1. ki kell küldeni egy becsapós emailt sok/összes usernek. Ez sem triviális, előbb-utóbb elér valamilyen smtp limitet,
vagy akik elsőként kapják meg és jelentik spamként az blokkolhatja a többit. ezért whitelistelni kell a spamszűrőn,
illetve az M365-ben direkt van opció az adathalász-teszt levelek beengedésére, Email és IP cím megadásával. jó tudni!
2. kell egy weboldal, egy amolyan gagyi login form, ami nem is csinál semmit, csak logolja kik/mit töltöttek ki.
Sok adathalász sima google forms-ot vagy hasonló free form-szolgáltatást használ erre, nem kell ezt túlspilázni.
én azért összedobtam rá egy kis python tornádó-s webservicet, de meg lehet írni 10 sorban akár php-ben is.
(de még az se feltétlen szükséges, elég ha egy static html-ben egy GET-es form van, és akkor az accesslogban látszani fog)
Ami még kell mindehhez, az egy jó domain név. Olyan ami hasonlít is az igazira meg nem is...
Pl. ha a target a cégnév.hu akkor - ha szabad - legjobb a cégnév.com de igazából bármi más, akár egy cégnév.dyndns.org is megteszi.
Persze kell még egy email címlista, meg egy email template, de ezek viszonylag könnyen beszerezhetők (utóbbi a spam mappából :))
Ha mindez megvan, akkor már csak el kell indítani: a templatet kiküldeni a címlistára, benne az url-el a kamu form-ra.
Persze lehet még bonyolítani, ha pl. követni szeretnénk ki kattintott a linkre, akkor célszerű valami egyedi azonosítót is belerakni.
Pl. egész triviális az adathalász.com/login?email=kovács.béla@cégnév.hu cím és már látszik is az accesslog-ban ki klikkelt rá.
nyilván ezt bele kell rakni az emailbe is, de az meg egy sed-el megoldható, a templatebe írt példa cím cseréjével az igazira.
Amikor ilyet kérnek az ügyfelek, mindig azzal válaszolok: oké, megcsináljuk a tesztet, de mihez kezdtek majd az eredménnyel?
- arpi_esp blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
… Amikor ilyet kérnek az ügyfelek, mindig azzal válaszolok: oké, megcsináljuk a tesztet, de mihez kezdtek majd az eredménnyel?
OK, es mit valaszolnak?
- A hozzászóláshoz be kell jelentkezni
nem vagyok felhatalmazva ra hogy megosszam, de amugy altalaban eleg tanacstalanok :)
- A hozzászóláshoz be kell jelentkezni
koszonom, nagyjabol ez volt a tippem! ;)
- A hozzászóláshoz be kell jelentkezni
Velem ezt a tesztet kb az elmúlt 3 munkahelyemen rendszeresen eljátszották. Van amikor csak orgokra lebontott statisztika készül belőle, és a végén jön az "ejnyebejnye ilyen sok % ráklikkelt de csak ilyen kevés % használta az IT erre a célra bevezetett jelentési funkcióját".
Aztán van amikor a ráklikkelő alkalmazottnak muszáj az éves kötelező security traininget megismételnie. Ami azért elég bünti tud lenni...
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Általában az utóbbival szopatják a dolgozóikat azok a cégek, ahol a szeku ilyenekkel szórakoztatja magát.
- A hozzászóláshoz be kell jelentkezni
Nem nagyon tudod megúszni, ha ISO meg hasonló megfelelőségeket kell felmutatnod. Annak mondjuk kinda-sorta még van is haszna, hogy az alkalmazottak fejébe verik, hogy nem kattintunk random emailekben érkező linkekre.
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
aztan amikor a fonok a szonyeg szelere allitja dolgozot mert nem egybol nezte meg a pdf-et amit kuldott, hanem elkuldte a secu-ra (ok meg nyilvan orakig le se szartak), akkor az egesz "ne nyisd meg, ne kattints ra, legy ovatos!" oktatas megy a lecsoba. ha a fonok kuldi akkor megnyitom. pont. \o/
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Engem imádnak a cégnél a HR-esek meg facilities-esek :) Én mindig rákérdezek, hogy a legújabb külső providertől jött "regisztráljak be a céges csoportba valami fitness tracker / biciklizz munkába / legjobb iroda szavazás / great place for work stb stb." levélre, hogy ez legit-e. Már running joke, hogy az ő leveleiket én mindig phishing-nek nézem. :)
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
+1000
aki kkv-ben szocializálódott, és ismeri annak a belsős 3 hosztnak az fqdn-jét ahová a legitim céges rendszerek url-jei mutathatnak, az fogná a fejét mikor nagymultiéknál nincs házon belül se a munkaidő-nyilvántartó, se a bérszámfejtés se a negyedéves dolgozóielkötelezettség-mérő kérdőív. Tiketelés, HR portál, travel+szállás-foglalás ha kiküldetés van, a számlák visszaigényeltető-portálja, meg a mindenféle belsős összetákolt webes szarok, torz domain-eken.
És akkor a random mikroszoftos szarok innen-onnan összevásárolt technikái az elbaszott (de amúgy teljesen legit) foreign domain-ekből már nem is szólok. Illetve a HR-droidok hírleveles random szarjai az éppen-mi-jutott-eszükbe ismeretlen külső free szarokon hosztolva.
- A hozzászóláshoz be kell jelentkezni
Na igen, ez a másik probléma. Amikor 73 külső as-a-service szolgáltatót használ a cég, mindegyik fossa magából a leveleket (lehet keresni mindegyiknél a user preferencesben hol van eldugva a lekapcsoló - és nem lehet, ki van szürkítve a checkbox, mert a céges fő accounton policyből lett bekapcsolva...)
Legjobb, amikor egy 74-edik - korábban sose hallott nevű - szolgáltatótól kapod levelet, hogy az új accountod létrejött, itt a linken léphetsz be. Nyilván ment a report azonnal. Aztán jött a pánikolás, hogy "jaj azt ne reportáljuk, mert akkor mindenkinek elkezdi kiszűrni a rendszer azt a fontos levelet, az az új e-learning szolgáltatónk". "Csak még nem ment ki a kommunikáció róla, hogy erre váltunk". "És igen, ott rá _kell_ kattintani a megerősítő linkre, különben nem fog élni az accountod". (Amúgy központi SSO-nk van, teljesen okafogyott az ilyen "kattints az emailben megerősítő linkre" dolog, de az adott szolgáltató flow-jában benne volt.)
EDIT: oké, nem teljesen okafogyott. Másik oldalról nézet: üzemeltettem olyan rendszert, ami többek között AWS-es mailküldő szolgáltatást is használt. Ott nagyon figyelni kell a bounce rate-et mert a teljes accountodon az összes régióban egyszerre letiltják az email küldést, gyakorlatilag oncall alert volt a soft limit elérése. Eszközünk viszont alig volt ellene, mert az ügyfél saját accountján állította be a userei mailcímét, nekünk nem volt jogosultságunk ebbe belenyúlni. Hogy az "enterprise" ügyfelek hányszor hagyták benn rég törölt mailboxok döglött címeit... Annyit lehetett tenni, hogy a TAM-osainknak könyörögtünk, hogy csináljanak vele valamit. Szóval sejtem mit akarnak kivédeni a megerősítő maillel az SSO-s ügyfeleknél is.
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Ó tényleg bazdmeg a LEARNING ! oldal. Az sosem olyan seholsem b+ hogy learning.munkahelyemneve.com (vagy learning.munkahelyijólismertdomain.intra)! Mindig valami elbaszott külsős szarba kell kiszervezni, aztán évente-vagy-max-2évente átnevezgetni! Hogy 1) megjegyezni esélytelen legyen, plussz 2) a kurva bookmarkjaim 20-30%-a is invalidálódjon kb. évente.
- A hozzászóláshoz be kell jelentkezni
Ugye vagy rá klikkel vagy nem, de ebből nem lehet tudni a miértet. Igy azok átmennek a teszten akik nem dolgoznak és a szorgos hangyák közül lesznek akik nem. Ha ez alapján lenne egy elbocsátás, akkor a végén az aktívak száma csökkene.
- A hozzászóláshoz be kell jelentkezni
raadasul mi meg is szoktuk nyitni az ilyen oldalakat (nyilvan inkognito + masik bongeszo), hogy lassuk mit is csinalt a sec team :D
ha epp raerunk (nyilvan HO-ban! :DD), akkor meg valami "nemvertekat@cegnev.hu" szeru adatokkal is kitoltjuk...
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Esetleg revansként a teljes IT department összes email címével preparálva megnyitja a bosszús dolgozó a linket. :)
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
- A hozzászóláshoz be kell jelentkezni
Jah, oszt ha olyan kevésbbé vicceskedvű a munkáltatód, még téged állítanak majd a szőnyeg szélére, mikor a szekusok behívatnak a HR-rel.
Ha nem te is konkrét tagja vagy a szekus team-nek, akkor a szeku team ugyanúgy nem a te oldaladon van mint a HR egy munkahelyi balhé esetében.
- A hozzászóláshoz be kell jelentkezni
Ez erősen cég- és emberfüggő. Nekünk hivatalból sok kapcsolatunk volt a biztonsági osztályokkal, és voltak kemény csaták, de volt olyan osztályvezető is, aki tök normálisan állt hozzánk.
- A hozzászóláshoz be kell jelentkezni
> ha epp raerunk
igen ilyet is szoktam latni a logokban, pl:
login=kurvaanyádatteszopadéklelkűcsicskagyászhuszár
password=hogymiértnemvágtaktégedafalhozaszülőszobánteutolsólogin=budos.apad@rablo.faszat.hu password=szopdKiAnyadbolAmitApadBelevert
- A hozzászóláshoz be kell jelentkezni
> Ugye vagy rá klikkel vagy nem
azt is latni a logokbol, de ugye nem az az erdekes (bar akar lehetne valami virusra mutato link is akar), hanem aki kitolti valos adatokkal a formot (ergo beirja a ceges jelszavat egy idegen, bar hasonlo/megteveszto oldalon - mert ha itt beirja akkor be fogja a rosszindulatu oldalakon is!)
> Ha ez alapján lenne egy elbocsátás
ez meg soha sehol nem merult fel erdekes modon, de vszinu a munkaugyi birosagon meg is bukna legkesobb a modszer :)
- A hozzászóláshoz be kell jelentkezni
indirekt módon sima ügy
- A hozzászóláshoz be kell jelentkezni
Egyebkent itt mi az elvart viselkedes? A nem elvart nyilvan az, ha kitolti valos adatokkal.
Ha megnyitja VM-ben, kicsit megpiszkalja mi van mogotte, es utana eleg reszletes reporttal szol az ITsec csapatnak, hogy ezt es ezt kaptam, az jo?
Ha scripttel elarasztja random generalt adatokkal, az mennyire elfogadhato reakcio? (toron keresztul kitunoen megy)
A strange game. The only winning move is not to play. How about a nice game of chess?
- A hozzászóláshoz be kell jelentkezni
mivel ezek nem IT cegek, nem ezt varjak :) mondjuk nem kicsit meglepne ha valaki elkezdene DoS-olni az oldalt :)
kb arra kivancsiak kik/hanyan toltik ki valos adatokkal. a kerdes inkabb az, hogy mihez kezdenek majd az eredmennyel...
az elvart kb az lenne hogy ne is kattintson a linkre (lehet virus is akar), de legalabb ne irja be a ceges jelszavat a formba (vagy ha mar megtette, akkor valtoztasson jelszot azonnal es jelentkezzen onkent az IT-nel hogy "hulye voltam"). plusz pont ha jelzi az IT-nak hogy kapott egy ilyet.
- A hozzászóláshoz be kell jelentkezni
Az elvart viselkedes az lenne, hogy az IT egyszeru reportolasi feluletet biztosit , mondjuk egy dedikalt gomb az outlookban. Arra kattintva a level karantenba kerul (legalabb trash folder) es megy az automata report az IT fele. Ha teszt volt, akkor megy a dicsero level, ha valos, akkor az IT tanul belole, es a kovetkezo ilyet mar szuri is.
Ha mindez nincs, akkor ki kell rugni az ITs kollegak 20%-at, mert tul sok idejuk van hulyesegre.
- A hozzászóláshoz be kell jelentkezni
> reportolasi feluletet biztosit , mondjuk egy dedikalt gomb
igen, van. sokan arra hasznaljak hogy azzal torlik az emaileket mert nem kerdez ra hogy biztos torli-e mint a torles gomb :)
szoval nem mindig az IT a hulye :)
- A hozzászóláshoz be kell jelentkezni
A user eleve hülye by def, a kérdés mindig csak az, hogy emellett az IT is hülye, vagy sem :D
- A hozzászóláshoz be kell jelentkezni
Jo otlet! :)
Igaz, csak threadek eseten kerdez vissza a sima torles, de nem keso ujat tanulni.
- A hozzászóláshoz be kell jelentkezni
Szégyen vagy sem, mi a tűzfal analitikájával játszunk, ott “jól megnézem” kik nem állnak a helyzet magaslatán. Aztán amikor a vigaszság mélabúba vált, akkor levonjuk a konzekvenciát. Legfőképp azért, hogy extra (úgy értem kiegészítő) módon meg tudjam védeni a., a tagot önmagától. b., magunkat tőle. Van, akinél emiatt eltérő policy van az átfogó védelmi megoldásban. Van, aki röpoktatást kap. Van úgy, hogy support-levél megy házon belül mindenkinek (az analitikára alapozva), hogy mire figyeljen már legyen kedves akit érint ilyesmi.
Szerencsére nem sok szar jön át a tűzfalon és a szűrőkön, évi 10-15 eset alatt vagyunk szerintem, lehet túltippelem - de nem volt mindig így: 3-4-5 éve ezek tényleg sokszor fordultak elő.
Nagyjából a fentiek lehetnek az okai másoknál is a felmérésnek. Illetve van, ahol auditálhatják is a partnereid, hogy milyen képességű emberek férnek hozzá az ő adataihoz.
Vortex Rikers NC114-85EKLS
- A hozzászóláshoz be kell jelentkezni
Tapasztalatból mondom, IT cégnél az edukáció évente megismételve jelentősen csökkenti a következő teszten való megbukást.
- A hozzászóláshoz be kell jelentkezni
Nálunk rendszeresen van ilyen teszt (nagyjából havonta), és igen, egy trükkös domain név kell hozzá (ez azért nem egy nagy ügy, főleg, hogy amúgy is sok domaint kezelünk). O365 a levelezés, szerintem ott eleve trükköznek, hogy átmenjen a spamfilteren, az URL-ben pedig egy hosszú szám az egyedi, így visszakövethető, hogy ki kattintott rá, viszont nem lehet (vagy meglehetősen nehéz lenne) behazudni másokat, mert nyilván egy hosszú számtérnél sok lyuk van. Nálunk az outlookban van egy külön gomb, ami nyilván egy makrón keresztül elküldi a biztonsági részleghez a gyanús leveleket, erre minden gyanús levélnél illik rákattintani, az elintézi a többit. Szokták mérni, és a teamleadernek elküldeni, hogy ki kattintott rá, illetve ki nem jelentette. A véletlen rákattintás eredménye az, hogy újra el kell végezni az adathalászat e-learninget, más retorzióról nem tudok, szóval ez kicsit bosszantó, de nyilván emiatt következő alkalommal jobban figyel a delikvens.
A levél tartalma még egy-egy kampány alatt is eltérő, vagyis van jónéhány csalilevél formátum, random, hogy ki mit kap. Egyetlen helyen bukott meg ez a metódus: van egy header, ami mindig előfordul a csalilevelekben, és csak azokban, úgyhogy erre írtam egy filtert, ha ilyen levél érkezik, az Outlook nekem feldobta a pop-up ablakot, hogy ismét jön egy csapda :)
- A hozzászóláshoz be kell jelentkezni
Ja azt én is ki szoktam keresni, hogy milyen headerrel oldják meg, hogy átmenjen és direkt úgy reportálom az IT fele, hogy "a támadó ezzel az X-phishing-mail-employee-test-campaign headerrel játszotta ki a spamszűrőt, legyenek szívesek blokkolni az olyan leveleket amiben ez van". :) Volt már, hogy valami kis supportos indiai reagált rá, és elkezdte elmagyarázni, hogy igen ez a teszt része és szándékosan nem blokkolják, nem esett le neki, hogy trollkodásból csinálom.
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
En egyszer megirtam, hogy tobb szintu teszt kene. Unalmas mar az alban virus.
Meddig tart bejegyezni (igazabol csak belso DNS) egy fake cimet mondjuk 1-2 cirill karakterrel, felhuzni egy hasonlo ceges oldalt, es azzal halaszgatni?
Nem hiszem, hogy nincs par kollega egy nagy cegnel, aki a sotet oldalnak is dolgozik. Azok siman kiadhatjak, hogy hogyan is nez ki egy atlag HR-es level illetve hogy mutat a belso honlap. Mennyire nehez, illetve kifizetodo hasonlo celzott tamadast inditani?
- A hozzászóláshoz be kell jelentkezni
> atlag HR-es level
errol jut eszembe, par eve jott olyan adathalasz (vagy az mar inkabb csalas volt), hogy a dolgozo neveben de valami gmailes cimrol kuldtek a HR-nek levelet, hogy megvaltozott a bankszamlaszama es ezentul az uj szamra keri a fizeteset...
- A hozzászóláshoz be kell jelentkezni
> X-phishing-mail-employee-test-campaign
Igenigen, marcsak a valodi adathalaszoknak kell beletenni egy ehhez hasonlo headert az emailekbe, es akkor johet a dupla/triplacsavar :)
- A hozzászóláshoz be kell jelentkezni
Az is hülye, aki ilyen headert készít, gondolom ez csak egy hasból adott példa volt :)
- A hozzászóláshoz be kell jelentkezni
Hasból, de kb ilyen jellegűek voltak. Szemre meg lehetett találni, hogy melyik az. Talán volt pár randomnak látszó karakter benne.
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Beszopjak. Viccesen, hogy az IT fejlesztes (programozok) tobben kattintottak (elmondas szerint poenbol), mint a HR lanyok/fiuk....
Volt kis ejnye bejnye, meg akkor gyertek es hallgassatok meg a sec boss 40 perces előadását.
Ez elég büntetés volt látszólag, mert legközelebb 90+% csökkent a vicceskedők száma :D
Every single person is a fool, insane, a failure, or a bad person to at least ten people.
- A hozzászóláshoz be kell jelentkezni
Vagy amikor orvosként te jösz rá, hogy miért akad fenn a többiek spamszűrőin a saját levelünk, mert nincs dkim aláírás rajta
Vagy amikor a külső partner megkér rá, hogy regelj be a http:// linkjén és a noreply.cegnev@gmail.com-ról küldött levélen és fel van háborodva, mert nem csinálom, amit mond és szerződésbontással fenyeget. Persze, amikor megkérem, hogy hagyományos levélben írja le, mert a gmail nálunk tiltólistás(kamu), akkor előjön a rendes céges emailcím, meg a rendes link is https-sel.
Vagy amikor lassú a gép, a rendszergazda leül elé és bepetyegi az admin jelszót (administrator/akarmi)), és másnapra minden gépet megfertőz a fos, csak azokat nem, ami nem volt fenn a sophos csoda, csak a beépített defender.
Vagy amikor az igazgatóság 2 gépet használ, mert a céges olyan lassú az egekbe emelt heurisztikától, hogy 1 word megnyitása is percekbe kerül.
Vagy amikor egy receptíráshoz 5 felhasználónevet és 6 jelszavat kell begépeljek, és mindenki csodálkozik, hogy tüntetésből kinyomtatva is tartok kamujelszavakat az asztalomon, csak hogy érzékeltessem, hogy 24 karakter, szám, betű(kisnagy), különleges karakter véletlenszerű kombinációját lehetetlen megjegyezni.
IT, én így szeretlek!
hup.hu##article[data-comment-user-id="16401"]
hup.hu##article[data-comment-user-id="4199"]
- A hozzászóláshoz be kell jelentkezni
Én a 2 faktorostól vagyok ki. Értem, mi értelme van, nem is feltétlen tartom rossz dolognak, de meglepően sokáig tudok körgetni az Authenticator Pro-ban, anélkül, hogy a végére érnék a listának, és nem egyszer fordult már elő, hogy a rossz microfos 2 faktort ütöttem be, és néztünk egymásra, mint Noé meg a harmadik teve. Arról nem beszélve, hogy van olyan, ami napon belül többször is kivág két kattintás között, mert aktivitást nem néz, csak időt.
- A hozzászóláshoz be kell jelentkezni