Podvodné zprávy jako cesta k citlivým datům Andrea Kropáčová Aleš Padrta 1
Proč zrovna data? Informace data údaje Cenný artikl Vlastní použití / prodej Cenné údaje Credentials (hesla, certifikáty, ) Čísla karet, PINy, Kontakty (e-mailové adresy, seznam dodavatelů) Výsledky výzkumu Zdravotní stav Peněženky kryptoměn... Data v roli rukojmích 2
Proč zrovna podvodné zprávy? Možnosti získávání informací Technicky orientovaný útok Vyžaduje hluboké znalosti Neustálý vývoj Útok na uživatele Méně náročné Podobné reakce Podvodné zprávy Jednoduchá příprava Masové rozesílání Nízké riziko Nic mi neřekli a skoro jsem nestačil ani utéct. Musíme konečně objevit písmo a... cože? Co je Internet? 3
Trocha historie Doba dopisní 1598 Španělský vězeň 199x Nigerijské dopisy 201x - Upomínky 4
Trocha historie Doba e-mailová Zlatá éra podvodných zpráv Dostupné pro každého E-mailová schránka Seznam adresátů Hromadné rozesílání Běžný požadavek zaměstnavatele Řada uživatelů tápe Specializace podvodů získávání přístupových údajů Phishing Rhybaření 5
Phishing evoluční úroveň 1 Elektronická verze dopisu 6
Phishing evoluční úroveň 2 Symbióza podvodného e-mailu a podvodné stránky 7
Phishing evoluční úroveň 3 Závadná příloha 8
Proč to funguje? Důvod nesprávné reakce Naivita? Nezkušenost? Slabomyslnost?? Skutečnost Zmanipulování adresátů Psychologický nátlak Sociální inženýrství 9
Sociální inženýrství Vydávání se za autoritu Strach nevyhovět Pokyn z pozice moci Typicky Státní moc Smluvní partner Soudce, exekutor, policista,... Věřitel, dodavatel Internetu, elektřiny,... Jiné autority Ředitel, nadřízený, manželka,... 10
Sociální inženýrství Hrozba ztráty Vězení Pokuta Přístup k Internetu... Hrozba ztráty příležitosti Dědictví Výhra v loterii Poklad nigerijské princezny... 11
Sociální inženýrství Utajování Je to jen mezi námi. Je v zájmu pana ředitele udržet to v tajnosti. Důvod Znemožnění komunikace s ostatními Konzultace Zjištění objektivního stavu Užší vazba Manipulátor manipulovaný Větší ochota spolupracovat 12
Sociální inženýrství Časová tíseň Teď hned Kupujte, nebudou! Návrat k instinktům Amygdala Neokortex Rychlé reakce Instinktivní rozhodnutí Pomalejší Analytické zpracování Stejné instinkty stejná (predikovatelná) reakce 13
Phishing Andrea Kropáčová 14
Boj s phishingem Technická opatření Blokace závadných domén Antispamový filtr Antivirová aplikace Zásah bezpečnostního týmu Spolupráce bezpečák - uživatel... 15
Boj s phishingem Technická opatření Blokace závadných domén na síťové úrovni ( aby se tam nedostali, když už kliknou ) částečné řešení, nutno sledovat pohyb po IP Antispamový filtr Antivirová aplikace Zásah bezpečnostního týmu Spolupráce bezpečák - uživatel... 16
Phishtank 17
Phishtank 18
Phishtank https://www.phishtank.com Slouží k blokování závadných stránek Spolupráce při vytváření reputace (schvalování závadných stránek) provozujeme službu, která upozorňuje ostatní ve skupině, že bylo přidáno URL a je potřeba mu zvýšit rating cca 5 hlasů --> blokace v prohlížeči Jak se zapojit?: Účet na phishtank.com masters@cesnet.cz (Jiří Ráž) aktuálně CESNET, VŠB, VŠE, VŠUP, CUNI, UHK, CAS, ZCU 19
V hlavní roli uživatel Technické vybavení Lidský faktor Penetrační a zátěžové Test odolnosti proti Nápravná opatření Vzdělávání testy sociálnímu inženýrství 20
Boj s phishingem Technická opatření Blokace závadných domén Antispamový filtr Antivirová aplikace Zásah bezpečnostního týmu Spolupráce bezpečák - uživatel... Dopravní zpoždění Nelze zaručit 100% úspěšnost Uživatel Vždy může zabránit Více informací = vyšší odolnost 21
Testy sociálního inženýrství FLAB, https://flab.cesnet.cz Testy sociálního inženýrství, které umožní zjistit odolnost uživatelů proti technikám sociálního inženýrství v běžné elektronické komunikaci Rozešleme simulované podvodné zprávy (phishing) nebo USB paměťová média s cílem vylákat přístupové údaje uživatelů nebo je přimět ke spuštění malware. Výsledky umožňují vyhodnotit odolnost organizace proti tomuto typu útoku, funkčnost interních postupů při reakci na incident a uživatelé jsou setkáním s cvičnou zprávou vzděláváni. Školení v rámci prezentace výsledků sluzby@cesnet.cz 22
Diskuse Reakce Technické řešení Včasná informační kampaň Prevence Nastavení office365 limity, logování Kontinuální vzdělávání uživatelů Jasně nastavené postupy pro případ problému... a možnost je aplikovat... vynucená revokace účtů? restrikce provozu, IS dostupné pouze z prostředí školy? 23
Čas na dotazy... https://flab.cesnet.cz flab@cesnet.cz 24