Zostaną przedstawione przykłady ataków socjotechnicznych wykonanych podczas testów bezpieczeństwa. Prelegent opowie o tym jak się bronić i jak reagować podczas incydentów bezpieczeństwa.

1. Ataki socjotechniczne w praktyce
Borys Łącki
12.10.2019

2. Borys Łącki
Od ponad 16 lat wykonując testy penetracyjne, testujemy
bezpieczeństwo i zabezpieczamy zasoby Klientów.

3. Oszustwo

4. Rachunek, paczka,
Dzień dobry,
W załączniku znajduje się faktura.
Faktura VAT - sprzedaży nr. 25/05/2019
Proszę o zapłatę załączonej faktury.

5. GIODO vs. UODO
https://uodo.gov.pl/pl/138/1218

6. Zaufanie

7. Emocje – strach, radość, ciekawość

8. Strach
Pragniemy poinformować, że odnotowaliśmy dług z tytułu usług
telekomunikacyjnych.
Proszę o pilne zapłacenie 678.90 PLN
Numer rachunku bankowego i szczegóły: https://[xxxxxx]
Z poważaniem
Magosz Leokadia

9. Radość
Szanowny Kliencie,
w załączeniu przesyłamy korespondencję w sprawie
przysługującego zwrotu nadwyżki. W związku z tym
zwracamy się z prośbą o złożenie dyspozycji
określającej formę wypłaty umożliwiającej jej zwrot.
Najszybszą formą realizacji zwrotu jest przelew
bankowy, wiec zachęcamy do wskazania numeru
rachunku bankowego, na który zostanie
zrealizowany przelew.

10. Ciekawość ;)
W tym momencie Twoje konto e-mail zostało zhakowane
(zobacz na „from address", teraz mam dostęp do twoich
kont).
Najciekawszym momentem, który odkryłem, są nagrania
wideo, w których masturbujesz.

11. Klikalność?
?

12. Klikalność? Brain food :)

13. Klikalność?

14. Klikalność?
Click rates were nearly identical across industries,
between 20% and 22% for all lures in aggregate.

15. Dzień tygodnia
HUMANREPORT 2019 FACTOR - ProofPoint
?

16. Dzień tygodnia
HUMANREPORT 2019 FACTOR - ProofPoint

17. Testy penetracyjne – skuteczność socjotechniki

18. Testujemy konkurencję :)
Subject: Szacunkowa wycena testów bezpieczeństwa
CC: biuro@logicaltrust.net, securitum@securitum.pl,
biuro@hostersi.pl, sekurak@sekurak.pl, biuro@2bits.pl,
szymon.chruscicki@testarmy.com, testy@niebezpiecznik.pl,
biuro@niebezpiecznik.pl, office@pentesters.pl,
os@opensecurity.pl, info@audytel.pl, info@prevenity.com,
info@redteam.pl, formica@formica.com.pl, nask@nask.pl,
biuro@sages.com.pl, katarzyna.braclaw@detektyw24.net,
jozef.polikowski@detektyw24.net, info@ensi.net

19. Testujemy konkurencję :)
Szanowny Panie,
przesyłam odnośnik do szczegółowej oferty zawierającej informacje
na temat portfolio firmy oraz dane na temat zakresu testów i
szacunkową wycenę.
https://logicaltrust.net/oferta_numer_193.html
Uprzejmie proszę o informację czy oferta jest dla Państwa
atrakcyjna.
Z poważaniem

20. obiecuje-juz-nigdy-przenigdy-nie-otwierac-ofert-konkurencji.pl

21. Rejestracja

22. Rejestracja + password reuse

23. heedlessnesses.com

24. heedlessnesses.com
Catch All E-mails:
●
hedlessnesses.com
●
heedlesnesses.com
●
heedlessnessess.com
●
heedlessneses.com
●
hedleessnesses.com
●
heedlesneses.com
●
hedlesneses.com

25. heedlessnesses.com
CC:
●
Faktury i rachunki
●
Ustalenia po spotkaniach
●
Umowy
●
Dokumentacja do projektów

26. heedlessnesses.com - malware

27. Telefon + CRM + podatności

28. Linux

29. Linux

30. Linux

31. Linux

32. Linux

33. Linux

34. Linux

35. Linux

36. Linux

37. Linux

38. Linux

39. Linux

40. Linux

41. Linux

42. Linux

43. Dzień dobry, dzwonię z działu IT

44. Mac - Ashok Kumar

45. Mac - Ashok Kumar

46. Mac - Ashok Kumar

47. Mac - Ashok Kumar

48. Obrona - podsumowanie
•
zabezpiecz dostęp - 2FA/MFA
•
ograniczaj usługi w sieci Internet
•
monitoruj (dostęp, domeny, dane)
•
SMTP, DNS, WWW filtering
•
edukuj i trenuj ciekawie https://securityinside.com :)
•
dbaj o zdrową przestrzeń do pracy
•
ograniczaj dostępne dane
•
przygotuj się na incydent

49. Materiały dodatkowe
Filmy:
APT x 3 - wybrane studium przypadków
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy zaproszenie dla cyberprzestępców?
Narzędzia do zautomatyzowanego testowania bezpieczeństwa
OWASP Top10 Najpopularniejsze błędy bezpieczeństwa aplikacji WWW
Podstawowy arsenał testera bezpieczeństwa aplikacji WWW
Darmowa edukacja:
https://phishingquiz.securityinside.com [EN]
https://quiz.securityinside.pl [PL]
https://quiz2.securityinside.pl [PL]
https://sprawdzpesel.pl
https://sprawdzkontobankowe.pl
https://pixabay.com/en/ - Zdjęcia

50. Szkolenia – rabat
https://z3s.pl/szkolenia/
https://securityinside.com
Atak i obrona:
●
Bezpieczeństwo aplikacji WWW
●
Bezpieczeństwo aplikacji mobilnych
-20%
Obowiązuje 66 dni
Hasło: STRONAB19

51. Pytania
Dziękuję za uwagę
Borys Łącki
b.lacki@logicaltrust.net