halásszunk adatot!

Időről időre felmerül itt-ott, hogy csak le kéne tesztelni a dolgozókat, mennyire dőlnek be az adathalász leveleknek.
Persze néha az élet leteszteli, ha nagyritkán átjut 1-1 ilyen a szűrőkön, de jobb lenne elébe menni az egésznek...
Persze vannak erre szakosodott cégek, szolgáltatók, meg vannak ingyenes szoftverek is, de oldjuk meg inkább házilag!
Mi is kell ehhez? végiggondolva én arra jutottam, hogy leginkább az infra ami ehhez szükséges, szoftver alig kell.

Miből is áll egy tipikus adathalász támadás?

1. ki kell küldeni egy becsapós emailt sok/összes usernek. Ez sem triviális, előbb-utóbb elér valamilyen smtp limitet,
vagy akik elsőként kapják meg és jelentik spamként az blokkolhatja a többit. ezért whitelistelni kell a spamszűrőn,
illetve az M365-ben direkt van opció az adathalász-teszt levelek beengedésére, Email és IP cím megadásával. jó tudni!

2. kell egy weboldal, egy amolyan gagyi login form, ami nem is csinál semmit, csak logolja kik/mit töltöttek ki.
Sok adathalász sima google forms-ot vagy hasonló free form-szolgáltatást használ erre, nem kell ezt túlspilázni.
én azért összedobtam rá egy kis python tornádó-s webservicet, de meg lehet írni 10 sorban akár php-ben is.
(de még az se feltétlen szükséges, elég ha egy static html-ben egy GET-es form van, és akkor az accesslogban látszani fog)

Ami még kell mindehhez, az egy jó domain név. Olyan ami hasonlít is az igazira meg nem is...
Pl. ha a target a cégnév.hu akkor - ha szabad - legjobb a cégnév.com de igazából bármi más, akár egy cégnév.dyndns.org is megteszi.

Persze kell még egy email címlista, meg egy email template, de ezek viszonylag könnyen beszerezhetők (utóbbi a spam mappából :))

Ha mindez megvan, akkor már csak el kell indítani: a templatet kiküldeni a címlistára, benne az url-el a kamu form-ra.
Persze lehet még bonyolítani, ha pl. követni szeretnénk ki kattintott a linkre, akkor célszerű valami egyedi azonosítót is belerakni.
Pl. egész triviális az adathalász.com/login?email=kovács.béla@cégnév.hu  cím és már látszik is az accesslog-ban ki klikkelt rá.
nyilván ezt bele kell rakni az emailbe is, de az meg egy sed-el megoldható, a templatebe írt példa cím cseréjével az igazira.

Amikor ilyet kérnek az ügyfelek, mindig azzal válaszolok: oké, megcsináljuk a tesztet, de mihez kezdtek majd az eredménnyel?

Hozzászólások

Szerkesztve: 2024. 10. 30., sze – 23:58

… Amikor ilyet kérnek az ügyfelek, mindig azzal válaszolok: oké, megcsináljuk a tesztet, de mihez kezdtek majd az eredménnyel?

OK, es mit valaszolnak?

Velem ezt a tesztet kb az elmúlt 3 munkahelyemen rendszeresen eljátszották. Van amikor csak orgokra lebontott statisztika készül belőle, és a végén jön az "ejnyebejnye ilyen sok % ráklikkelt de csak ilyen kevés % használta az IT erre a célra bevezetett jelentési funkcióját".

Aztán van amikor a ráklikkelő alkalmazottnak muszáj az éves kötelező security traininget megismételnie. Ami azért elég bünti tud lenni...

Régóta vágyok én, az androidok mezonkincsére már!

aztan amikor a fonok a szonyeg szelere allitja dolgozot mert nem egybol nezte meg a pdf-et amit kuldott, hanem elkuldte a secu-ra (ok meg nyilvan orakig le se szartak), akkor az egesz "ne nyisd meg, ne kattints ra, legy ovatos!" oktatas megy a lecsoba. ha a fonok kuldi akkor megnyitom. pont. \o/

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Engem imádnak a cégnél a HR-esek meg facilities-esek :) Én mindig rákérdezek, hogy a legújabb külső providertől jött "regisztráljak be a céges csoportba valami fitness tracker / biciklizz munkába / legjobb iroda szavazás / great place for work stb stb." levélre, hogy ez legit-e. Már running joke, hogy az ő leveleiket én mindig phishing-nek nézem. :)

Régóta vágyok én, az androidok mezonkincsére már!

+1000

aki kkv-ben szocializálódott, és ismeri annak a belsős 3 hosztnak az fqdn-jét ahová a legitim céges rendszerek url-jei mutathatnak, az fogná a fejét mikor nagymultiéknál nincs házon belül se a munkaidő-nyilvántartó, se a bérszámfejtés se a negyedéves dolgozóielkötelezettség-mérő kérdőív. Tiketelés, HR portál,  travel+szállás-foglalás ha kiküldetés van, a számlák visszaigényeltető-portálja, meg a mindenféle belsős összetákolt webes szarok, torz domain-eken.

És akkor a random mikroszoftos szarok innen-onnan összevásárolt technikái az elbaszott (de amúgy teljesen legit) foreign domain-ekből már nem is szólok. Illetve a HR-droidok hírleveles random szarjai az éppen-mi-jutott-eszükbe ismeretlen külső free szarokon hosztolva.

Na igen, ez a másik probléma. Amikor 73 külső as-a-service szolgáltatót használ a cég, mindegyik fossa magából a leveleket (lehet keresni mindegyiknél a user preferencesben hol van eldugva a lekapcsoló - és nem lehet, ki van szürkítve a checkbox, mert a céges fő accounton policyből lett bekapcsolva...)

Legjobb, amikor egy 74-edik - korábban sose hallott nevű - szolgáltatótól kapod levelet, hogy az új accountod létrejött, itt a linken léphetsz be. Nyilván ment a report azonnal. Aztán jött a pánikolás, hogy "jaj azt ne reportáljuk, mert akkor mindenkinek elkezdi kiszűrni a rendszer azt a fontos levelet, az az új e-learning szolgáltatónk". "Csak még nem ment ki a kommunikáció róla, hogy erre váltunk". "És igen, ott rá _kell_ kattintani a megerősítő linkre, különben nem fog élni az accountod". (Amúgy központi SSO-nk van, teljesen okafogyott az ilyen "kattints az emailben megerősítő linkre" dolog, de az adott szolgáltató flow-jában benne volt.)

EDIT: oké, nem teljesen okafogyott. Másik oldalról nézet: üzemeltettem olyan rendszert, ami többek között AWS-es mailküldő szolgáltatást is használt. Ott nagyon figyelni kell a bounce rate-et mert a teljes accountodon az összes régióban egyszerre letiltják az email küldést, gyakorlatilag oncall alert volt a soft limit elérése. Eszközünk viszont alig volt ellene, mert az ügyfél saját accountján állította be a userei mailcímét, nekünk nem volt jogosultságunk ebbe belenyúlni. Hogy az "enterprise" ügyfelek hányszor hagyták benn rég törölt mailboxok döglött címeit... Annyit lehetett tenni, hogy a TAM-osainknak könyörögtünk, hogy csináljanak vele valamit. Szóval sejtem mit akarnak kivédeni a megerősítő maillel az SSO-s ügyfeleknél is.

Régóta vágyok én, az androidok mezonkincsére már!

Ó tényleg bazdmeg a LEARNING ! oldal. Az sosem olyan seholsem b+ hogy learning.munkahelyemneve.com (vagy learning.munkahelyijólismertdomain.intra)! Mindig valami elbaszott külsős szarba kell kiszervezni, aztán évente-vagy-max-2évente átnevezgetni! Hogy 1) megjegyezni esélytelen legyen, plussz 2) a kurva bookmarkjaim 20-30%-a is invalidálódjon kb.  évente.

Ugye vagy rá klikkel vagy nem, de ebből nem lehet tudni a miértet. Igy azok átmennek a teszten akik nem dolgoznak és a szorgos hangyák közül lesznek akik nem. Ha ez alapján lenne egy elbocsátás, akkor a végén az aktívak száma csökkene.

raadasul mi meg is szoktuk nyitni az ilyen oldalakat (nyilvan inkognito + masik bongeszo), hogy lassuk mit is csinalt a sec team :D

ha epp raerunk (nyilvan HO-ban! :DD), akkor meg valami "nemvertekat@cegnev.hu" szeru adatokkal is kitoltjuk...

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Jah, oszt ha olyan kevésbbé vicceskedvű a munkáltatód, még téged állítanak majd a szőnyeg szélére, mikor a szekusok behívatnak a HR-rel.

Ha nem te is konkrét tagja vagy a szekus team-nek, akkor a szeku team ugyanúgy nem a te oldaladon van mint a HR egy munkahelyi balhé esetében.

> ha epp raerunk

igen ilyet is szoktam latni a logokban, pl:

login=kurvaanyádatteszopadéklelkűcsicskagyászhuszár
password=hogymiértnemvágtaktégedafalhozaszülőszobánteutolsó

login=budos.apad@rablo.faszat.hu password=szopdKiAnyadbolAmitApadBelevert

> Ugye vagy rá klikkel vagy nem

azt is latni a logokbol, de ugye nem az az erdekes (bar akar lehetne valami virusra mutato link is akar), hanem aki kitolti valos adatokkal a formot (ergo beirja a ceges jelszavat egy idegen, bar hasonlo/megteveszto oldalon - mert ha itt beirja akkor be fogja a rosszindulatu oldalakon is!)

> Ha ez alapján lenne egy elbocsátás

ez meg soha sehol nem merult fel erdekes modon, de vszinu a munkaugyi birosagon meg is bukna legkesobb a modszer :)

Egyebkent itt mi az elvart viselkedes? A nem elvart nyilvan az, ha kitolti valos adatokkal.

Ha megnyitja VM-ben, kicsit megpiszkalja mi van mogotte, es utana eleg reszletes reporttal szol az ITsec csapatnak, hogy ezt es ezt kaptam, az jo?

Ha scripttel elarasztja random generalt adatokkal, az mennyire elfogadhato reakcio? (toron keresztul kitunoen megy)

A strange game. The only winning move is not to play. How about a nice game of chess?

mivel ezek nem IT cegek, nem ezt varjak :)  mondjuk nem kicsit meglepne ha valaki elkezdene DoS-olni az oldalt :)

kb arra kivancsiak kik/hanyan toltik ki valos adatokkal. a kerdes inkabb az, hogy mihez kezdenek majd az eredmennyel...

az elvart kb az lenne hogy ne is kattintson a linkre (lehet virus is akar), de legalabb ne irja be a ceges jelszavat a formba (vagy ha mar megtette, akkor valtoztasson jelszot azonnal es jelentkezzen onkent az IT-nel hogy "hulye voltam"). plusz pont ha jelzi az IT-nak hogy kapott egy ilyet.

Az elvart viselkedes az lenne, hogy az IT egyszeru reportolasi feluletet biztosit , mondjuk egy dedikalt gomb az outlookban. Arra kattintva a level karantenba kerul (legalabb trash folder) es megy az automata report az IT fele. Ha teszt volt, akkor megy a dicsero level, ha valos, akkor az IT tanul belole, es a kovetkezo ilyet mar szuri is.

Ha mindez nincs, akkor ki kell rugni az ITs kollegak 20%-at, mert tul sok idejuk van hulyesegre.

Szerkesztve: 2024. 10. 31., cs – 15:28

Szégyen vagy sem, mi a tűzfal analitikájával játszunk, ott “jól megnézem” kik nem állnak a helyzet magaslatán. Aztán amikor a vigaszság mélabúba vált, akkor levonjuk a konzekvenciát. Legfőképp azért, hogy extra (úgy értem kiegészítő) módon meg tudjam védeni a., a tagot önmagától. b., magunkat tőle. Van, akinél emiatt eltérő policy van az átfogó védelmi megoldásban. Van, aki röpoktatást kap. Van úgy, hogy support-levél megy házon belül mindenkinek (az analitikára alapozva), hogy mire figyeljen már legyen kedves akit érint ilyesmi.

Szerencsére nem sok szar jön át a tűzfalon és a szűrőkön, évi 10-15 eset alatt vagyunk szerintem, lehet túltippelem - de nem volt mindig így: 3-4-5 éve ezek tényleg sokszor fordultak elő. 

Nagyjából a fentiek lehetnek az okai másoknál is a felmérésnek. Illetve van, ahol auditálhatják is a partnereid, hogy milyen képességű emberek férnek hozzá az ő adataihoz. 

Vortex Rikers NC114-85EKLS

Tapasztalatból mondom, IT cégnél az edukáció évente megismételve jelentősen csökkenti a következő teszten való megbukást. 

Nálunk rendszeresen van ilyen teszt (nagyjából havonta), és igen, egy trükkös domain név kell hozzá (ez azért nem egy nagy ügy, főleg, hogy amúgy is sok domaint kezelünk). O365 a levelezés, szerintem ott eleve trükköznek, hogy átmenjen a spamfilteren, az URL-ben pedig egy hosszú szám az egyedi, így visszakövethető, hogy ki kattintott rá, viszont nem lehet (vagy meglehetősen nehéz lenne) behazudni másokat, mert nyilván egy hosszú számtérnél sok lyuk van. Nálunk az outlookban van egy külön gomb, ami nyilván egy makrón keresztül elküldi a biztonsági részleghez a gyanús leveleket, erre minden gyanús levélnél illik rákattintani, az elintézi a többit. Szokták mérni, és a teamleadernek elküldeni, hogy ki kattintott rá, illetve ki nem jelentette. A véletlen rákattintás eredménye az, hogy újra el kell végezni az adathalászat e-learninget, más retorzióról nem tudok, szóval ez kicsit bosszantó, de nyilván emiatt következő alkalommal jobban figyel a delikvens.

A levél tartalma még egy-egy kampány alatt is eltérő, vagyis van jónéhány csalilevél formátum, random, hogy ki mit kap. Egyetlen helyen bukott meg ez a metódus: van egy header, ami mindig előfordul a csalilevelekben, és csak azokban, úgyhogy erre írtam egy filtert, ha ilyen levél érkezik, az Outlook nekem feldobta a pop-up ablakot, hogy ismét jön egy csapda :)

Ja azt én is ki szoktam keresni, hogy milyen headerrel oldják meg, hogy átmenjen és direkt úgy reportálom az IT fele, hogy "a támadó ezzel az X-phishing-mail-employee-test-campaign headerrel játszotta ki a spamszűrőt, legyenek szívesek blokkolni az olyan leveleket amiben ez van". :) Volt már, hogy valami kis supportos indiai reagált rá, és elkezdte elmagyarázni, hogy igen ez a teszt része és szándékosan nem blokkolják, nem esett le neki, hogy trollkodásból csinálom.

Régóta vágyok én, az androidok mezonkincsére már!

En egyszer megirtam, hogy tobb szintu teszt kene. Unalmas mar az alban virus.

Meddig tart bejegyezni (igazabol csak belso DNS) egy fake cimet mondjuk 1-2 cirill karakterrel, felhuzni egy hasonlo ceges oldalt, es azzal halaszgatni?

 

Nem hiszem, hogy nincs par kollega egy nagy cegnel, aki a sotet oldalnak is dolgozik. Azok siman kiadhatjak, hogy hogyan is nez ki egy atlag HR-es level illetve hogy mutat a belso honlap. Mennyire nehez, illetve kifizetodo hasonlo celzott tamadast inditani?

Szerkesztve: 2024. 11. 01., p – 11:45

Beszopjak. Viccesen, hogy az IT fejlesztes (programozok) tobben kattintottak (elmondas szerint poenbol), mint a HR lanyok/fiuk....

Volt kis ejnye bejnye, meg akkor gyertek es hallgassatok meg a sec boss 40 perces előadását.

Ez elég büntetés volt látszólag, mert legközelebb 90+% csökkent a vicceskedők száma :D

Every single person is a fool, insane, a failure, or a bad person to at least ten people.

Vagy amikor orvosként te jösz rá, hogy miért akad fenn a többiek spamszűrőin a saját levelünk, mert nincs dkim aláírás rajta 

Vagy amikor a külső partner megkér rá, hogy regelj be a http:// linkjén és a noreply.cegnev@gmail.com-ról küldött levélen és fel van háborodva, mert nem csinálom, amit mond és szerződésbontással fenyeget. Persze, amikor megkérem, hogy hagyományos levélben írja le, mert a gmail nálunk tiltólistás(kamu),  akkor előjön a rendes céges emailcím, meg a rendes link is https-sel. 

Vagy amikor lassú a gép, a rendszergazda leül elé és bepetyegi az admin jelszót (administrator/akarmi)), és másnapra minden gépet megfertőz a fos, csak azokat nem, ami nem volt fenn a sophos csoda, csak a beépített defender.

 

Vagy amikor az igazgatóság 2 gépet használ, mert a céges olyan lassú az egekbe emelt heurisztikától, hogy 1 word megnyitása is percekbe kerül. 

 

 

Vagy amikor egy receptíráshoz 5 felhasználónevet és 6 jelszavat kell begépeljek, és mindenki csodálkozik, hogy tüntetésből kinyomtatva is tartok kamujelszavakat az asztalomon, csak hogy érzékeltessem, hogy 24 karakter, szám, betű(kisnagy), különleges karakter véletlenszerű kombinációját lehetetlen megjegyezni.

 

IT, én így szeretlek!

Én a 2 faktorostól vagyok ki. Értem, mi értelme van, nem is feltétlen tartom rossz dolognak, de meglepően sokáig tudok körgetni az Authenticator Pro-ban, anélkül, hogy a végére érnék a listának, és nem egyszer fordult már elő, hogy a rossz microfos 2 faktort ütöttem be, és néztünk egymásra, mint Noé meg a harmadik teve. Arról nem beszélve, hogy van olyan, ami napon belül többször is kivág két kattintás között, mert aktivitást nem néz, csak időt. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Nálunk rendszeresen vannak ilyen akciók az inner security team részéről. Ha rákattintasz kapsz egy "Ezt bebuktad" típusú oldalt. Ötödik ilyen eset után következik egy kis elbeszélgetés a menedzsereddel. :-)