titeket tesztel az IT?

Egy új ügyfélnél dolgozom február óta. Az új ügyfélnél kaptam egy céges email címet, amit cégen belüli levelezésre használok. Mondanám, hogy nem adtam meg sehol máshol, de ez nem teljesen igaz, az én céges naptárammal pl. az ügyfél emailcímes naptárat szinkronizálom, meg a saját gmail fiókomból küldtem már naptár meghívókat az ügyfeles email címemre.

Máshol nem használtam és nem adtam meg, de nem zárhatom ki, hogy valamelyik kollégám továbbított egy emailt, vagy ilyesmi.

Mindenesetre úgy kezelem, hogy ez egy olyan email cím, amit a cégen kívül mások nem ismernek, szóval ha cégen kívülről jön egy email, akkor az gyanús.

Eddig egy esetben volt ilyen, azt egyszerűen jelentettem, hogy phishing, különösebb gondolkodás nélkül.

Ma megint jött egy email, benne egy linkkel, hogy klikkelj ide, ismeretlen feladótól, váratlanul, összesen annyi tartalommal, hogy küldtem egy titkosított emailt, kattints ide, hogy megnézd a tartalmát.

Már jelöltem volna be, hogy phishing, de elgondolkoztam rajta: honnan a fenéből tudják az ügyfél által adott email címemet, ami keresztnév.vezetéknévszám@ügyféldomain formátumú? Nem lehetetlen, hogy végigpróbálgattak mindenféle kombinációt, de azért furcsállottam.

Elgondolkodtam, hátha nem is phishing, hanem az ügyfél által felfogadott 3rd party próbál ilyen ügyetlenül kommunikálni? Arra gondoltam, meg kéne nézni az IT-t, hogy nézzék meg, de ilyen gomb nincs, csak report spam meg report phishing.

Gondoltam, megnézem a headereket, hátha feltűnik valami.

Hát, fel is tűnt. Pl. ezek:

Received: from mail.nova.phishme.com
X-PhishMeTracking: V...
X-PhishMe: Phishing_Training

Na, akkor most épp úgy gondolom, hogy a mandatory cyber security training nem volt elég, hanem tesztelik az éberségünket.

Mindenesetre most már nem gondolkozom, honnan szerezhette meg valaki az email címemet. Hát az AD-ből :-)

Hozzászólások

Szerkesztve: 2021. 03. 22., h – 18:03

Igen, a kialakult helyzet miatt (home office) tobb ceg szerzodtetett InfoSec ceget, azok meg altalaban havonta tolnak hasonlo "spam"-eket

szolja az IT-nak hogy a mail.nova.phishme.com-t tegyek tiltolistara

neked aztan fura humorod van...

Szerkesztve: 2021. 03. 22., h – 19:18

a legdurvább amikor a céges marketing spam pontosan ugyan azokat a gyanús elemeket tartalmazza, mint ezek a gagyerák phishing tesztek:

- kattints ide URL, ami persz nem látszik mert url ellenőrző szolgáltatást és/vagy tiny url-eket használnak,

- generált megszólítás,

- nem létező feladó,

- képekben az információ, ami csak egy link egy harmadik féle url-re

- digitális aláírás hiánya.

Tesztel és unom. Van elég bajom a projekten, de hogy még a kollégáim is azért kapják a fizetést, hogy engem kínozzanak... klassz! :)

Lehet hogy bosszantó, de egyébként hatásos infosec eszköz a phishing szimuláció. Főként az átlag irodista tekintetében. Többféle - némileg marketing szagú - felmérés van erről, ami azt mondja, hogy 70-80 százalékos phishing hatékonyságot lehet ezzel 10 százalék alá csökkenteni. Az én tapasztalatom is az, hogy ezek az eszközök működnek és érdemes olyan cégnél bevetni ezt, ahol a kockázati tényezők ezt indokolják.

Az utóbbi időben egyébként nagyon megszaladt a phishing, már csak ezért is érdemes. Közepes nagyságú cégnél (150 fő) bőven láttam már célzott, nem gagyi próbálkozásokat.

Az értelmét még látnám is, csak vagy nem kellene ennyire feltűnően csinálni, vagy legalább nem kellene feltétlenül ilyen gyakran tesztelni. Feltételezem, a múlt heti is tesztelés volt.

Egyébként ez az Office365 nagyon ügyes abban, hogy az olvasható URL-ekből olvashatatlan fost varázsoljon. Valami Secure vagy Protected vagy mittudomén már milyen szóval kezdődő saját URL-re konvertálja az eredetit, és minden speciális karaktert kicserél ugye százalékra és számokra, így ránézésre nem lehet megmondani, hogy hova is vinne a link. Imádom.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Tinyurl - elso curl-re csak azt mondja meg, hogy a tegnapregeltem-nagyon-secure.io -ra redirectelne. Onnantol tiszta sor.

Ha meg nem egyertelmu, hogy url rovidito, akkor is vannak eszkozok. Extrem paranoidsag eseten VM desktop. Ha tenyleg annyira paranoid vagy es kozben tenyleg annyira erdekel, mi az.

Én magamnak meg tudom ezt biztonságosan oldani, nekem van erre eldobható vm (Qubes OS)

 

De egy átlag user jobb ha sehogy nem birizgálja az ilyen linkeket.

Sőt, a mai csidi-csudi html/javascript renderelő 'levelező kliensek' már a megnyitáskor is be tudják nyalni a kártevő kódokat...

 

De mondok jobbat:

egy SOC-ban az analystoknak must have lenne egy ilyen 'gonosz linkek kipróbálására alkalmas' környezet - de eddig sehol nem láttam ennek nyomát sem a gyakorlatban.

Gentoo-t? Egyszer kipróbáltam Gentoo-t, de nem tartottam meg. Viszont ez nem 10 éve volt, inkább 16 vagy 19 éve lehetett.

Egyébként a Debian 1.1 release óta (1996 június 17) Debian-t használok, azelőtt meg Slackware-t használtam.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Nem tinyURL, hanem van valami URL, amiben van ugye ://, esetleg ?, =, space, számok, pontok. Na ezt ő átteszi először valami olyan formába, hogy másikURL/launchurl:eredeti_URL_speciális_karakterek_elkódolva, ezután ezt a második, már eléggé olvashatatlan URL-t áttaszi valami olyan formába, hogy secure.office365:másodikURL_elkódolva, és az egész egy se-füle-se-farka % és szám halmaz lesz, simán 5-6 soron keresztül.

Dekódolható, de rápillantással nekem nem megy, fejben vagy valahová kézzel átírva soká tart.

Ha én küldenék phishing emailt, valahol egy ilyen elkódolt cuccba rejtenék el egy szemmel nehezen kiszúrható módon egy domainnevet, ahol a másolt weboldal üzemelne.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Állandóan csinálja nálunk is a Security team. Az a vicc, hogy olyan gyakran tesztelik a népet, ami már kontraproduktív, mert az emberek nem is jelentenek már semmit, mindenre azt hiszik, hogy megint csak egy teszt.

Mennyi macera nálatok jelenteni? Nekünk az outlookban kint van mindenkinek a report gomb, ott kategóriát választ és kész. Ha training volt akkor kap egy üzenetet, hogy grat ügyes volt, ha meg nem training akkor meg kivizsgáljuk és általában tiltjuk és mindenki mailboxából is eltávolításra kerül

Eddig nekem kettő volt. Outlookban kiválasztottam, hogy report phishing, az email azonnal eltűnik, semmiféle visszajelzés nem érkezik utána. Se köszönöm, hogy jelentetted, tényleg phishing volt, se az, hogy köszönöm, hogy jelentetted, de ez csak egy inkompetens hülye, szóltunk neki, hogy küldje rendesen az emailt újra, se az, hogy ügyes vagy, átmentél a ravasz, trükkös tesztünkön, se az, hogy ne nyomkodd azt a gombot!

Pedig jó lenne, ha úgy működne, mint nálatok.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Nem tudom, hogy beépített gomb-e, simán lehet. Az kötelező cybersecurity tréningen azt mondták, hogy ez a legjobb mód arra, hogy a gyanús leveleket a megfelelő osztálynak jelezzük, és csak ha ez nem működik pl. böngésző beállítások miatt, csak akkor használjunk valami másik megközelítést, ami ha jól rémlik, talán az email forwardolása volt valahová. Arra emlékszem, hogy direkt mondták, hogy a screenshot az nem elég, mert abban nincsen benne minden információ (gondolom headereket akarnak nézni).

Így néz ki.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

En epp ezert hivtam az IT-t. Kis faggatozas utan kiderult, hogy kb a torlessel egyenerteku a dolog. Ha sokan jelentene egy dolgot, akkor megmozdul az IT sec team. Cserebe nem egy pillanat alatt tunik el a level, hanem pa masodperc mulva, amikor mar epp a kovetkezo olvanam a sorban, ami ugrashoz vezet. Ettol kezdve a sima torlest hasznalom.

Egy alkalommal úgy adódott, hogy ilyen emaileket kaptam nem sokat kettőt hármat, de mivel fura volt, hogy láthatóan autómata küldte, de nem volt sok gond a nyelvezettel (ép csak, hogy feltünjön). Tudjátok nézzed meg, kattinsal rá, hasonlók.

Így hát, jómunkás ember lévén elő az MX serverek logját és mit látok vagy 200 nagyon hasonló levél jött szinte ugyan azzal a subject -el, egy adott francia ország beli VM szolgáltatótól.

Annak rendje és módja szerint a teljes tartományt black listáztam, aztán mint ki jól végezte a dolgát, dolgoztam tovább.

Mígnem pár nap múlva megkérdezték, hogy bizonyos emailek nem érkeznek meg a céghez, egy "nagyon fontos partnertől" plusz egy feladó. senki[dot]alfonz[at]fontospartner[dot]com... Hmm... -->logtúrkálás --> Rejected by ACL ... Áhán hát ez az a fontos partner (akit korábban black listre vettem) Megbeszéltem, hogy ők igyekeznek szintetlépni és a helyett, hogy plusz munkát adnak a dolgozóknak első körben tréninget tartanak aztán, adott magyar IP címen vissza jöhetnek.

Ezt a fajta "tesztelést" elég patkány dolognak tartom, a dolgozók rendszeres képzése olcsóbb és - szerintem - hatékonyabb. Ja és töredékébe kerül!

----
올드보이

"elő az MX serverek logját és mit látok vagy 200 nagyon hasonló levél jött szinte ugyan azzal a subject -el, egy adott francia ország beli VM szolgáltatótól.

Annak rendje és módja szerint a teljes tartományt black listáztam, aztán mint ki jól végezte a dolgát, dolgoztam tovább."

És gondolom ment a ticket, illetve az itsec felé a jelzés, hogy ilyen és ilyen gyanús e-mail forgalom jött, és blokkolva lett. mert ha valóban a "mint ki jól végezte a dolgát" igaz,a kkor ez sem maradt el.

Íííígen peeeersze, meg csináltam élesítési jegyzőkönyvet is, meg természetesen megjárattam teszten is, meg uat -on is

 

Az ilyen "éberek maradnak a userek, vagy legalább attól tartanak, hogy retorzió lesz a következmény" megoldásoktól hányok. Elküldjük ezeket a levelekt, aztán jegyzőkönyvezzük, hogy a hatvanas kolléganők rákattintottak és ha valaki rákérdez, hogy biztonságban vagyunk-e majd lobogtatjuk a jegyzőkönyvet.

A kolléganő bukja az éves prémiumát, nem csökkent a valószínűsége, hogy bekapjunk egy ransomware -t, de jegyzőkönyvünk az van. Hát barátom ez nem itsec, ezt én aktakukacnak hívom :-/

----
올드보이

Igen, és jónak is tartom.

Egyrészt van rendszeres oktatás, és egész mókás szokott lenni a tananyag, és nem állítom hogy őrület nagy újdonságok vannak benne, de azért évente fél órát megér.

De tuti, hogy a többség csak végigkattogja a kvízig, amihez esetleg már valaki eleve megadta a válaszokat körlevélben.

Másrészt nem árt az éberség folyamatos fenntartása.

nem túl bonyolult...

ha csak rákattintasz abból még általában nem lesz semmi - bár van olyan is ami egyedi tracking URL, és megy is a report hogy kik kattintottak.

van aki aztán tovább is megy, és megadja a céges usernevét/jelszavát...

sok a birka felhasználó, de azokon ez biztosan nem segít. - szerintem.

 

Az értelmesebbje meg megnézi a fejlécet, és ott van benne leírva hogy phishing teszt - szóval totál hiteles.

Atlag felhasznalo a kovetkezo levelen elbukik (10-ből legalább 4) es szemrebbenes nelkul tolti ki a "Jelso:" mezot a link mogott , maga a levél:

Tárgy: Sürgõ értesítés

Szia

Ez az üzenet a CÉGNÉV webmail támogatási csoportjától érkezik, ez azt jelenti, hogy az e-mail: hamarosan le tiltva lesz, mert nem sikerült szabadon frissítenie, és elkezdi használni az új CÉGNÉV webmail platformot.
Próbálja ki itt: Kattintson ide most
Ingyenes frissíthet az új verzióra, figyelmeztessük, nem fogjuk újra emlékeztetni.

Kösz
Támogatás

// Happy debugging, suckers
#define true (rand() > 10)

en ezt fogtam par napja:

 

"Microsoft
Az Activitus felajánlja az Ön Microsoft-fiókját

A Microsoft írja a Mendetksi bahwa seseorang mencoba masuk ke akun Microsoft Anda alkalmazást. Ha ez az elso látogatása, feltétlenül nézze meg a GYIK-t a fenti linkre kattintva.
Lásd a tevékenységet
Yug Dapat Melihat tevékenységének utolsó parlindangánja

& E-mail fogadása Uchuk értesíti és tájékoztatja a Microsoft Service Den-fiókjának változásairól."

1x kaptam kamu phishing levelet, reportoltam, mondták, köszi

Igen nalunk is van de nem tul surun. Probaljak szezonalisan csinalni amikor amugy is jonnek a hasonlok xmas card Easter etc.

Pár hónapja láttam a lehúzás iskolapéldáját. Az áldozat, egy magyar cég volt, aki egy külföldi partnerével valami rendelésen levelezett. (Nem új partner volt, megbíztak benne.)
A levélváltásba egyszer csak beszállt egyszer egy vélhetően orosz fél (a levél fejlécek alapján) és az eladó nevében a rendelés kifizetéséhez elküldte az új számlaszámot.....
Ugyanazon a néven szólította meg a vevő ügyintézőjét, ugyanaz volt az aláírás minden stimmelt - domainkey, SPF rekord, minden jó volt.  Egyedül a domain név tért el egy betűvel az eredetitől, de azt csak akkor lehetett kiszúrni, ha direkt kereste az ember a különbséget.
Mint kiderült,nagy valószínűséggel  lopott imap jelszóval dolgoztak.  Profi meló volt a maga kategóriájában.

Az ilyet a levelezőkliensben vagy szerveroldalon könnyen meg lehetne fogni, hiszen olyan identitást mímelt az illető, amiről már volt információ a szerveren (és a kliensen, ha nem webmail). A másik, hogy simán lehetne jelzést adni a címzettnek, ha olyan cím/identitás kapcsolódik be egy folyó beszélgetésbe, ami annak korábban nem volt részese (sok beszélgetés összesen két résztvevő között zajlik, egy harmadik fél feltűnése még a leghülyébbek számára is gyanús lenne).

:)

Hát a sima weboldalukat nem nagyon nézegettem, de annyit el tudok mondani, hogy tud on prem exchanget, ms365öt (itt egy azure app-al csatlakozik) illetve gsuite integraciot. Sajnos a support oldaluk zárt. Realtime figyeli a fiókokat és tud magától is cselekedni a megadott határérték elérésekor(te definiálod a határt), egyébként meg csak riasztja az operátort aki szintén tud intézkedni. SOSEM töröl semmit, csak elrejti egy rejtett mappába így fals pozitív esetén vissza tudod szerezni. Retrospektíven is tudsz intézkedni és minden mailboxra érvényes egy parancs ha el kell távolítani valamit, nem kell végiggyomlálni mindenkiét. A dinamikus bannereket tudod alakítani a saját igényeidhez (multilinguális lehet csoporttagság alapján). A report gomb az elérhető az owa-ban, az okostelós appokban és az outlook appban is. De nagyon segítőkészek, ha emailt írsz nekik.

Nem mímelt semmilyen identitást. Csak küldött egy totál valid levelet a  john.doe@longcompanynname.com ról, amiben megadta a cég új számlaszámát.
A domain valid, volt, SPF, DKIM és társai is rendben. Nem volt domain név vagy feladó hamisítás.
Csak éppen az "eredeti" cég  john.doe@longcompanyname.com  -ról levelezett.

Megnézem azt, mikor a tipikus KKV-  postfix/dovecot/roundcube kombó szerver oldalon kiszűri, hogy ez kamu. 
 

(Most azt hagyjuk, hogy a usernek egy ilyen számla szám változást illik más csatornán is ellenőrizni.)

Az általam linkelt megoldás kiszúrja, teszteltük magunk is. Még azt is észreveszi ha valaki engedélyezi másnak a levélküldést exchange alatt és egy társalgásba egy engedélyezett belső 3. fél válaszol. Az ilyen “hamis” feladókat is azonnal kiszúrja és jelez, hogy vigyázz mert azt hiszed, hogy xy mert minden megegyezik, de a domain nem. Ha egy partner domainje változik akkor meg lehet rá tanítani.

Nem mímelt semmilyen identitást. Aztán leírod, hogyan mímelte az identitást.

Egyszerű kiszűrni: 1. a feladó címe egyszer sem szerepelt a céges levelezésben, vagy az adott irodista levelezésében, 2. az adott beszélgetésben olyan új címként jelent meg, amire a cégtől a beszélgetés során nem ment ki levél, 3. az adott beszélgetésben olyan új címként jelent meg, mely egyetlen karakterben különbözött a korábban jelenlévő e-mail címtől (kicsit sem gyanús, hogy az SLD egy céges levelezés során egyetlen karakterrel változik...). Ha a beszélgetés során az előbbi háromból legalább egy okán figyelmeztetés jelent volna meg az irodistánál, nem veszíti el a cég a pénzt.

:)

Úgy értettem, pusztán SMPT protokollt nézve nézve nem volt sem domain sem feladó hamisítás.
Az ilyen csalást csak az SMTP headerek és a  levéltörzs együttes, tartalmi elemzése tudja megfogni, ami az általad felvázolt esetekre figyelmezetni tud.

 

Ez feltört email fiókból kiment számlaszám módosításról szól. Nem pont ugyanez, de nagyon tanulságos, kössz.
Az én példámban a vevő fiókját nyomták fel, és figyelemmel kísérték a levelezését, és az eladó domain nevéhez hasonlót regisztráltak, és megfelelő időben onnan küldtek levelet.

amugy mivel lehet ilyet tesztelni? van ra valami selfhosted openszosz megoldas, vagy csak fizetos servicek?

nem mintha nagy melo lenne osszedobni hazilag, kell egy kamu email, kamu login oldal (mondjuk ehhez nem art egy gyanus nevu domain is), meg hozza a backend ami tarolja ki mit adott meg, es azt ellenorzi...

Minket is tesztel, de csak levelekkel. Benne link, meg blabla. Ha megnyitjuk a linket, akkor webes oktatás és teszt. 

Szerkesztve: 2021. 03. 23., k – 20:46

Amúgy, csak kérdezem be van állítva korrektül a SPIF, DMARC, DKIM kombó? Miért nem dobálja el, vagy rakja egyből spam mappába, ha hibás bármelyik? Aztán bárki szórakozik, landol a többi spam között.

Ha tőlem kérdezted, akkor az általam megnézett phishing levélben igen, volt minden, és minden jól ki volt töltve érvényes dolgokkal.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Az a szép, hogy ezek mind stimmelnek, mert ilyenkor regisztrálnak egy olyan domain nevet, ami nagyon hasonló, mint amiről a valódi partner levelezik. (Általában vagy egy betűvel tér el, vagy a a TLD-je más mint az "eredeti")

Mivel ez a sajátjuk, így minden hitelesítési rekordot be tudnak állítani hozzá.

Nyilván kiszúrható, hogy nem ugyanaz a domain név - de csak akkor, ha direkt leellenőrzi az ember (vagy az infrastruktúra  fel van készítve az ilyen esetekre is.).

Minket karácsonykor teszteltek kamu DHL-es értesítővel. A többség persze beszopta, mintha sosem látott volna futárszolgálattól értesítőt. Se név szerinti megszólítás, se a csomag feladója, se semmi, csak katt a linkre, mert jött neked egy csomag. Ja. Amerikai nagybácsi küldte az IKKA csomagot nejlonharisnyával, kávéval, csokoládéval.

Szerkesztve: 2021. 03. 24., sze – 07:48

Het iez...en ha meglatom hogy belso ceges "marketing" level mar megy is a kukaba. Jo aztan sokszor koppanok is, mert nem tudtam hogy ezt vagy azt el kellene intezni, de a hatarido elott ugyis kapok a fonoktol lebaszos levelet :D

Eddig nem, de ezután kipróbálom :D

trey @ gépház