Bezpieczeństwo

Mniej krwi w boju, czyli dobry phishing

Michał Rosiak Michał Rosiak
30 marca 2023
Mniej krwi w boju, czyli dobry phishing

Wiecie, czym jest phishing? To hasło, odmieniane przez każdy przypadek, weszło chyba na stałe do naszego codziennego słownika. Z mailami, czy SMS-ami, mającymi przekonać nas do kliknięcia w link i/lub wpisania w dziwne miejsce naszych wrażliwych, miał do czynienia niemal każdy. A co, gdy Wam powiem, że phishing może być czymś... dobrym?

Czasami zdarza mi się prowadzić szkolenia, czy prelekcje, dotyczące sieciowych zagrożeń. Nierzadko prezentując wektory ataku, argumentuję - dając za przykład Orange Polska - że po to, by zrobić nam krzywdę, nie trzeba dostać się do komputera prezesa Juliena. Wystarczy przekonać do przekazania atakującemu loginu i hasła dowolnego z kilkunastu tysięcy pracowników naszej firmy! Co zatem zrobić, by nikt nie popełnił błędu?

Nauczyć kogo się da

Niestety zarówno statystyki, jak i fakty, dowodzą, że nawet w niewielkiej grupie testowej znajdzie się przynajmniej jedna osoba, która "rozpędzi" się. I poniewczasie dotrze do niej, że jednak w to miejsce nie trzeba było klikać. Po raz kolejny niestety - nie wierzę w to, że grupę "niefrasobliwych" da się zmniejszyć do zera. Można jednak raz na jakiś czas próbować... oszukać wszystkich. Wymarzony efekt będzie tak, że większość nauczy się zasady ograniczonego zaufania. A ci - hmmm - oporni? Pozostaje liczyć, że do nich phishing akurat nie dotrze (albo nauczą się następnym razem).

Przyznacie, że jeśli ktoś ma nas oszukać, to najlepiej, by byli to ludzie z firmowego bezpieczeństwa? Rola "bezpieczniaka" to nie tylko polowanie na phishingi, analiza malware, czy testowanie urządzeń (np. modemów), które trafiają do sieci sprzedaży firmy (to tylko kilka przykładów z tego, co robią moi koledzy z CERT Orange Polska i również ja). Są wśród nas też tacy, którzy patrzą na świat cyber-zagrożeń okiem przestępców. Jedni zapuszczają korzenie w darknecie. Monitorują podejrzane aktywności i szukają, czy ktoś nie chce zrobić krzywdy naszej firmie. Inni kombinują nad pomysłem socjotechnicznej sztuczki tak dobrej, by oszukać jak najwięcej kolegów i koleżanek z pracy.

Phishing pod kontrolą

Dlaczego akurat przyszedł mi do głowy pomysł na taki tekst? Bo u nas taka akcja miała miejsce w ostatni poniedziałek. Tym razem temat związany był z nadchodzącymi świętami Wielkiej Nocy. Jeden z poprzednich kontrolowanych phishingów był np. oparty o motyw sezonu urlopowego (zgadnijcie, kiedy był wysyłany? ;) ). Wyniki? Mogę się podzielić jednym. Znaleźli się tacy, którzy się złapali.

Czy to znaczy, że coś jest z nimi "nie tak"? Absolutnie nie. Z kolegami z CERT Orange Polska wychodzimy z założenia, że jeśli ktoś dał się złapać na phishing, to dlatego, że nie zdołaliśmy go wyedukować. Jeszcze nie zdołaliśmy! Dlatego nikt nie zna dnia ani godziny, gdy znów dostanie maila. W całej naszej idei kontrolowanych phishingów ważne z punktu widzenia ofiary jest jednak to, że jedyną osobą, która dowie się o "wpadce" jest ona sama. Zdarzy się, że poda dane logowania? Przejdzie na stronę wyjaśniającą, że padła ofiarą phishingu, dostanie informację o obowiązku zmiany hasła i sugestię zapisania się na szkolenie. Jeśli ktoś ma zawstydzić niefrasobliwą osobę, będzie to co najwyżej ona sama. I nie ukrywam, że taką mam nadzieję, że ci, którym tym razem się nie udało, postawią sobie za punkt honoru, by przy następnej próbie już się nie dać oszukać.

Im więcej potu na ćwiczeniach...

...tym mniej krwi w boju. Powiedzenie Seal Team DevGru najlepiej opisuje sens tego typu ćwiczeń i oczekiwane efekty. Liczenie na to, że przestępcy odpuszczą, byłoby skrajną naiwnością. Wiara w to, że jeśli kogoś zaatakują to innych, nie nas - podobnie. Choć czy to efekt ataku (i fakt, że daliśmy się oszukać), czy też socjotechniczna sztuczka, użyta w konkretnej kampanii, mogą nas frustrować, irytować - nie ma co się wkurzać. Złodziej nie będzie etyczny, nie będzie się zastanawiał, czy jest wystarczająco empatyczny, a motyw, którego użyje, nie sprawi nam przykrości. Mówimy o ludziach, którzy potrafią bez mrugnięcia okiem dla okupu zaszyfrować systemy informatyczne szpitali!

Jeśli zdarzy Ci się, że Twoja firma, lub wynajęci przez nią zewnętrzni eksperci, przeprowadzą taki atak, a Ty dasz się oszukać - nie obrażaj się. Wyciągnij wnioski i następnym razem po prostu się nie daj.

Komentarze

pablo_ck
pablo_ck 19:29 30-03-2023

Każdy z nas może dać się złapać. W szpitalach w chwili obecnej są wytyczne co do używania internetu, poczty, etc…..u mnie w pracy nie ma możliwości skorzystania z prywatnego e-maila, tylko służbowego. Więc….

Odpowiedz
Kferro
Kferro 09:25 31-03-2023

Właśnie wczoraj zadzwoniła do mnie znajoma z Karkowa, że otrzymała SMSa który informował ją, że ma uruchomioną cykliczną usługę za 13 zł na tydzień. Nie przypominała sobie, żeby coś takiego zamawiała. Na koncie w ORANGE widniała też ta kwota. Linki w wiadomości prowadziły do strony, gdzie nie ma możliwości rezygnacji z tego dziadostwa. ORANGE przecież takie akcje z których macie kilka złotych nie wpływają pozytywnie na Wasz wizerunek, który bardziej jest utożsamiany ze złodziejskimi praktykami niż z porządną firmą. Na dowód ten SMS „Otrzymujesz dostep do SECRET BOX INFO: or.pl@mondiapay.com, przez 1 dzien za darmo, pozniej koszt 12.29 pln co 7 dni.Rezygnacja-wejdz na:https://appssecretbox.mobileartsme.com/ Twoje potwierdzenie warunkow zamowionej uslugi znajdziesz po zalogowaniu sie na http://www.orange.pl/mojorange. W przypadku ofert abonamentowych w zakladce Umowy i Urzadzenia – Pokaz umowe. W przypadku ofert na karte w zakladce Plan taryfowy i karta SIM – sekcja Dodatkowe zamowienia. Pozdrawiamy” . Najgorsze, że to badziewie ukazuje się pod szyldem ORANGE. Zastanócie się lepiej, czy warto dla tych paru groszy współpracować z oszustami firmując to bez kontroli poprawności. Spróbujcie się wyrejestrować z tego linku. Życzę powodzenia.

Odpowiedz
    Michał Rosiak
    Michał Rosiak 11:27 31-03-2023

    Napisz do mnie proszę (michal.rosiak@orange.com). Trzeba tę sprawę wyjaśnić.

    Odpowiedz
      kferro
      kferro 10:59 04-04-2023

      Dzięki Michał. Odzyskałem wiarę w ludzi z ORANGE. Pozdrawiam. 🙂

      Odpowiedz

Oferta

Akcesoria do telefonu, którymi zadasz szyku

Karol Owczarek Karol Owczarek
29 marca 2023
Akcesoria do telefonu, którymi zadasz szyku

Jako osobę o przekornej naturze, ciekawią mnie przede wszystkim rzeczy, które odstają od normy i zakrzywiają choćby w minimalnym stopniu czasoprzestrzeń. W sklepie Orange bardziej niż najnowsze smartfony przykuwają moją uwagę produkty, których w ofercie operatora sieci komórkowej nie każdy się spodziewa lub po prostu choć trochę nietypowe.

Testowałem już alkomat, dyfuzor z lampką w kształcie pnia drzewa, podświetlany głośnik-jednorożec, kłódkę na odcisk palca, lornetkę z kamerą czy mikrofon karaoke. Teraz postanowiłem zaprezentować Wam akcesoria do telefonu, którymi można zadać szyku, na co dzień i podczas wieczornego wyjścia.

Ostatnio do sklepu Orange trafiły smyczki do telefonu, które wyglądają – w zależności od naszego gustu – efektownie, stylowo czy wręcz ekstrawagancko. Do wyboru są m.in. smyczki z frędzlami i złotymi elementami, w formie złotego łańcuszka czy ciemnozielonego łańcucha, a także ekologiczna smyczka w pastelowych kolorach, wykonana z w pełni biodegradowalnych materiałów.

Wszystkie te smyczki są uniwersalne – pasują do niemal każdego etui. Wystarczy włożyć pomiędzy telefon a obudowę system mocujący, który jest dołączony do zestawu. Zawieszona na ramieniu, szyi lub ręce smyczka oprócz walorów estetycznych pozwala też lepiej chronić smartfon przed upadkiem czy zagubieniem.

Tych, którzy wolą nieco skromniejsze rozwiązanie, choć równie praktyczne, zainteresować może bransoletka do telefonu, dostępna z koralikami w kilku kolorach.

Zobacz też: Najlepiej sprzedające się akcesoria w Orange


Sieć

Co w chmurze piszczy?

Kinga Galon Kinga Galon
28 marca 2023
Co w chmurze piszczy?

W Polsce chmura kojarzona jest z innowacyjnością, ale wciąż niewiele firm dostrzega jej znaczenie dla wzrostu biznesu[1]. Tymczasem wykorzystanie chmury może podnieść jakość usług i bezpieczeństwa danych, przy obniżeniu kosztów. Trudno o lepszą perspektywę dla biznesu. Z drugiej strony nie w każdej sytuacji, na przykład gdy potrzebujemy minimalnych opóźnień, chmura jest najlepszym rozwiązaniem. Zapraszam do obejrzenia lub posłuchania wideocastów „Porozmawiajmy o chmurze”. Konrad Gawda rozmawia z ekspertami o technologiach chmurowych, migracji, kolokacji, ryzykach, bezpieczeństwie i wszystkim tym, co w chmurze piszczy.

Kiedyś usłyszałam, że korzystanie z chmury jest jak latanie liniami lotniczymi. Po co kupować na własność cały samolot, skoro prawie wszędzie jesteśmy w stanie dolecieć samolotem wybranej linii. Taniej, szybciej, bardziej ekologicznie. Chmura daje podobny efekt: wykorzystujemy efekt skali dla osiągnięcia licznych korzyści. Jako Orange razem z Integrated Solutions, spółką z Grupy Orange Polska, stworzyliśmy chmurę obliczeniową – Integrated Computing Standard. To cyfrowe miejsce, które udostępniamy firmom do przechowywania i przetwarzania danych czy utrzymywania aplikacji i stron. Teraz nasi eksperci podzielili się swoją wiedzą w wideocastach „Porozmawiajmy o chmurze”. W kolejnych odcinkach poruszają tematy dotyczące technologii chmurowych i przywołują liczne ciekawostki.  

https://www.youtube.com/watch?v=fj76jq4Zj90
Odcinek 1: Pierwsze rozwiązania chmurowe

Migracja do chmury

Jeśli interesuje Was praktyczne podejście, jak skutecznie i z głową migrować do chmury, polecam zwłaszcza trzeci i czwarty odcinek. Jednym z omawianych rozwiązań jest koncepcja landing zone. Mówi ona jak efektywnie urządzić środowisko chmurowe tak, żeby było dopasowane do naszej strategii, bezpieczne i łatwe w zarządzaniu. Innym rozwiązaniem jest model 7R – relocate, rehost, repurchase, replatform, refactor, retain, retire. Opisuje on siedem dróg, które możemy wybrać przenosząc zasoby do chmury. Ale nie wchodźmy w szczegóły, o nich najlepiej opowiedzą eksperci.

https://www.youtube.com/watch?v=YWp7-S4XJPg
Odcinek 3: Landing zone, czyli od czego zacząć projekt w chmurze

Bezpieczna chmura

W kontekście rozwiązań chmurowych często pojawia się też kwestia bezpieczeństwa. Możemy tu mówić zarówno o bezpieczeństwie samych obiektów data center, jak i bezpieczeństwie danych. Oba te aspekty poruszają eksperci w „Porozmawiajmy o chmurze”.

W przypadku bezpieczeństwa obiektów chodzi między innymi o zabezpieczenie fizyczne, energetyczne, chłodnicze czy pożarowe. Jako Orange mamy czym tutaj się pochwalić. Przykładem takiego super-bezpiecznego i niezawodnego budynku jest centrum przetwarzania danych Warsaw Data Hub. Przykładowo, na wypadek braku prądu, budynek wyposażony jest w agregaty prądotwórcze, które mają zapas paliwa na 72 godziny. Gwarantuje to ciągłość działania. Z przestrzeni kolokacyjnej w Warsaw Data Hub korzystają na przykład szpitale z województwa mazowieckiego. Bez gwarancji niezawodności, nie byłoby to możliwe. Więcej o bezpieczeństwie Warsaw Data Hub możecie przeczytać w artykule pod linkiem. Jeden z odcinków „Porozmawiajmy o chmurze” nagrany został właśnie w tym budynku, a eksperci rozmawiali m.in. o bezpieczeństwie i wspominanej usłudze kolokacji.

https://youtu.be/kpN1msBfO4k
Odcinek 8: O kolokacji w Warsaw Data Hub

Więcej nie zdradzam. Pozostałe odcinki „Porozmawiajmy o chmurze” wraz z opisem dostępne są pod tym linkiem. Zachęcam do posłuchania lub obejrzenia. Na tym nie koniec, bo Konrad nagrywa kolejne odcinki tej serii. Będzie między innymi o chmurze w kontekście sieci 5G oraz o dronach. 


[1] Raport „Chmura i jej wartość. Oczekiwania vs. Rzeczywistość”, PwC Polska, czerwiec 2022.

Komentarze

mike278
mike278 10:01 14-11-2024

Bonus ok i faktycznie gratis. Natomiast start promocji fatalny że względu na problemy w aplikacji.

Odpowiedz
Maniu
Maniu 12:25 14-11-2024

A kiedy będzie rozstrzygnięty konkurs wakacje z Orange?

Odpowiedz
fajera
fajera 14:38 15-11-2024

co to są mobilne usługi głosowe?

Odpowiedz
Wake Up
Wake Up 12:19 16-11-2024

już był

Odpowiedz
mst
mst 14:34 22-11-2024

Katastrofa. Nie da się tego uruchomić w aplikacji. Klikam dołącz i brak reakcji….

Odpowiedz
Robi
Robi 15:52 22-11-2024

Brak gb po 2 pompowaniu , po reklamacji na czacie wpadły na 1 nr z 3 , zachwytów nie było końca jak to odpowiedni dział pozytywnie naprawił , podczas 2 reklamacji konsultant podał mi „mój” nr z kosmosu , dzięki jeszcze zadzwonię.

Odpowiedz
emitelek
emitelek 18:21 22-11-2024

Pani Beato!!! Prosimy o komentarz!!!
Jeśli coś robicie, to zróbcie to z głową!!!…

Odpowiedz
Scroll to Top