontrolované prostředí Pozorování změn v systému Pozorování používaných procesů Pozorování používaných knihoven/funkcí Pozorování snah o komunikaci Vyhodnocení? Test detekovatelnosti malware AV 23

24 Plány pro rozsáhlý incident Běžní uživatelé + chytrý podvod = hodně práce Desítky, stovky kompromitovaných PC Mít reakční plán Dohled a plánování Sdílené úložiště, dohledový manažer Notifikace uživatelů Získat vzorky malware pro analýzu Identifikovat a zablokovat útočný vektor Identifikovat a napravit kompromitované stanice Globální náprava (revokace hesel, certifikátů,...) 24

25 Shrnutí Lidi jsou nepoučitelní Podvody byly, jsou a budou Phishing, podvodné y Příprava Prevence + reakce Počítat s plány na řešení rozsáhlých incidentů Analýza chování malware Dává potřebné informace FLAB: příprava služby rychlá analýza malware Pro členské sítě (vzorek informace pro řešení) 25

26 Prevence cesty k řešení + Cesta vědění (uživatele) Cesta síly (bezpečnostních opatření) 26

27 Zdroje obrázků

28 Dotazy, diskuse,...??? 28

Podobné dokumenty

SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.

SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o. SOC e-infrastruktury CESNET Andrea Kropáčová CESNET, z. s. p. o. Provozuje síť národního výzkumu a vzdělávání CESNET2 https://www.cesnet.cz/ Připojeno 27 členů (české VŠ, Akademie věd ČR) a cca 280 dalších