1. ki kell küldeni egy becsapós emailt sok/összes usernek. Ez sem triviális, előbb-utóbb elér valamilyen smtp limitet,
vagy akik elsőként kapják meg és jelentik spamként az blokkolhatja a többit. ezért whitelistelni kell a spamszűrőn,
illetve az M365-ben direkt van opció az adathalász-teszt levelek beengedésére, Email és IP cím megadásával. jó tudni!
2. kell egy weboldal, egy amolyan gagyi login form, ami nem is csinál semmit, csak logolja kik/mit töltöttek ki.
Sok adathalász sima google forms-ot vagy hasonló free form-szolgáltatást használ erre, nem kell ezt túlspilázni.
én azért összedobtam rá egy kis python tornádó-s webservicet, de meg lehet írni 10 sorban akár php-ben is.
(de még az se feltétlen szükséges, elég ha egy static html-ben egy GET-es form van, és akkor az accesslogban látszani fog)
Ami még kell mindehhez, az egy jó domain név. Olyan ami hasonlít is az igazira meg nem is...
Pl. ha a target a cégnév.hu akkor - ha szabad - legjobb a cégnév.com de igazából bármi más, akár egy cégnév.dyndns.org is megteszi.
Persze kell még egy email címlista, meg egy email template, de ezek viszonylag könnyen beszerezhetők (utóbbi a spam mappából :))
Ha mindez megvan, akkor már csak el kell indítani: a templatet kiküldeni a címlistára, benne az url-el a kamu form-ra.
Persze lehet még bonyolítani, ha pl. követni szeretnénk ki kattintott a linkre, akkor célszerű valami egyedi azonosítót is belerakni.
Pl. egész triviális az adathalász.com/login?email=kovács.béla@cégnév.hu cím és már látszik is az accesslog-ban ki klikkelt rá.
nyilván ezt bele kell rakni az emailbe is, de az meg egy sed-el megoldható, a templatebe írt példa cím cseréjével az igazira.
Amikor ilyet kérnek az ügyfelek, mindig azzal válaszolok: oké, megcsináljuk a tesztet, de mihez kezdtek majd az eredménnyel?
- arpi_esp blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
… Amikor ilyet kérnek az ügyfelek, mindig azzal válaszolok: oké, megcsináljuk a tesztet, de mihez kezdtek majd az eredménnyel?
OK, es mit valaszolnak?
- A hozzászóláshoz be kell jelentkezni
nem vagyok felhatalmazva ra hogy megosszam, de amugy altalaban eleg tanacstalanok :)
- A hozzászóláshoz be kell jelentkezni
koszonom, nagyjabol ez volt a tippem! ;)
- A hozzászóláshoz be kell jelentkezni
Velem ezt a tesztet kb az elmúlt 3 munkahelyemen rendszeresen eljátszották. Van amikor csak orgokra lebontott statisztika készül belőle, és a végén jön az "ejnyebejnye ilyen sok % ráklikkelt de csak ilyen kevés % használta az IT erre a célra bevezetett jelentési funkcióját".
Aztán van amikor a ráklikkelő alkalmazottnak muszáj az éves kötelező security traininget megismételnie. Ami azért elég bünti tud lenni...
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Ugye vagy rá klikkel vagy nem, de ebből nem lehet tudni a miértet. Igy azok átmennek a teszten akik nem dolgoznak és a szorgos hangyák közül lesznek akik nem. Ha ez alapján lenne egy elbocsátás, akkor a végén az aktívak száma csökkene.
- A hozzászóláshoz be kell jelentkezni
raadasul mi meg is szoktuk nyitni az ilyen oldalakat (nyilvan inkognito + masik bongeszo), hogy lassuk mit is csinalt a sec team :D
ha epp raerunk (nyilvan HO-ban! :DD), akkor meg valami "nemvertekat@cegnev.hu" szeru adatokkal is kitoltjuk...
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Esetleg revansként a teljes IT department összes email címével preparálva megnyitja a bosszús dolgozó a linket. :)
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
- A hozzászóláshoz be kell jelentkezni
> ha epp raerunk
igen ilyet is szoktam latni a logokban, pl:
login=kurvaanyádatteszopadéklelkűcsicskagyászhuszár
password=hogymiértnemvágtaktégedafalhozaszülőszobánteutolsólogin=budos.apad@rablo.faszat.hu password=szopdKiAnyadbolAmitApadBelevert
- A hozzászóláshoz be kell jelentkezni
> Ugye vagy rá klikkel vagy nem
azt is latni a logokbol, de ugye nem az az erdekes (bar akar lehetne valami virusra mutato link is akar), hanem aki kitolti valos adatokkal a formot (ergo beirja a ceges jelszavat egy idegen, bar hasonlo/megteveszto oldalon - mert ha itt beirja akkor be fogja a rosszindulatu oldalakon is!)
> Ha ez alapján lenne egy elbocsátás
ez meg soha sehol nem merult fel erdekes modon, de vszinu a munkaugyi birosagon meg is bukna legkesobb a modszer :)
- A hozzászóláshoz be kell jelentkezni
indirekt módon sima ügy
- A hozzászóláshoz be kell jelentkezni
Egyebkent itt mi az elvart viselkedes? A nem elvart nyilvan az, ha kitolti valos adatokkal.
Ha megnyitja VM-ben, kicsit megpiszkalja mi van mogotte, es utana eleg reszletes reporttal szol az ITsec csapatnak, hogy ezt es ezt kaptam, az jo?
Ha scripttel elarasztja random generalt adatokkal, az mennyire elfogadhato reakcio? (toron keresztul kitunoen megy)
A strange game. The only winning move is not to play. How about a nice game of chess?
- A hozzászóláshoz be kell jelentkezni
mivel ezek nem IT cegek, nem ezt varjak :) mondjuk nem kicsit meglepne ha valaki elkezdene DoS-olni az oldalt :)
kb arra kivancsiak kik/hanyan toltik ki valos adatokkal. a kerdes inkabb az, hogy mihez kezdenek majd az eredmennyel...
az elvart kb az lenne hogy ne is kattintson a linkre (lehet virus is akar), de legalabb ne irja be a ceges jelszavat a formba (vagy ha mar megtette, akkor valtoztasson jelszot azonnal es jelentkezzen onkent az IT-nel hogy "hulye voltam"). plusz pont ha jelzi az IT-nak hogy kapott egy ilyet.
- A hozzászóláshoz be kell jelentkezni
Az elvart viselkedes az lenne, hogy az IT egyszeru reportolasi feluletet biztosit , mondjuk egy dedikalt gomb az outlookban. Arra kattintva a level karantenba kerul (legalabb trash folder) es megy az automata report az IT fele. Ha teszt volt, akkor megy a dicsero level, ha valos, akkor az IT tanul belole, es a kovetkezo ilyet mar szuri is.
Ha mindez nincs, akkor ki kell rugni az ITs kollegak 20%-at, mert tul sok idejuk van hulyesegre.
- A hozzászóláshoz be kell jelentkezni
> reportolasi feluletet biztosit , mondjuk egy dedikalt gomb
igen, van. sokan arra hasznaljak hogy azzal torlik az emaileket mert nem kerdez ra hogy biztos torli-e mint a torles gomb :)
szoval nem mindig az IT a hulye :)
- A hozzászóláshoz be kell jelentkezni
A user eleve hülye by def, a kérdés mindig csak az, hogy emellett az IT is hülye, vagy sem :D
- A hozzászóláshoz be kell jelentkezni
Jo otlet! :)
Igaz, csak threadek eseten kerdez vissza a sima torles, de nem keso ujat tanulni.
- A hozzászóláshoz be kell jelentkezni
Szégyen vagy sem, mi a tűzfal analitikájával játszunk, ott “jól megnézem” kik nem állnak a helyzet magaslatán. Aztán amikor a vigaszság mélabúba vált, akkor levonjuk a konzekvenciát. Legfőképp azért, hogy extra módon meg tudjam védeni a., a tagot önmagától. b., magunkat tőle. Van, akinél emiatt eltérő policy van az átfogó védelmi megoldásban. Van, aki röpoktatást kap. Van úgy, hogy support-levél megy házon belül mindenkinek (az analitikára alapozva), hogy mire figyeljen már legyen kedves akit érint ilyesmi.
Szerencsére nem sok szar jön át a tűzfalon és a szűrőkön (évi 10-15 eset alatt vagyunk szerintem, lehet túltippelem), de nem volt mindig így: 3-4-5 éve ezek tényleg sokszor fordultak elő.
Nagyjából a fentiek lehetnek az okai másoknál is a felmérésnek. Illetve van, ahol auditálhatják is a partnereid, hogy milyen képességű emberek férnek hozzá az ő adataihoz.
Vortex Rikers NC114-85EKLS
- A hozzászóláshoz be kell jelentkezni
Tapasztalatból mondom, IT cégnél az edukáció évente megismételve jelentősen csökkenti a következő teszten való megbukást.
- A hozzászóláshoz be kell jelentkezni
Nálunk rendszeresen van ilyen teszt (nagyjából havonta), és igen, egy trükkös domain név kell hozzá (ez azért nem egy nagy ügy, főleg, hogy amúgy is sok domaint kezelünk). O365 a levelezés, szerintem ott eleve trükköznek, hogy átmenjen a spamfilteren, az URL-ben pedig egy hosszú szám az egyedi, így visszakövethető, hogy ki kattintott rá, viszont nem lehet (vagy meglehetősen nehéz lenne) behazudni másokat, mert nyilván egy hosszú számtérnél sok lyuk van. Nálunk az outlookban van egy külön gomb, ami nyilván egy makrón keresztül elküldi a biztonsági részleghez a gyanús leveleket, erre minden gyanús levélnél illik rákattintani, az elintézi a többit. Szokták mérni, és a teamleadernek elküldeni, hogy ki kattintott rá, illetve ki nem jelentette. A véletlen rákattintás eredménye az, hogy újra el kell végezni az adathalászat e-learninget, más retorzióról nem tudok, szóval ez kicsit bosszantó, de nyilván emiatt következő alkalommal jobban figyel a delikvens.
A levél tartalma még egy-egy kampány alatt is eltérő, vagyis van jónéhány csalilevél formátum, random, hogy ki mit kap. Egyetlen helyen bukott meg ez a metódus: van egy header, ami mindig előfordul a csalilevelekben, és csak azokban, úgyhogy erre írtam egy filtert, ha ilyen levél érkezik, az Outlook nekem feldobta a pop-up ablakot, hogy ismét jön egy csapda :)
- A hozzászóláshoz be kell jelentkezni
Ja azt én is ki szoktam keresni, hogy milyen headerrel oldják meg, hogy átmenjen és direkt úgy reportálom az IT fele, hogy "a támadó ezzel az X-phishing-mail-employee-test-campaign headerrel játszotta ki a spamszűrőt, legyenek szívesek blokkolni az olyan leveleket amiben ez van". :) Volt már, hogy valami kis supportos indiai reagált rá, és elkezdte elmagyarázni, hogy igen ez a teszt része és szándékosan nem blokkolják, nem esett le neki, hogy trollkodásból csinálom.
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
En egyszer megirtam, hogy tobb szintu teszt kene. Unalmas mar az alban virus.
Meddig tart bejegyezni (igazabol csak belso DNS) egy fake cimet mondjuk 1-2 cirill karakterrel, felhuzni egy hasonlo ceges oldalt, es azzal halaszgatni?
Nem hiszem, hogy nincs par kollega egy nagy cegnel, aki a sotet oldalnak is dolgozik. Azok siman kiadhatjak, hogy hogyan is nez ki egy atlag HR-es level illetve hogy mutat a belso honlap. Mennyire nehez, illetve kifizetodo hasonlo celzott tamadast inditani?
- A hozzászóláshoz be kell jelentkezni
> atlag HR-es level
errol jut eszembe, par eve jott olyan adathalasz (vagy az mar inkabb csalas volt), hogy a dolgozo neveben de valami gmailes cimrol kuldtek a HR-nek levelet, hogy megvaltozott a bankszamlaszama es ezentul az uj szamra keri a fizeteset...
- A hozzászóláshoz be kell jelentkezni