Dělám phishing

Dobrý den, jmenuji se Luděk Mandok a už necelou dekádu posílám podvrhy emailů, věnuji se phishingu.

Zveřejněno dne: 11. 11. 2022

aricoma avatar
https://www.buzzsprout.com/1710535/11666014-blog-delam-phishing
Audiostory
00:00 00:00

Aby bylo jasno, phishing uživatelů dělám v rámci budování bezpečnostního povědomí a školení uživatelů v oblasti kybernetické bezpečnosti.

Nabídka provádění testů odolnosti uživatelů podvrhům, sociálním manipulacím, je součást vzdělávání uživatelů.

Předně – jedná se o test, a nikoliv o to, někoho nachytat. Samozřejmě je možné vytvořit téměř 100% podvrh, zvláště pokud znáte uživatele, kulturu a obecně prostředí organizace. Text by tedy měl dávat testovaným uživatelům šanci odhalit, že se jedná o podvrh. Maximálně vhodné je tedy v testovací zprávě používat takové techniky, o kterých jsou uživatelé informováni jako o phishingových znacích v rámci různých bezpečnostních školeních. Pokud mohu, doporučuji tedy úmyslné pravopisné chyby, úmyslný nesoulad mezi předmětem emailu a jeho obsahem, úmyslné použití odkazů na podivné webové stránky nebo viditelně podezřelé email adresy odesilatele apod. Jako tester si nepotřebujete dokazovat, že dokážete „napálit“ uživatele, ale Vaším úkolem je ověřit odolnost uživatele.

Zákazník většinou nemá představu, jak by měl testovací email, návrh podvrhu, vypadat. Nejčastěji zákazník požádá o návrh – máte zkušenosti, navrhněte prosím něco. Rozumím, že zákazníkovi není zřejmé, co všechno je možné vytvořit, na druhou stranu, zákazník zná své uživatele a organizaci mnohem lépe, než mohu znát já.

Je vhodné používat napodobeniny skutečných podvrhů, tedy takových podvrhů, se kterými se uživatelé mohli a mohou skutečně setkat. Samozřejmě je možné vytvořit podvrh s téměř jakoukoliv grafikou nebo obsahem, ale doporučuji držet se „při zemi“ a používat to, co je reálné.

V jedné z testovaných organizací jsem použil email, který napodoboval poměrně častý podvrh email, jenž předstírá, že je z České pošty, jež se snaží doručovat balíček. Jeden z uživatelů neváhal a okamžitě se obrátil na Národní bezpečnostní úřad, který informoval o pokusu o podvod. Volal jsem tedy také na Národní bezpečnostní úřad, abych celou záležitost vysvětlil.

Míra klikání je skutečně různá a přestože můžete narazit na různé „benčmárky“, procento uživatelů, kteří klikají na odkazy se bude různit podle ročního období, sezóny (třeba prázdniny) a vhodně zvoleného tématu podvrhu. Nečekejte tedy odpověď, kolik procent (procent uživatelů, kteří klikli) je ještě dobře a kolik už je špatně. Popravdě ono stačí, když klikne jeden uživatel a celá síť se může položit …

Samozřejmě, asi v každé organizaci narazíme na „notorické klikače“, kteří kliknou bez rozmyslu na každý odkaz, nicméně většina uživatelů po prvním, druhém až třetím se „spálení“ přece jenom začne zamýšlet nad obsahem emailů, které se objevují ve schránce. Každopádně, každý test tedy pečlivě plánujte, co do obsahu a provedení. Uživatele testujte dlouhodobě, protože jeden dobrý výsledek může znamenat, že jste jenom „netrefili téma emailu“, která je pro uživatele atraktivní – což je zpravidla problém, pokud máte provedení testů externě a externí tester má „něco vymyslet“ (míněno testovací email). Vypovídající hodnotu má trend.

Phishing jako sociální manipulace využívá aktuálních témat, což samozřejmě má svá úskalí. Je všeobecně známo, že v době pandemie Covidu bylo téma této nakažlivé nemoci často kyberzločinci zneužíváno. V jedné organizaci jsem tedy po domluvě s jejím vedením toto téma použil. Buď za to mohla zjitřená doba nebo uživatelé byli nepozorní, ale podvrh vyvolal v organizaci nebývalou paniku, kdy někteří vedoucí uvažovali o uzavírání svých oddělení. Nepomohlo, že email měl v sobě mnoho „nápověd“, že se jedná o podvrh …

Kyberzločinci často napodobují v rámci spearphishingu i interní emaily, pokud mají možnost získat dostatek dat. Pokud vyrobíte podvrh interního emailu, je to zpravidla velmi, velmi účinné, a to alespoň v případě prvních pár testů. Uživatelé obvykle moc pozornosti interním emailům nevěnují a už to, že email dorazil z vnitřní adresy, je pro ně zárukou bezpečí. Opět je to o tom, že je vhodné test udělat tak, aby poskytoval testovaným dost šancí rozpoznat podvrh, ve větší organizaci stojí za to vymyslet si fiktivního uživatele a nutit tak testované uživatele, aby si ověřovali, jestli dotyčný skutečně existuje. Pokud použijete identitu skutečné osoby, s velkou mírou pravděpodobnosti, (pokud nebude obsah emailu úplný nesmysl) velká část testovaných uživatelů vůbec email nebude zkoumat a klikne.

Jednou jsem vytvářel podvrh, který napodoboval email jednoho z členů představenstva společnosti. Uživatelé klikali jako zběsilí a vůbec nevadilo, že bylo použit špatný podpis, špatné logo, špatný email. Zveřejnění výsledků samozřejmě způsobilo velké „halo“, nicméně, dostavil se i negativní efekt – uživatelé začali u spousty korektních interních emailů pochybovat o jejich pravosti.

Určitě by uživatelé měli být informováni o tom, že v rámci bezpečnostního vzdělávání jsou prováděny testy odolnosti phishingu. Tato informace by měla být spojena s bezpečnostním školením, aby uživatelé byli „vyzbrojeni“ znalostmi pro setkání s phishingem. Nezapomeňte, že informace o testech je i dobrým prostředkem pro boj s phishingem, protože uživatelé budou bedlivěji zkoumat všechny emaily v obavě z toho, jestli se nejedná o test. Mimochodem, nezapomeňte uživatelům vysvětlit, že se skutečně nejedná o nástroj nějakého útlaku, že se nejedná o nějakou šikanu, ale že jste všichni takříkajíc na „jedné lodi“, protože skutečně stačí jedno kliknutí.

Osvědčenou praxí je provést první test nejdříve utajeně. Organizace tím získá teoreticky, ne moc zkreslené výsledky a aktuálním stavu. O tom, že budou probíhat další testy, je už pak vhodné uživatele informovat.

Ad utajení. Realizace testů by měla zůstat v kompetenci relativně malého a úzkého týmu. Protože každý má nějakého kolegu je obvyklé, že nějaké info o provádění testů občas prosákne. Opět se vrátím k tomu, že testy nejsou zlomyslnost a je třeba v organizaci vytvořit atmosféru, že není nutné někoho před testováním „ochránit“ protože, co kdyby náhodou kliknul. Stejně tak občas dostávám seznamy uživatelů k testování, z nichž jsou někteří uživatelé vyškrtnuti. Myslím si, že je to zbytečná obava.

Výsledky testu předávám zákazníkovi jednak v podobě zprávy a jednak jako data konvertovaná do xls souboru. Jednou se mi stalo, že jsem byl partnerem na straně zákazníka požádán o vymazání některých jmen z výsledků …

Občas se ve výsledcích mohou objevit i chyby. Záleží v tomto případě na technologii, která je používána, obvykle testovací nástroj registruje ip adresu, ze které je odkaz otevírán a automaticky si poznačí tu poslední adresu, ze které k tomu došlo (nástroje spojují emailovou adresu s ip adresou, která otevírá odkaz). Počítejte tedy s tím, že i výsledky testů mohou být reklamovány a někteří uživatelé v tom mohou být „nevinní“.

Ve výsledcích testů jsem zahlédl americkou ip adresu, ale protože shodou okolností „hořelo“ i jinde, udělal jsem si jenom poznámku, že asi byl testovaný uživatel v USA, na služební cestě s tím, že si to zkontroluji později. Bohužel, ke kontrole jsem se dostal až v okamžiku, kdy se uživatel ozval, že poznal, že to je podvrh a že rozhodně na link nekliknul. Měl pravdu, odkaz, jak jsem záhy zjistil, vložil do nástroje Virus Total (kontrola, jestli link nebo soubor neobsahují škodlivé kódy) a ten jej otevřel za něj. Podobně jsem už narazil na případ, kdy byl testovací email přeposlán mezi uživateli a kliknutí tak bylo připsáno někomu jinému.

Testovací nástroje umožňují zpravidla zobrazit testovanému uživateli různé webové stránky v případě, že kliknou na odkaz. Já nechávám zpravidla takovému uživateli zobrazit stránku se zprávou „chyba 404, stránka nenalezena“. Myslím si, že na takovou stránku jsou uživatelé víceméně zvyklí a nedojde k vyzrazení průběhu testu. Pokud však má zadavatel jinou představu, nic není nemožné.

Dobrou praxí je zachytávat i případné odpovědi uživatelů na podvržené emaily. Někteří uživatelé si dají tu práci a domnělému podvodníkovi napíší pěkný román. Pro testování slouží odpovědi jako další zpětná vazba, která může napovědět o motivu jednání uživatele, ať už je jakékoliv.

Nezapomeňte, že o testech uživatelů by měli být informován management organizace (nebo alespoň jejich zástupce, pokud jsou jeho ostatní členové také testováni) a testy se zákazníkem detailně domluveny.

Pokud si chcete ověřit odolnost uživatelů phishingu a nevíte, jak na to, klidně se na nás obraťte. Rádi Vám poradíme a jak se říká za zeptání, nic nedáte :-) ARICOMA ví jak.

Luděk Mandok
Senior Security Consultant
Sdílejte

NEVÁHEJTE, KONTAKTUJTE NÁS.

Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?

Odesláním registračního formuláře prohlašuji, že jsem se seznámil s informacemi o zpracování osobních údajů v ARICOMA.

BUĎTE U TOHO

Přihlaste se k odběru našich newsletterů, ať vám nic neuteče.

Vložením e-mailu souhlasíte s podmínkami ochrany osobních údajů.