18:35
28/1/2020

W tym odcinku podcastu “Na Podsłuchu” zajmujemy się socjotechniką i narzędziami które ułatwiają pentesterom (i przestępcom) wykorzystywanie jej w atakach. Jeśli chcesz dowiedzieć się więcej, kliknij tutaj.

Posłuchaj tego odcinka

Chcesz więcej?

Bądź na bieżąco i zasubskrybuj nasz podcast w Twojej ulubionej aplikacji do podcastów. Po prostu wyszukaj tam “niebezpiecznik” lub “na podsłuchu“.

Jesteśmy oczywiście w iTunes, na YouTube, oraz Spotify. Jak nas zasubujesz, to o kolejnych odcinkach będziesz informowany automatycznie przez Twój smartfon.

Spis treści odcinka

W tym odcinku, Kuba opowiada jak właśnie, za pomocą phishingu atakuje jednego z naszych klientów, który zakupił u nas testy penetracyjne z elementami socjotechniki. Wspólnie doradzamy, co zrobić, aby nie paść ofiarą socjotechniki/phishingu — zarówno jako szary Kowalski, jak i firma — mechanizmów obrony jest wiele, od technicznych rozwiązań filtrujących pocztę (które zawsze da się obejść), nie-przez-wszystkich respektowane rozwiązania typu SPF, DKIM czy DMARC, które obniżają ryzyko niektórych ataków, aż po edukację pracowników z obszaru cyberbezpieczeństwa.

W tym kontekście warto też przytoczyć naszą prezentację z konferencji Secure 2018, na której Piotrek zdradził jak doradzamy niebezpiecznikowym klientom podczas budowania w ich firmie programu podnoszenia świadomości z zakresu cyberzagrożeń:

W dalszej części odcinka ujawniamy jak każdy z nas prawie nabrałby się na phishing (i dlaczego) oraz rozważamy sens ataków typosquattingowych i zastanawiamy się jaka forma ochrony przed nimi jest najlepsza. Marcin stara się nas także przekonać, że jest możliwe funkcjonowanie bez klikania w linki w mailach, a Kuba z Piotrkiem opowiadają o narzędziach pentesterskich do symulowania ataków socjotechnicznych/phishingowych i o phishing kitach, czyli frameworkach do ułatwiania realizacji takich ataków przez przestępców (i tym jak wykradać z nich dane — rzecz jasna, w celach wyłącznie edukacyjnych ;).

Archiwalne odcinki

Aby zapoznać się z poprzednim odcinkami odwiedź stronę podcastu “Na Podsłuchu”. Znajdziesz na niej player pozwalający odsłuchać wszystkie odcinki oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi).

Strona podcastu Na Podsłuchu

Zapisz się na kolejne odcinki

Aby otrzymywać kolejne odcinki naszego podcastu, zaraz po tym jak zostaną opublikowane, zasubskrybuj nas przez:

Będziemy też superwdzięczni, jeśli ocenisz nasz podcast na 5 gwiazdek. Dzięki temu “zhackujesz” algorytm poleceń i więcej osób będzie w stanie nas usłyszeć, a w konsekwencji zabezpieczyć się przed internetowymi oszustwami. Win – Win.

Do podsłuchania!

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

8 komentarzy

Dodaj komentarz
  1. Chciałem dowiedzieć się więcej, trafiłem na error 404…

  2. Socjotechnika:
    Tata: Synku, coś Ci słabo nauka idzie.
    Tata: Wiesz, co? Poświecę się dla Ciebie i zamiast internetu kupie Ci książki.
    Tata: Pasuje?
    Synek: Nie tato, to na pewno pomyłka, jutro to wyjaśnię…

    Socjotechnika:
    Złodziej: Okradłem Cie przez fałszywy sklep na 50zl i co mi zrobisz?
    Okradziony: Wiesz co? W sumie to potrzebuje zrobić większe zakupy.
    Okradziony: Znajdziesz mi 10 rzeczy których szukam,
    Okradziony: jeśli mi się spodobają to od każdej z tych rzeczy dać Ci zarobić 10zl
    Okradziony: plus odpuszczę Ci te 50zl.
    Okradziony: Tym razem będę mądrzejszy i będę brał każdą rzecz za pobraniem.
    Okradziony: Chyba nie chcesz być frajer i nie skorzystać z tak korzystnej oferty?
    Złodziej: No dobra, to co mam znaleźć?

  3. Szkoda bo więcej było powiedziane o phisingu niż o socjotechnice

  4. Wkrecilem sie w te serie – ciekawie prowadzony podcast, dobra realizacja – i myslalam, ze zrezygnowaliscie. sledze tylko blog na ktorym przestaly pojawiac sie zajawki odcnkow. az tu nagle kurwa 29 odcinek. jest co nadrabiac. dzieki

  5. […] O tym jak namierzyć kto jest ofiarą danego ataku phishingowego, a zwłaszcza takiego, który został stworzony w oparciu o znany phishing kit, opowiadaliśmy w ostatnim odcinku niebezpiecznikowego podcastu “Na Podsłuchu”. […]

  6. Wspominaliście o automatycznym skanowaniu linków przychodzących w mailach. Na jakiej zasadzie się to odbywa? Automat wchodzi na link i sprawdza zawartość strony? Przecież to idealna dziura do automatycznego potwierdzania adresu e-mail przy rejestracji. Zazwyczaj w mailu wystarczy kliknąć w link żeby potwierdzić adres.

  7. W sprawie kupowania domen z literówkami, wydaje się że prościej, mądrzej i taniej jest zabezpieczać organizację korzystając z jednego z generatorów literówek stworzyć sobie długą listę domen (dla mojej organizacji z 9 literową nazwą lista taka ma ponad 2000 pozycji) i nakarmić nią firmowe firewalle robiąc sinkholing. W tym przypadku nie tylko MTA przestanie tam dostarczać mejle, ale wszyscy pracownicy robiąc literówki nie trafią tam gdzie nie powinni. W Palo-Altosach to 15 minut roboty, a w wydatnie podnosi bezpieczeństwo organizacji dla tego typu ataków. Swoją drogą byłem w szoku ile w skali dnia taki sinkholing wyłapuje ruchu. Jakby ktoś chciał o tym pogadać zapraszam na LinkedIn.

  8. […] Jeśli chcecie się dowiedzieć więcej na temat spear-phishingu posłuchajcie poświęconego mu 29. odcinka naszego podcastu, tego o socjotechnice. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: