28/1/2020
W tym odcinku podcastu “Na Podsłuchu” zajmujemy się socjotechniką i narzędziami które ułatwiają pentesterom (i przestępcom) wykorzystywanie jej w atakach. Jeśli chcesz dowiedzieć się więcej, kliknij tutaj.
Posłuchaj tego odcinka
Chcesz więcej?
Bądź na bieżąco i zasubskrybuj nasz podcast w Twojej ulubionej aplikacji do podcastów. Po prostu wyszukaj tam “niebezpiecznik” lub “na podsłuchu“.
Jesteśmy oczywiście w iTunes, na YouTube, oraz Spotify. Jak nas zasubujesz, to o kolejnych odcinkach będziesz informowany automatycznie przez Twój smartfon.
Spis treści odcinka
W tym odcinku, Kuba opowiada jak właśnie, za pomocą phishingu atakuje jednego z naszych klientów, który zakupił u nas testy penetracyjne z elementami socjotechniki. Wspólnie doradzamy, co zrobić, aby nie paść ofiarą socjotechniki/phishingu — zarówno jako szary Kowalski, jak i firma — mechanizmów obrony jest wiele, od technicznych rozwiązań filtrujących pocztę (które zawsze da się obejść), nie-przez-wszystkich respektowane rozwiązania typu SPF, DKIM czy DMARC, które obniżają ryzyko niektórych ataków, aż po edukację pracowników z obszaru cyberbezpieczeństwa.
W tym kontekście warto też przytoczyć naszą prezentację z konferencji Secure 2018, na której Piotrek zdradził jak doradzamy niebezpiecznikowym klientom podczas budowania w ich firmie programu podnoszenia świadomości z zakresu cyberzagrożeń:
W dalszej części odcinka ujawniamy jak każdy z nas prawie nabrałby się na phishing (i dlaczego) oraz rozważamy sens ataków typosquattingowych i zastanawiamy się jaka forma ochrony przed nimi jest najlepsza. Marcin stara się nas także przekonać, że jest możliwe funkcjonowanie bez klikania w linki w mailach, a Kuba z Piotrkiem opowiadają o narzędziach pentesterskich do symulowania ataków socjotechnicznych/phishingowych i o phishing kitach, czyli frameworkach do ułatwiania realizacji takich ataków przez przestępców (i tym jak wykradać z nich dane — rzecz jasna, w celach wyłącznie edukacyjnych ;).
Archiwalne odcinki
Aby zapoznać się z poprzednim odcinkami odwiedź stronę podcastu “Na Podsłuchu”. Znajdziesz na niej player pozwalający odsłuchać wszystkie odcinki oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi).
Zapisz się na kolejne odcinki
Aby otrzymywać kolejne odcinki naszego podcastu, zaraz po tym jak zostaną opublikowane, zasubskrybuj nas przez:
Będziemy też superwdzięczni, jeśli ocenisz nasz podcast na 5 gwiazdek. Dzięki temu “zhackujesz” algorytm poleceń i więcej osób będzie w stanie nas usłyszeć, a w konsekwencji zabezpieczyć się przed internetowymi oszustwami. Win – Win.
Do podsłuchania!
Chciałem dowiedzieć się więcej, trafiłem na error 404…
Socjotechnika:
Tata: Synku, coś Ci słabo nauka idzie.
Tata: Wiesz, co? Poświecę się dla Ciebie i zamiast internetu kupie Ci książki.
Tata: Pasuje?
Synek: Nie tato, to na pewno pomyłka, jutro to wyjaśnię…
Socjotechnika:
Złodziej: Okradłem Cie przez fałszywy sklep na 50zl i co mi zrobisz?
Okradziony: Wiesz co? W sumie to potrzebuje zrobić większe zakupy.
Okradziony: Znajdziesz mi 10 rzeczy których szukam,
Okradziony: jeśli mi się spodobają to od każdej z tych rzeczy dać Ci zarobić 10zl
Okradziony: plus odpuszczę Ci te 50zl.
Okradziony: Tym razem będę mądrzejszy i będę brał każdą rzecz za pobraniem.
Okradziony: Chyba nie chcesz być frajer i nie skorzystać z tak korzystnej oferty?
Złodziej: No dobra, to co mam znaleźć?
Szkoda bo więcej było powiedziane o phisingu niż o socjotechnice
Wkrecilem sie w te serie – ciekawie prowadzony podcast, dobra realizacja – i myslalam, ze zrezygnowaliscie. sledze tylko blog na ktorym przestaly pojawiac sie zajawki odcnkow. az tu nagle kurwa 29 odcinek. jest co nadrabiac. dzieki
[…] O tym jak namierzyć kto jest ofiarą danego ataku phishingowego, a zwłaszcza takiego, który został stworzony w oparciu o znany phishing kit, opowiadaliśmy w ostatnim odcinku niebezpiecznikowego podcastu “Na Podsłuchu”. […]
Wspominaliście o automatycznym skanowaniu linków przychodzących w mailach. Na jakiej zasadzie się to odbywa? Automat wchodzi na link i sprawdza zawartość strony? Przecież to idealna dziura do automatycznego potwierdzania adresu e-mail przy rejestracji. Zazwyczaj w mailu wystarczy kliknąć w link żeby potwierdzić adres.
W sprawie kupowania domen z literówkami, wydaje się że prościej, mądrzej i taniej jest zabezpieczać organizację korzystając z jednego z generatorów literówek stworzyć sobie długą listę domen (dla mojej organizacji z 9 literową nazwą lista taka ma ponad 2000 pozycji) i nakarmić nią firmowe firewalle robiąc sinkholing. W tym przypadku nie tylko MTA przestanie tam dostarczać mejle, ale wszyscy pracownicy robiąc literówki nie trafią tam gdzie nie powinni. W Palo-Altosach to 15 minut roboty, a w wydatnie podnosi bezpieczeństwo organizacji dla tego typu ataków. Swoją drogą byłem w szoku ile w skali dnia taki sinkholing wyłapuje ruchu. Jakby ktoś chciał o tym pogadać zapraszam na LinkedIn.
[…] Jeśli chcecie się dowiedzieć więcej na temat spear-phishingu posłuchajcie poświęconego mu 29. odcinka naszego podcastu, tego o socjotechnice. […]