halásszunk adatot!

Időről időre felmerül itt-ott, hogy csak le kéne tesztelni a dolgozókat, mennyire dőlnek be az adathalász leveleknek.
Persze néha az élet leteszteli, ha nagyritkán átjut 1-1 ilyen a szűrőkön, de jobb lenne elébe menni az egésznek...
Persze vannak erre szakosodott cégek, szolgáltatók, meg vannak ingyenes szoftverek is, de oldjuk meg inkább házilag!
Mi is kell ehhez? végiggondolva én arra jutottam, hogy leginkább az infra ami ehhez szükséges, szoftver alig kell.

Miből is áll egy tipikus adathalász támadás?

1. ki kell küldeni egy becsapós emailt sok/összes usernek. Ez sem triviális, előbb-utóbb elér valamilyen smtp limitet,
vagy akik elsőként kapják meg és jelentik spamként az blokkolhatja a többit. ezért whitelistelni kell a spamszűrőn,
illetve az M365-ben direkt van opció az adathalász-teszt levelek beengedésére, Email és IP cím megadásával. jó tudni!

2. kell egy weboldal, egy amolyan gagyi login form, ami nem is csinál semmit, csak logolja kik/mit töltöttek ki.
Sok adathalász sima google forms-ot vagy hasonló free form-szolgáltatást használ erre, nem kell ezt túlspilázni.
én azért összedobtam rá egy kis python tornádó-s webservicet, de meg lehet írni 10 sorban akár php-ben is.
(de még az se feltétlen szükséges, elég ha egy static html-ben egy GET-es form van, és akkor az accesslogban látszani fog)

Ami még kell mindehhez, az egy jó domain név. Olyan ami hasonlít is az igazira meg nem is...
Pl. ha a target a cégnév.hu akkor - ha szabad - legjobb a cégnév.com de igazából bármi más, akár egy cégnév.dyndns.org is megteszi.

Persze kell még egy email címlista, meg egy email template, de ezek viszonylag könnyen beszerezhetők (utóbbi a spam mappából :))

Ha mindez megvan, akkor már csak el kell indítani: a templatet kiküldeni a címlistára, benne az url-el a kamu form-ra.
Persze lehet még bonyolítani, ha pl. követni szeretnénk ki kattintott a linkre, akkor célszerű valami egyedi azonosítót is belerakni.
Pl. egész triviális az adathalász.com/login?email=kovács.béla@cégnév.hu  cím és már látszik is az accesslog-ban ki klikkelt rá.
nyilván ezt bele kell rakni az emailbe is, de az meg egy sed-el megoldható, a templatebe írt példa cím cseréjével az igazira.

Amikor ilyet kérnek az ügyfelek, mindig azzal válaszolok: oké, megcsináljuk a tesztet, de mihez kezdtek majd az eredménnyel?

Hozzászólások

Szerkesztve: 2024. 10. 30., sze – 23:58

… Amikor ilyet kérnek az ügyfelek, mindig azzal válaszolok: oké, megcsináljuk a tesztet, de mihez kezdtek majd az eredménnyel?

OK, es mit valaszolnak?

Velem ezt a tesztet kb az elmúlt 3 munkahelyemen rendszeresen eljátszották. Van amikor csak orgokra lebontott statisztika készül belőle, és a végén jön az "ejnyebejnye ilyen sok % ráklikkelt de csak ilyen kevés % használta az IT erre a célra bevezetett jelentési funkcióját".

Aztán van amikor a ráklikkelő alkalmazottnak muszáj az éves kötelező security traininget megismételnie. Ami azért elég bünti tud lenni...

Régóta vágyok én, az androidok mezonkincsére már!

aztan amikor a fonok a szonyeg szelere allitja dolgozot mert nem egybol nezte meg a pdf-et amit kuldott, hanem elkuldte a secu-ra (ok meg nyilvan orakig le se szartak), akkor az egesz "ne nyisd meg, ne kattints ra, legy ovatos!" oktatas megy a lecsoba. ha a fonok kuldi akkor megnyitom. pont. \o/

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Engem imádnak a cégnél a HR-esek meg facilities-esek :) Én mindig rákérdezek, hogy a legújabb külső providertől jött "regisztráljak be a céges csoportba valami fitness tracker / biciklizz munkába / legjobb iroda szavazás / great place for work stb stb." levélre, hogy ez legit-e. Már running joke, hogy az ő leveleiket én mindig phishing-nek nézem. :)

Régóta vágyok én, az androidok mezonkincsére már!

Ugye vagy rá klikkel vagy nem, de ebből nem lehet tudni a miértet. Igy azok átmennek a teszten akik nem dolgoznak és a szorgos hangyák közül lesznek akik nem. Ha ez alapján lenne egy elbocsátás, akkor a végén az aktívak száma csökkene.

raadasul mi meg is szoktuk nyitni az ilyen oldalakat (nyilvan inkognito + masik bongeszo), hogy lassuk mit is csinalt a sec team :D

ha epp raerunk (nyilvan HO-ban! :DD), akkor meg valami "nemvertekat@cegnev.hu" szeru adatokkal is kitoltjuk...

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Jah, oszt ha olyan kevésbbé vicceskedvű a munkáltatód, még téged állítanak majd a szőnyeg szélére, mikor a szekusok behívatnak a HR-rel.

Ha nem te is konkrét tagja vagy a szekus team-nek, akkor a szeku team ugyanúgy nem a te oldaladon van mint a HR egy munkahelyi balhé esetében.

> ha epp raerunk

igen ilyet is szoktam latni a logokban, pl:

login=kurvaanyádatteszopadéklelkűcsicskagyászhuszár
password=hogymiértnemvágtaktégedafalhozaszülőszobánteutolsó

login=budos.apad@rablo.faszat.hu password=szopdKiAnyadbolAmitApadBelevert

> Ugye vagy rá klikkel vagy nem

azt is latni a logokbol, de ugye nem az az erdekes (bar akar lehetne valami virusra mutato link is akar), hanem aki kitolti valos adatokkal a formot (ergo beirja a ceges jelszavat egy idegen, bar hasonlo/megteveszto oldalon - mert ha itt beirja akkor be fogja a rosszindulatu oldalakon is!)

> Ha ez alapján lenne egy elbocsátás

ez meg soha sehol nem merult fel erdekes modon, de vszinu a munkaugyi birosagon meg is bukna legkesobb a modszer :)

Egyebkent itt mi az elvart viselkedes? A nem elvart nyilvan az, ha kitolti valos adatokkal.

Ha megnyitja VM-ben, kicsit megpiszkalja mi van mogotte, es utana eleg reszletes reporttal szol az ITsec csapatnak, hogy ezt es ezt kaptam, az jo?

Ha scripttel elarasztja random generalt adatokkal, az mennyire elfogadhato reakcio? (toron keresztul kitunoen megy)

A strange game. The only winning move is not to play. How about a nice game of chess?

mivel ezek nem IT cegek, nem ezt varjak :)  mondjuk nem kicsit meglepne ha valaki elkezdene DoS-olni az oldalt :)

kb arra kivancsiak kik/hanyan toltik ki valos adatokkal. a kerdes inkabb az, hogy mihez kezdenek majd az eredmennyel...

az elvart kb az lenne hogy ne is kattintson a linkre (lehet virus is akar), de legalabb ne irja be a ceges jelszavat a formba (vagy ha mar megtette, akkor valtoztasson jelszot azonnal es jelentkezzen onkent az IT-nel hogy "hulye voltam"). plusz pont ha jelzi az IT-nak hogy kapott egy ilyet.

Az elvart viselkedes az lenne, hogy az IT egyszeru reportolasi feluletet biztosit , mondjuk egy dedikalt gomb az outlookban. Arra kattintva a level karantenba kerul (legalabb trash folder) es megy az automata report az IT fele. Ha teszt volt, akkor megy a dicsero level, ha valos, akkor az IT tanul belole, es a kovetkezo ilyet mar szuri is.

Ha mindez nincs, akkor ki kell rugni az ITs kollegak 20%-at, mert tul sok idejuk van hulyesegre.

Szerkesztve: 2024. 10. 31., cs – 15:28

Szégyen vagy sem, mi a tűzfal analitikájával játszunk, ott “jól megnézem” kik nem állnak a helyzet magaslatán. Aztán amikor a vigaszság mélabúba vált, akkor levonjuk a konzekvenciát. Legfőképp azért, hogy extra (úgy értem kiegészítő) módon meg tudjam védeni a., a tagot önmagától. b., magunkat tőle. Van, akinél emiatt eltérő policy van az átfogó védelmi megoldásban. Van, aki röpoktatást kap. Van úgy, hogy support-levél megy házon belül mindenkinek (az analitikára alapozva), hogy mire figyeljen már legyen kedves akit érint ilyesmi.

Szerencsére nem sok szar jön át a tűzfalon és a szűrőkön, évi 10-15 eset alatt vagyunk szerintem, lehet túltippelem - de nem volt mindig így: 3-4-5 éve ezek tényleg sokszor fordultak elő. 

Nagyjából a fentiek lehetnek az okai másoknál is a felmérésnek. Illetve van, ahol auditálhatják is a partnereid, hogy milyen képességű emberek férnek hozzá az ő adataihoz. 

Vortex Rikers NC114-85EKLS

Tapasztalatból mondom, IT cégnél az edukáció évente megismételve jelentősen csökkenti a következő teszten való megbukást. 

Nálunk rendszeresen van ilyen teszt (nagyjából havonta), és igen, egy trükkös domain név kell hozzá (ez azért nem egy nagy ügy, főleg, hogy amúgy is sok domaint kezelünk). O365 a levelezés, szerintem ott eleve trükköznek, hogy átmenjen a spamfilteren, az URL-ben pedig egy hosszú szám az egyedi, így visszakövethető, hogy ki kattintott rá, viszont nem lehet (vagy meglehetősen nehéz lenne) behazudni másokat, mert nyilván egy hosszú számtérnél sok lyuk van. Nálunk az outlookban van egy külön gomb, ami nyilván egy makrón keresztül elküldi a biztonsági részleghez a gyanús leveleket, erre minden gyanús levélnél illik rákattintani, az elintézi a többit. Szokták mérni, és a teamleadernek elküldeni, hogy ki kattintott rá, illetve ki nem jelentette. A véletlen rákattintás eredménye az, hogy újra el kell végezni az adathalászat e-learninget, más retorzióról nem tudok, szóval ez kicsit bosszantó, de nyilván emiatt következő alkalommal jobban figyel a delikvens.

A levél tartalma még egy-egy kampány alatt is eltérő, vagyis van jónéhány csalilevél formátum, random, hogy ki mit kap. Egyetlen helyen bukott meg ez a metódus: van egy header, ami mindig előfordul a csalilevelekben, és csak azokban, úgyhogy erre írtam egy filtert, ha ilyen levél érkezik, az Outlook nekem feldobta a pop-up ablakot, hogy ismét jön egy csapda :)

Ja azt én is ki szoktam keresni, hogy milyen headerrel oldják meg, hogy átmenjen és direkt úgy reportálom az IT fele, hogy "a támadó ezzel az X-phishing-mail-employee-test-campaign headerrel játszotta ki a spamszűrőt, legyenek szívesek blokkolni az olyan leveleket amiben ez van". :) Volt már, hogy valami kis supportos indiai reagált rá, és elkezdte elmagyarázni, hogy igen ez a teszt része és szándékosan nem blokkolják, nem esett le neki, hogy trollkodásból csinálom.

Régóta vágyok én, az androidok mezonkincsére már!

En egyszer megirtam, hogy tobb szintu teszt kene. Unalmas mar az alban virus.

Meddig tart bejegyezni (igazabol csak belso DNS) egy fake cimet mondjuk 1-2 cirill karakterrel, felhuzni egy hasonlo ceges oldalt, es azzal halaszgatni?

 

Nem hiszem, hogy nincs par kollega egy nagy cegnel, aki a sotet oldalnak is dolgozik. Azok siman kiadhatjak, hogy hogyan is nez ki egy atlag HR-es level illetve hogy mutat a belso honlap. Mennyire nehez, illetve kifizetodo hasonlo celzott tamadast inditani?