SlideShare ist ein Scribd-Unternehmen logo
1 von 17
Downloaden Sie, um offline zu lesen
Socjotechnika w Internecie
- metody ataku i obrony
Małgorzata Wasiak
2016.04.06
 Testy penetracyjne aplikacji webowych/mobilnych
 Audyty bezpieczeństwa
 Testy socjotechniczne
 Szkolenia
 Konsultacje
 Informatyka śledcza
LogicalTrust
Socjotechnika w IT
 Próby dotarcia do poufnych informacji lub pozyskania
środków finansowych za pomocą technik
manipulacyjnych.
 Różne środki komunikacji – telefon, poczta
elektroniczna, portale społecznościowe.
 Wykorzystanie pozornie nieistotnych informacji,
których pozyskiwanie nie wzbudza podejrzeń u „ofiary”.
Socjotechnika w IT
„Mimo, że nie podalibyśmy nikomu kodu PIN naszej
karty kredytowej, czy powiedzielibyśmy, jaki typ
serwera wykorzystywany jest w naszej firmie?
Czy ktoś mógłby użyć tej informacji, by podać się za
pracownika, który posiada dostęp do sieci
komputerowej firmy?”
Kevin Mitnick, „Sztuka podstępu”
Socjotechnika w IT
– od 2003...
 2003: ok. 90% pracowników
(w tym: 75% bezpośrednio)
ujawniło swoje hasło w ankiecie
 "I am the CEO, I will not give you my
password - it could compromise my
company's information"
http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/
Socjotechnika w IT
...do 2015...
 Balabit: ankieta wśród blisko 500 ekspertów
bezpieczeństwa IT
 Najpopularniejsze i najszybsze metody
cyberprzestępców na dotarcie do wrażliwych danych
firmy:
 #1: Inżyniera społeczna (np. phishing)
 #2: Przejęte konta (np. słabe hasło)
Socjotechnika w IT
...i 2016.
 yt: Czy podasz mi swój PESEL? Szokująca sonda!
https://youtu.be/Advj0Zlo5nQ
Socjotechnika w IT
- nasze doświadczenie
 Quiz: Czy potrafisz rozpoznać cyberprzestępcę?
(quiz.securityinside.pl)
 Ponad 6 tysięcy uczestników.
 Co drugi (!) sprawdzany popełnił błąd.
Socjotechnika w IT
- nasze doświadczenie
testy:
 Nakłady: fałszywa domena (12 PLN) + mały rekonesans
w mediach społecznościowych
 Efekt: 30% skuteczności... w ciągu pierwszych
kilkunastu minut!
Socjotechnika w IT
wokół nas – najczęstsze metody (1/3)
 Fałszywe wiadomości e-mail: niebezpieczne pliki pod
postacią faktury, ponaglenia sądowego lub
potwierdzenia nadania paczki
Socjotechnika w IT
wokół nas – najczęstsze metody (2/3)
 Fałszywe strony:
wymagające podania
wrażliwych danych lub
nakłaniające do
uruchomienia kosztownej
usługi
(uwaga: Program 500+)
Socjotechnika w IT
wokół nas – najczęstsze metody (3/3)
Media społecznościowe:
 metoda „na wnuczka”
 „sensacyjne” (nawiązujące do ostatnich wydarzeń)
nagłówki
 Scoular – 2014 r. - 17 mln
 „Kontroler w śledztwie tłumaczył się, że sprawa nie
wydała mu się podejrzana, ponieważ firma planowała
inwestycje w Chinach, pracował nad corocznym
audytem z KPMG a domena kpmg-office.com
wyglądała wiarygodnie. Do tego rzekomy prawnik z
KPMG odebrał telefon gdy kontroler zadzwonił na
podany mu numer.” ~z3s.pl
Socjotechnika w IT
… nie omija nikogo
https://zaufanatrzeciastrona.pl/post/jak-dostac-przelew-na-17-milionow-dolarow-wystarczy-ladnie-poprosic/
http://www.omaha.com/money/impostors-bilk-omaha-s-scoular-co-out-of-million/article_25af3da5-d475-5f9d-92db-52493258d23d.html
Socjotechnika w IT
… nie omija nikogo
 Amazon – 2013 r... oraz 2016 r.
https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4#.lwiy7jxh7
Socjotechnika w IT
… nie omija nikogo
http://motherboard.vice.com/read/teen-who-hacked-cia-email-is-back-to-prank-us-spy-chief
http://www.wired.com/2015/10/hacker-who-broke-into-cia-director-john-brennan-email-tells-how-he-did-it/
http://www.wired.com/2015/11/cia-email-hackers-return-with-major-law-enforcement-breach/
 Detale mają znaczenie
 2 FA (Two Factor Authentication)
 Każde ponaglenie, wywieranie presji = podejrzane
 Edukacja – np. securityinside.pl
 Strony, które ostrzegają przed zagrożeniami –
zaufanatrzeciastrona.pl, sekurak.pl, niebezpiecznik.pl,
fb.com/sipolska
Socjotechnika IT
- jak walczyć?
Dziękuję za uwagę :-)
Małgorzata Wasiak
m.wasiak@logicaltrust.net

Weitere ähnliche Inhalte

Was ist angesagt?

klis3編説明会@ss_shopetan
klis3編説明会@ss_shopetanklis3編説明会@ss_shopetan
klis3編説明会@ss_shopetanShopetan shoppe
 
Social engineering: A Human Hacking Framework
Social engineering: A Human Hacking FrameworkSocial engineering: A Human Hacking Framework
Social engineering: A Human Hacking FrameworkJahangirnagar University
 
Chapter 17 a fraud in e commerce Jen
Chapter 17 a  fraud in e commerce JenChapter 17 a  fraud in e commerce Jen
Chapter 17 a fraud in e commerce JenVidaB
 
Analysis of Regional Phishing Attack
Analysis of Regional Phishing AttackAnalysis of Regional Phishing Attack
Analysis of Regional Phishing AttackJune Park
 
Email Security and Awareness
Email Security and AwarenessEmail Security and Awareness
Email Security and AwarenessSanjiv Arora
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Email phishing and countermeasures
Email phishing and countermeasuresEmail phishing and countermeasures
Email phishing and countermeasuresJorge Sebastiao
 
Cyberstalking
CyberstalkingCyberstalking
CyberstalkingTrevschic
 
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScanHow to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScanControlScan, Inc.
 
Cyber security awareness training by cyber security infotech(csi)
Cyber security awareness training by cyber security infotech(csi)Cyber security awareness training by cyber security infotech(csi)
Cyber security awareness training by cyber security infotech(csi)Cyber Security Infotech
 
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020OpenID Foundation Japan
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Internet privacy presentation
Internet privacy presentationInternet privacy presentation
Internet privacy presentationMatthew Momney
 
Cross Site Scripting - Web Defacement Techniques
Cross Site Scripting - Web Defacement TechniquesCross Site Scripting - Web Defacement Techniques
Cross Site Scripting - Web Defacement TechniquesRonan Dunne, CEH, SSCP
 
Privacy and Security in Online Social Media : Privacy and Social Media
Privacy and Security in Online Social Media : Privacy and Social MediaPrivacy and Security in Online Social Media : Privacy and Social Media
Privacy and Security in Online Social Media : Privacy and Social MediaIIIT Hyderabad
 
Comportamento, Segurança e Ética na Internet
Comportamento, Segurança e Ética na InternetComportamento, Segurança e Ética na Internet
Comportamento, Segurança e Ética na InternetDebora Sebriam
 

Was ist angesagt? (20)

klis3編説明会@ss_shopetan
klis3編説明会@ss_shopetanklis3編説明会@ss_shopetan
klis3編説明会@ss_shopetan
 
Social engineering: A Human Hacking Framework
Social engineering: A Human Hacking FrameworkSocial engineering: A Human Hacking Framework
Social engineering: A Human Hacking Framework
 
Chapter 17 a fraud in e commerce Jen
Chapter 17 a  fraud in e commerce JenChapter 17 a  fraud in e commerce Jen
Chapter 17 a fraud in e commerce Jen
 
Analysis of Regional Phishing Attack
Analysis of Regional Phishing AttackAnalysis of Regional Phishing Attack
Analysis of Regional Phishing Attack
 
Anonymizers
AnonymizersAnonymizers
Anonymizers
 
Email Security and Awareness
Email Security and AwarenessEmail Security and Awareness
Email Security and Awareness
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
Email phishing and countermeasures
Email phishing and countermeasuresEmail phishing and countermeasures
Email phishing and countermeasures
 
Cyberstalking
CyberstalkingCyberstalking
Cyberstalking
 
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScanHow to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
 
Edward Snowden Data-Breach
Edward Snowden Data-BreachEdward Snowden Data-Breach
Edward Snowden Data-Breach
 
Saorbhriathar
SaorbhriatharSaorbhriathar
Saorbhriathar
 
Cyber security awareness training by cyber security infotech(csi)
Cyber security awareness training by cyber security infotech(csi)Cyber security awareness training by cyber security infotech(csi)
Cyber security awareness training by cyber security infotech(csi)
 
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Internet privacy presentation
Internet privacy presentationInternet privacy presentation
Internet privacy presentation
 
Cross Site Scripting - Web Defacement Techniques
Cross Site Scripting - Web Defacement TechniquesCross Site Scripting - Web Defacement Techniques
Cross Site Scripting - Web Defacement Techniques
 
Privacy and Security in Online Social Media : Privacy and Social Media
Privacy and Security in Online Social Media : Privacy and Social MediaPrivacy and Security in Online Social Media : Privacy and Social Media
Privacy and Security in Online Social Media : Privacy and Social Media
 
OWASP Mobile Top 10 Deep-Dive
OWASP Mobile Top 10 Deep-DiveOWASP Mobile Top 10 Deep-Dive
OWASP Mobile Top 10 Deep-Dive
 
Comportamento, Segurança e Ética na Internet
Comportamento, Segurança e Ética na InternetComportamento, Segurança e Ética na Internet
Comportamento, Segurança e Ética na Internet
 

Ähnlich wie Socjotechnika w Internecie - metody ataku i obrony

Dirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseDirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseArtur Marek Maciąg
 
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuRaport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuCybersecurity Foundation
 
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Cybersecurity Foundation
 
Cyber ruletka po polsku
Cyber ruletka po polskuCyber ruletka po polsku
Cyber ruletka po polskuPwC Polska
 
Bezpieczna firma - Kancelaria IT
Bezpieczna firma - Kancelaria ITBezpieczna firma - Kancelaria IT
Bezpieczna firma - Kancelaria ITMarek Kędziera
 
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”EYPoland
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEYPoland
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
Aktywność w sieci
Aktywność w sieciAktywność w sieci
Aktywność w siecisieciaki
 
MediaMon na Microsoft Technology Summit 2011
MediaMon na Microsoft Technology Summit 2011MediaMon na Microsoft Technology Summit 2011
MediaMon na Microsoft Technology Summit 2011MediaMon.pl
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecieDorota Ręba
 
Przemysłowy internet rzeczy, perspektywa globalna.
Przemysłowy internet rzeczy, perspektywa globalna.Przemysłowy internet rzeczy, perspektywa globalna.
Przemysłowy internet rzeczy, perspektywa globalna.Michal Kreczmar
 
PLNOG16: DYREKTYWA NIS, Mirosław Maj
PLNOG16: DYREKTYWA NIS, Mirosław MajPLNOG16: DYREKTYWA NIS, Mirosław Maj
PLNOG16: DYREKTYWA NIS, Mirosław MajPROIDEA
 
Advanced persistent threat - jak działają zorganizowane grupy cyberprzestępcze
Advanced persistent threat -  jak działają zorganizowane grupy cyberprzestępczeAdvanced persistent threat -  jak działają zorganizowane grupy cyberprzestępcze
Advanced persistent threat - jak działają zorganizowane grupy cyberprzestępczeLogicaltrust pl
 
Aktywność w sieci
Aktywność w sieciAktywność w sieci
Aktywność w siecisieciaki
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 

Ähnlich wie Socjotechnika w Internecie - metody ataku i obrony (20)

Dirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseDirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident Response
 
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuRaport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
 
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.
 
Cyber ruletka po polsku
Cyber ruletka po polskuCyber ruletka po polsku
Cyber ruletka po polsku
 
Bezpieczna firma - Kancelaria IT
Bezpieczna firma - Kancelaria ITBezpieczna firma - Kancelaria IT
Bezpieczna firma - Kancelaria IT
 
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”
 
Lublin
LublinLublin
Lublin
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa Informacji
 
Wyscig o czynnik ludzki
Wyscig o czynnik ludzkiWyscig o czynnik ludzki
Wyscig o czynnik ludzki
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
Aktywność w sieci
Aktywność w sieciAktywność w sieci
Aktywność w sieci
 
MediaMon na Microsoft Technology Summit 2011
MediaMon na Microsoft Technology Summit 2011MediaMon na Microsoft Technology Summit 2011
MediaMon na Microsoft Technology Summit 2011
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecie
 
Przemysłowy internet rzeczy, perspektywa globalna.
Przemysłowy internet rzeczy, perspektywa globalna.Przemysłowy internet rzeczy, perspektywa globalna.
Przemysłowy internet rzeczy, perspektywa globalna.
 
PLNOG16: DYREKTYWA NIS, Mirosław Maj
PLNOG16: DYREKTYWA NIS, Mirosław MajPLNOG16: DYREKTYWA NIS, Mirosław Maj
PLNOG16: DYREKTYWA NIS, Mirosław Maj
 
Advanced persistent threat - jak działają zorganizowane grupy cyberprzestępcze
Advanced persistent threat -  jak działają zorganizowane grupy cyberprzestępczeAdvanced persistent threat -  jak działają zorganizowane grupy cyberprzestępcze
Advanced persistent threat - jak działają zorganizowane grupy cyberprzestępcze
 
Aktywność w sieci
Aktywność w sieciAktywność w sieci
Aktywność w sieci
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 

Mehr von Logicaltrust pl

Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Logicaltrust pl
 
Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Logicaltrust pl
 
8 zasad skutecznego security awareness
8 zasad skutecznego security awareness8 zasad skutecznego security awareness
8 zasad skutecznego security awarenessLogicaltrust pl
 
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Logicaltrust pl
 
Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Logicaltrust pl
 
Minerva_lib - fuzzing tool
Minerva_lib - fuzzing toolMinerva_lib - fuzzing tool
Minerva_lib - fuzzing toolLogicaltrust pl
 
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018Logicaltrust pl
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Logicaltrust pl
 
Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Logicaltrust pl
 
Redteaming w Polsce - przykłady
Redteaming w Polsce - przykładyRedteaming w Polsce - przykłady
Redteaming w Polsce - przykładyLogicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
Torturing the PHP interpreter
Torturing the PHP interpreterTorturing the PHP interpreter
Torturing the PHP interpreterLogicaltrust pl
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...Logicaltrust pl
 

Mehr von Logicaltrust pl (20)

Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
 
Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29
 
8 zasad skutecznego security awareness
8 zasad skutecznego security awareness8 zasad skutecznego security awareness
8 zasad skutecznego security awareness
 
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
 
Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019
 
Minerva_lib - fuzzing tool
Minerva_lib - fuzzing toolMinerva_lib - fuzzing tool
Minerva_lib - fuzzing tool
 
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018
 
Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)
 
Redteaming w Polsce - przykłady
Redteaming w Polsce - przykładyRedteaming w Polsce - przykłady
Redteaming w Polsce - przykłady
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracji
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
 
Devops security
Devops securityDevops security
Devops security
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
 
Torturing the PHP interpreter
Torturing the PHP interpreterTorturing the PHP interpreter
Torturing the PHP interpreter
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
 
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
 

Socjotechnika w Internecie - metody ataku i obrony

  • 1. Socjotechnika w Internecie - metody ataku i obrony Małgorzata Wasiak 2016.04.06
  • 2.  Testy penetracyjne aplikacji webowych/mobilnych  Audyty bezpieczeństwa  Testy socjotechniczne  Szkolenia  Konsultacje  Informatyka śledcza LogicalTrust
  • 3. Socjotechnika w IT  Próby dotarcia do poufnych informacji lub pozyskania środków finansowych za pomocą technik manipulacyjnych.  Różne środki komunikacji – telefon, poczta elektroniczna, portale społecznościowe.  Wykorzystanie pozornie nieistotnych informacji, których pozyskiwanie nie wzbudza podejrzeń u „ofiary”.
  • 4. Socjotechnika w IT „Mimo, że nie podalibyśmy nikomu kodu PIN naszej karty kredytowej, czy powiedzielibyśmy, jaki typ serwera wykorzystywany jest w naszej firmie? Czy ktoś mógłby użyć tej informacji, by podać się za pracownika, który posiada dostęp do sieci komputerowej firmy?” Kevin Mitnick, „Sztuka podstępu”
  • 5. Socjotechnika w IT – od 2003...  2003: ok. 90% pracowników (w tym: 75% bezpośrednio) ujawniło swoje hasło w ankiecie  "I am the CEO, I will not give you my password - it could compromise my company's information" http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/
  • 6. Socjotechnika w IT ...do 2015...  Balabit: ankieta wśród blisko 500 ekspertów bezpieczeństwa IT  Najpopularniejsze i najszybsze metody cyberprzestępców na dotarcie do wrażliwych danych firmy:  #1: Inżyniera społeczna (np. phishing)  #2: Przejęte konta (np. słabe hasło)
  • 7. Socjotechnika w IT ...i 2016.  yt: Czy podasz mi swój PESEL? Szokująca sonda! https://youtu.be/Advj0Zlo5nQ
  • 8. Socjotechnika w IT - nasze doświadczenie  Quiz: Czy potrafisz rozpoznać cyberprzestępcę? (quiz.securityinside.pl)  Ponad 6 tysięcy uczestników.  Co drugi (!) sprawdzany popełnił błąd.
  • 9. Socjotechnika w IT - nasze doświadczenie testy:  Nakłady: fałszywa domena (12 PLN) + mały rekonesans w mediach społecznościowych  Efekt: 30% skuteczności... w ciągu pierwszych kilkunastu minut!
  • 10. Socjotechnika w IT wokół nas – najczęstsze metody (1/3)  Fałszywe wiadomości e-mail: niebezpieczne pliki pod postacią faktury, ponaglenia sądowego lub potwierdzenia nadania paczki
  • 11. Socjotechnika w IT wokół nas – najczęstsze metody (2/3)  Fałszywe strony: wymagające podania wrażliwych danych lub nakłaniające do uruchomienia kosztownej usługi (uwaga: Program 500+)
  • 12. Socjotechnika w IT wokół nas – najczęstsze metody (3/3) Media społecznościowe:  metoda „na wnuczka”  „sensacyjne” (nawiązujące do ostatnich wydarzeń) nagłówki
  • 13.  Scoular – 2014 r. - 17 mln  „Kontroler w śledztwie tłumaczył się, że sprawa nie wydała mu się podejrzana, ponieważ firma planowała inwestycje w Chinach, pracował nad corocznym audytem z KPMG a domena kpmg-office.com wyglądała wiarygodnie. Do tego rzekomy prawnik z KPMG odebrał telefon gdy kontroler zadzwonił na podany mu numer.” ~z3s.pl Socjotechnika w IT … nie omija nikogo https://zaufanatrzeciastrona.pl/post/jak-dostac-przelew-na-17-milionow-dolarow-wystarczy-ladnie-poprosic/ http://www.omaha.com/money/impostors-bilk-omaha-s-scoular-co-out-of-million/article_25af3da5-d475-5f9d-92db-52493258d23d.html
  • 14. Socjotechnika w IT … nie omija nikogo  Amazon – 2013 r... oraz 2016 r. https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4#.lwiy7jxh7
  • 15. Socjotechnika w IT … nie omija nikogo http://motherboard.vice.com/read/teen-who-hacked-cia-email-is-back-to-prank-us-spy-chief http://www.wired.com/2015/10/hacker-who-broke-into-cia-director-john-brennan-email-tells-how-he-did-it/ http://www.wired.com/2015/11/cia-email-hackers-return-with-major-law-enforcement-breach/
  • 16.  Detale mają znaczenie  2 FA (Two Factor Authentication)  Każde ponaglenie, wywieranie presji = podejrzane  Edukacja – np. securityinside.pl  Strony, które ostrzegają przed zagrożeniami – zaufanatrzeciastrona.pl, sekurak.pl, niebezpiecznik.pl, fb.com/sipolska Socjotechnika IT - jak walczyć?
  • 17. Dziękuję za uwagę :-) Małgorzata Wasiak m.wasiak@logicaltrust.net