Phishing / socjotechnika

ATAK PHISHING / WYŁUDZENIE INFORMACJI

Atak socjotechniczny to najłatwiejszy dla oszustów i najczęściej wykorzystywany obecnie wektor ataku. Skuteczna obrona to stałe działanie i ciągła praca zespołów odpowiedzialnych za ochronę. Wsród przestępców najpopoularnieszją metodą ataków socjotechnicznych jest phishing. Ćwiczenie phishingowe ma na celu nakłonienie pracowników organizacji do określonych działań wykorzystując przy tym różne sposoby (często nieetyczne) które skutczenie usypiają czujność ofiar.

Cel ataku jakim są pracownicy, ich skrzynki pocztowe przygotowane jest w oparciu o metody i narzędzia białego wywiadu / OSINT. Jedną z technik pozyskiwania informacji na temat ludzi i firm są portale społeczenościowe, branżowe i zawodowe. Zbieramy tam dane personalne jak również poznajemy strukturę organizacyją firmy oraz narzędzia, które są wykorzystywane w codzienniej pracy. Zdobyta wiedza na temat atakowanej organizacji pozwoli nie tylko skutecznie zaadresować atak phishingowy ale również przygotować odpowiednio treść wiadomości. Przygotowany mail który na przykład odniesie się do aktualnych wydarzeń w firmie wzbudzi zaufanie wsród ofiar co wpłynie na efekt ćwiczenia i pomyślne wykonanie scenariusza.

Scenariusz to tło dla wykonanego przez nas ataku, które ma za zadanie uśpić czujnośc i nakłonić ofiary do określonych działań. Atak ma na celu wyłudzenie informacji jakim może być kradzież hasła. Możliwe jest to przez nakłonienie ofiary do zalogowania się do spreparowanej i kontrolowanej przez nas aplikacji gdzie ofiara udostępni swoje dane logowania. Z kolei przykładem zaawansowanego scenariusza jest infekcja złośliwym oprogramowaniem poprzez uruchomienie tzw. droppera na stacji roboczej. Rolą droppera może być plik Excel z złośliwym makrem lub plik o nieznanym dla ofiar rozszerzeniu np. HTA który daje atakującym zbliżone możliwości co złośliwe makro. Pomyślna infekcja stacji pozwala na poszerzenie scenariusza o próbę komunikacji z C2 (command and control server), wykradanie danych ze stacji i dalszą infiltrację wewnętrznej sieci firmowej. Tego typu scenariusze są często elementem ćwiczenia Red Team, które posiadamy w ofercie.

Zarówno obrany cel ataku, lista potencjalnych ofiar jak i scenariusz jest doprecyzowana na początkowym etapie wyceny i modelowania zagrozeń. Wykonanie ćwiczenia phishingowego w pierwszej kolejności testuje i podnosi świadomość pracowników na zagrożenia na które są wystawieni w codziennej pracy. Doświadczenie nauczyło nas, że przy każdym wykonanym ćwiczeniu trafia się osoba która przejdzie wzorowo przez przygotowany scenariusz i tym samym wystawi organizację na wysokie ryzyko. Istotnym jest więc sprawdzenie czy jakakolwiek informacja o ataku trafi do odpowiedniego zespołu oraz czy incydent zostanie prawidłowo obsłużony. Testujemy w ten sposób również rozwiązania, które powinny chronić przed tego typu atakami. Wnioski zawarte w raporcie wskaża bazę do dalszych usprawnień organizacji.

Ćwiczenie phishingowe często rozszerzane są o kolejne testy np. dystrubucje nośników pamięci / pendrive ze złośliwym oprogramowaniem na terenie firmy. Wykonujemy również próby wyłudzenia informacji od pracowników przez telefon, wdzwaniając się przez call center lub przez zaaranżowane spotkania. Zagrożeniem dla organizacji są jej dostawcy i goście posiadający dostęp do sieci firmowej, sieci bezprzewodej czy do okablowania strukturalnego. Duża rotacja na wybranych stanowiskach naraża firmy na doczynienie z atakiem inside job, czyli atakującego będącego w naszych strukturach. Odpowiedzią na te zagrożenia jest nasza oferta a w niej przeprowadzenie testów penetracjnych sieci LAN, testy peneteracyjne sieci bezprzewodowej oraz testy stacji roboczych w kierunku możliwej eskalacji uprawnień i eksfiltracji danych.

Kontakt

Chcesz dowiedzieć się wiecej lub zapytać o bezpłatną wycenę? Zapraszamy do kontaktu!