Phishingové útoky v roce 2014

Podobné dokumenty
SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.

Role forenzní analýzy

Analýza malware pro CSIRT

Podvodné zprávy jako cesta k citlivým datům

Strategie sdružení CESNET v oblasti bezpečnosti

Trnitá cesta Crypt0l0ckeru

Typy bezpečnostních incidentů

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Phishing. Postup při řešení incidentu. Aleš Padrta Radomír Orkáč , Seminář o bezpečnosti, Praha

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

BEZPEČNOST. Andrea Kropáčová CESNET Praha

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Nejčastější podvody a útoky na Internetu. Pavel Bašta

Bezpečnost aktivně. štěstí přeje připraveným

Aktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

AKTUÁLNÍ KYBERNETICKÉ HROZBY

Výpočetní technika. PRACOVNÍ LIST č. 8. Ing. Luděk Richter

Koncept BYOD. Jak řešit systémově? Petr Špringl

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

EUROPEAN COMPUTER DRIVING LICENCE / INTERNATIONAL COMPUTER DRIVING LICENCE - IT Security SYLABUS 1.0 (M12)

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Bezpečné chování v síti WEBnet. Ing. Aleš Padrta Ph.D.

Trnitá cesta Crypt0L0ckeru

Stinnou stránkou elektronické komunikace nejsou jenom HOAXy. Josef Džubák

Provedení testů sociálního inženýrství tsi-cypherfix2018

Nástrahy kybeprostoru

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Bezpečnostní rizika spojená s platebními službami

Jen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA DCIT, a.s.,

Jak se ztrácí citlivá data a jak tato data ochránit?:

Projekty a služby sdružení CESNET v oblasti bezpečnosti

Představení Kerio Control

Kybernetické hrozby - existuje komplexní řešení?

Přínos forenzní laboratoře při řešení rozsáhlého bezpečnostního incidentu. Karel Nykles

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Jak se ztrácí citlivá data a jak tato data ochránit?:


Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Jiří SLABÝ Deloitte Téma: Bezpečnost informací zajímavé trendy nedávné minulosti Zajímavé statistiky a trendy z oblasti kybernetické bezpečnosti uplyn

1. Způsoby zabezpečení internetových bankovních systémů

Vývoj Internetových Aplikací

Podvodné ové zprávy

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

SÍŤOVÁ INFRASTRUKTURA MONITORING

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bitdefender GravityZone

Seminář o bezpečnosti sítí a služeb

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Stránka, doména, URL, adresa

FLAB. Ransomware PČR. zaplaťte a bude vám odpuštěno. Aleš Padrta. Karel Nykles , Seminář CIV, Plzeň

CISCO CCNA I. 8. Rizika síťového narušení

PŘEHLED ZMĚN V SAZEBNÍKU KB ÚČINNÝCH ODE DNE

Petr Šnajdr, bezpečnostní expert ESET software spol. s r.o.

Tematický celek: Základy hardware a sítí. Učivo (téma): Hrozby internetu škodlivé programy

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Opensource antispamová ochrana

VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ

Uživatel počítačové sítě

Základy informatiky KIV/ZI. 2. cvičení

Mgr. Stěpan Stěpanov, 2013

Téma: PC viry II. Vytvořil: Vítězslav Jindra. Dne: VY_32_Inovace/1_058

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Falšování DNS s RPZ i bez

Základní zabezpečení. Ing. Radomír Orkáč , Opava.

Číslo projektu CZ.1.07/1.5.00/ Škola SOŠ a SOU Hustopeče, Masarykovo nám. 1 Ing. Miriam Sedláčková Číslo

Bezpečnost internetového bankovnictví, bankomaty

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Spear phishing

Certifikát. První kroky s certifikátem na čipové kartě

Nedávné útoky hackerů a ochrana Internetu v České republice. Andrea Kropáčová / andrea@csirt.cz

Obrana sítě - základní principy

Ondřej Caletka. 13. března 2014

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Co je počítačová síť?

Návod: Nastavení darovacího formuláře na webu

Uživatelská příručka MWA Modul Podpora vzdálených kalibrací dle ILAC

Datové schránky ante portas

ZVLÁŠTNÍ PODMÍNKY ŘEŠENÍ ELEKTRONICKÉ POŠTY PRO VZÁJEMNOU SPOLUPRÁCI HOSTED EXCHANGE

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

FlowMon Vaše síť pod kontrolou

KIV/ZI Základy informatiky

y s garantovaným odesílatelem a obsahem v praxi s využitím DKIM. Ing. Tomáš Hála ACTIVE 24, s.r.o.

MS Exchange a MS Outlook

Webové hrozby KDO

MOJESODEXO.CZ KARTY DO ŠUPLÍKU. Uživatelský manuál

Podvody v bankovní praxi

Bezpečnost počítače tače e a dat

Elektronické bankovnictví IV. čtvrtek, 31. května 12

& GDPR & ŘÍZENÍ PŘÍSTUPU

Příručka nastavení funkcí snímání

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Bezhotovostní platby z pohledu správy daní Konference Cashless Society 13. října Ing. Martin Janeček generální ředitel GFŘ

Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/ , Modernizace výuky

Transkript:

Phishingové útoky v roce 2014 Aleš Padrta 1

FLAB a CESNET-CERTS CESNET-CERTS Bezpečnostní tým pro reakci na incidenty Přehled o proběhlých incidentech FLAB Forenzní LABoratoř Podpůrné pracoviště CESNET-CERTS Analýza incidentů Další služby Blízký kontakt s phishingy Analýza závadných příloh 2

Věčné dilema uživatele Nejsem si jistý, zda jde o podvod... nebo je IT oddělení outsourcováno a posílá e-maily ze Zimbabwe... 3

Scam, phishing, podvodný e-mail Zvyklosti uživatelů (a médií) Podvodný e-mail = phishing Terminologii si nenechají vymluvit Radost, že poznají problémový e-mail Phishing Podmnožina podvodných e-mailů Název z password harvesting fishing Využívá sociální inženýrství Podvodný e-mail (scam - podvod) Není omezen na sbírání credentials 4

Evoluce podvodných e-mailů Evo-level 1 (phishing) Lákání credentials jako odpověď na e-mail Milášek zákazník, pošlete vaše heslo a čislo boty Evo-level 2 (phishing) Přesměrování na podvodnou stránku Náš klient, zkontrolovat si stav účet na www... Evo-level 3 (scam) Závadná příloha Vážený dlužník, zaplať nebo přijde exekutor pohledávka popsána v přiloze. 5

Seminář o bezpečnosti Populární podvodné e-maily 2014 (a trochu 2015) 6

Populární podvodné e-maily 17. 3. 2014 dokument pro uživatele Google Docs II 7

Populární podvodné e-maily 28. 4. 2014 malware smlouva (botnet klient) III 8

Populární podvodné e-maily 28.5.2014 bankovní data (karty, e-banking) I 9

Populární podvodné e-maily 15. 7. 2014 malware exekuce (evoluce smlouvy ) III 10

Populární podvodné e-maily 8. 9. 2014 platba za doménu (peníze na jiný účet) I 11

Populární podvodné e-maily 13.11.2014 zásilka České pošty (cryptolocker) III 12

Populární podvodné e-maily 29. 12. 2014 příloha vánoční pohlednice (.src) III 13

Populární podvodné e-maily 12. 1. 2015 malware objednávka (.src) III 14

Populární podvodné e-maily 1.2.2015 přístup do KB Předmět: Certifikat: error #910 Datum: Sun, 1 Feb 2015 14:47:36 +0100 Od: MojeBanka <cert@wizardmojebanka.cz> Komu: civenka@civ.zcu.cz Vážení zákazníci. Z bezpečnostních důvodů je nutné znovu potvrdit platnost certifikátu. Ověřit nyní <http://healthymemphis.org/admin/includes/uploadify/cz/> II 15

Populární podvodné e-maily 9.2.2015 příloha srážky z účtu (eskalace dluh exekutor srážky) 16

Populární podvodné e-maily Společné znaky Nátlak (sociální inženýrství) Vhodné načasování Pretexting (mluví se o faktuře v příloze MUSÍ BÝT faktura) Problém Obcházení technických opatření Kličkování před spamfiltrem Např. přílohy v archivu v zaheslovaném archivu Přesvědčivost Uživatel nakonec reaguje 17

Seminář o bezpečnosti Co se s tím dá dělat? 18

Prevence Technické prostředky Filtrování pošty Generický závadný obsah Filtrování spustitelných příloh Není 100% + soukromé schránky Restrikce v systému zabezpečení stanic Antivirová řešení, Host IPS, Vzdělaní uživatelé Řešení pro kulové univerzity ve vakuu Snaha vzdělávat (směřovat k ideálu) 19

Reakce na konkrétní vlnu Zkomplikovat další příjem Specifický spamfiltr Zkomplikovat malware spuštění Konkrétní pravidla v HIPS/AV řešení Smazat z e-mailových schránek Informovat uživatele Minimalizovat dopady Zakázat odchozí poštu na reply-to pro evo-level 1 Blokovat URL pro podvržené stránky pro evo-level 2 Blokovat na perimetru spojení s IP C&C / dropzóny 20

Reakce na konkrétní vlnu Identifikovat kompromitované stanice Lokálně (souborový systém, registry) Podle síťového provozu využití informací z Passive DNS (pokud je používán fast flux) Identifikovat dopady kompromitace Lokální Odchycení hesel, uložená data (změna, smazání, krádež) Dosah ze stanice Změny v informačních systémech Šíření přes úložiště (např. Cryptolocker a namapované disky) 21

Analýza malware Cíl = získat informace Co malware v systému dělá Jak poznat kompromitovanou stanici Lokálně (filesystem, registry, běžící procesy) Síťové chování (netflow) Jak malware ztížit život Doručení uživateli Spuštění Komunikace s C&C Jak se k informacím dobrat? Forenzní analýza 22

Analýza malware Požadavek na rychlost dynamická analýza Kontrolované prostředí Pozorování změn v systému Pozorování používaných procesů Pozorování používaných knihoven/funkcí Pozorování snah o komunikaci Vyhodnocení? Test detekovatelnosti malware AV www.virustotal.com 23

Plány pro rozsáhlý incident Běžní uživatelé + chytrý podvod = hodně práce Desítky, stovky kompromitovaných PC Mít reakční plán Dohled a plánování Sdílené úložiště, dohledový manažer Notifikace uživatelů Získat vzorky malware pro analýzu Identifikovat a zablokovat útočný vektor Identifikovat a napravit kompromitované stanice Globální náprava (revokace hesel, certifikátů,...) 24

Shrnutí Lidi jsou nepoučitelní Podvody byly, jsou a budou Phishing, podvodné e-maily Příprava Prevence + reakce Počítat s plány na řešení rozsáhlých incidentů Analýza chování malware Dává potřebné informace FLAB: příprava služby rychlá analýza malware Pro členské sítě (vzorek informace pro řešení) 25

Prevence cesty k řešení + Cesta vědění (uživatele) Cesta síly (bezpečnostních opatření) 26

Zdroje obrázků www.lupa.cz www.root.cz www.viry.cz www.hoax.cz www.ceskaposta.cz www.kb.cz www.clker.com 27

Dotazy, diskuse,...??? 28

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář