Michał Rosiak 
Wiecie, czym jest phishing? To hasło, odmieniane przez każdy przypadek, weszło chyba na stałe do naszego codziennego słownika. Z mailami, czy SMS-ami, mającymi przekonać nas do kliknięcia w link i/lub wpisania w dziwne miejsce naszych wrażliwych, miał do czynienia niemal każdy. A co, gdy Wam powiem, że phishing może być czymś... dobrym?
Czasami zdarza mi się prowadzić szkolenia, czy prelekcje, dotyczące sieciowych zagrożeń. Nierzadko prezentując wektory ataku, argumentuję - dając za przykład Orange Polska - że po to, by zrobić nam krzywdę, nie trzeba dostać się do komputera prezesa Juliena. Wystarczy przekonać do przekazania atakującemu loginu i hasła dowolnego z kilkunastu tysięcy pracowników naszej firmy! Co zatem zrobić, by nikt nie popełnił błędu?
Nauczyć kogo się da
Niestety zarówno statystyki, jak i fakty, dowodzą, że nawet w niewielkiej grupie testowej znajdzie się przynajmniej jedna osoba, która "rozpędzi" się. I poniewczasie dotrze do niej, że jednak w to miejsce nie trzeba było klikać. Po raz kolejny niestety - nie wierzę w to, że grupę "niefrasobliwych" da się zmniejszyć do zera. Można jednak raz na jakiś czas próbować... oszukać wszystkich. Wymarzony efekt będzie tak, że większość nauczy się zasady ograniczonego zaufania. A ci - hmmm - oporni? Pozostaje liczyć, że do nich phishing akurat nie dotrze (albo nauczą się następnym razem).
Przyznacie, że jeśli ktoś ma nas oszukać, to najlepiej, by byli to ludzie z firmowego bezpieczeństwa? Rola "bezpieczniaka" to nie tylko polowanie na phishingi, analiza malware, czy testowanie urządzeń (np. modemów), które trafiają do sieci sprzedaży firmy (to tylko kilka przykładów z tego, co robią moi koledzy z CERT Orange Polska i również ja). Są wśród nas też tacy, którzy patrzą na świat cyber-zagrożeń okiem przestępców. Jedni zapuszczają korzenie w darknecie. Monitorują podejrzane aktywności i szukają, czy ktoś nie chce zrobić krzywdy naszej firmie. Inni kombinują nad pomysłem socjotechnicznej sztuczki tak dobrej, by oszukać jak najwięcej kolegów i koleżanek z pracy.
Phishing pod kontrolą
Dlaczego akurat przyszedł mi do głowy pomysł na taki tekst? Bo u nas taka akcja miała miejsce w ostatni poniedziałek. Tym razem temat związany był z nadchodzącymi świętami Wielkiej Nocy. Jeden z poprzednich kontrolowanych phishingów był np. oparty o motyw sezonu urlopowego (zgadnijcie, kiedy był wysyłany? ;) ). Wyniki? Mogę się podzielić jednym. Znaleźli się tacy, którzy się złapali.
Czy to znaczy, że coś jest z nimi "nie tak"? Absolutnie nie. Z kolegami z CERT Orange Polska wychodzimy z założenia, że jeśli ktoś dał się złapać na phishing, to dlatego, że nie zdołaliśmy go wyedukować. Jeszcze nie zdołaliśmy! Dlatego nikt nie zna dnia ani godziny, gdy znów dostanie maila. W całej naszej idei kontrolowanych phishingów ważne z punktu widzenia ofiary jest jednak to, że jedyną osobą, która dowie się o "wpadce" jest ona sama. Zdarzy się, że poda dane logowania? Przejdzie na stronę wyjaśniającą, że padła ofiarą phishingu, dostanie informację o obowiązku zmiany hasła i sugestię zapisania się na szkolenie. Jeśli ktoś ma zawstydzić niefrasobliwą osobę, będzie to co najwyżej ona sama. I nie ukrywam, że taką mam nadzieję, że ci, którym tym razem się nie udało, postawią sobie za punkt honoru, by przy następnej próbie już się nie dać oszukać.
Im więcej potu na ćwiczeniach...
...tym mniej krwi w boju. Powiedzenie Seal Team DevGru najlepiej opisuje sens tego typu ćwiczeń i oczekiwane efekty. Liczenie na to, że przestępcy odpuszczą, byłoby skrajną naiwnością. Wiara w to, że jeśli kogoś zaatakują to innych, nie nas - podobnie. Choć czy to efekt ataku (i fakt, że daliśmy się oszukać), czy też socjotechniczna sztuczka, użyta w konkretnej kampanii, mogą nas frustrować, irytować - nie ma co się wkurzać. Złodziej nie będzie etyczny, nie będzie się zastanawiał, czy jest wystarczająco empatyczny, a motyw, którego użyje, nie sprawi nam przykrości. Mówimy o ludziach, którzy potrafią bez mrugnięcia okiem dla okupu zaszyfrować systemy informatyczne szpitali!
Jeśli zdarzy Ci się, że Twoja firma, lub wynajęci przez nią zewnętrzni eksperci, przeprowadzą taki atak, a Ty dasz się oszukać - nie obrażaj się. Wyciągnij wnioski i następnym razem po prostu się nie daj.
Karol Owczarek 
Kinga Galon 
Komentarze
Każdy z nas może dać się złapać. W szpitalach w chwili obecnej są wytyczne co do używania internetu, poczty, etc…..u mnie w pracy nie ma możliwości skorzystania z prywatnego e-maila, tylko służbowego. Więc….
OdpowiedzWłaśnie wczoraj zadzwoniła do mnie znajoma z Karkowa, że otrzymała SMSa który informował ją, że ma uruchomioną cykliczną usługę za 13 zł na tydzień. Nie przypominała sobie, żeby coś takiego zamawiała. Na koncie w ORANGE widniała też ta kwota. Linki w wiadomości prowadziły do strony, gdzie nie ma możliwości rezygnacji z tego dziadostwa. ORANGE przecież takie akcje z których macie kilka złotych nie wpływają pozytywnie na Wasz wizerunek, który bardziej jest utożsamiany ze złodziejskimi praktykami niż z porządną firmą. Na dowód ten SMS „Otrzymujesz dostep do SECRET BOX INFO: or.pl@mondiapay.com, przez 1 dzien za darmo, pozniej koszt 12.29 pln co 7 dni.Rezygnacja-wejdz na:https://appssecretbox.mobileartsme.com/ Twoje potwierdzenie warunkow zamowionej uslugi znajdziesz po zalogowaniu sie na http://www.orange.pl/mojorange. W przypadku ofert abonamentowych w zakladce Umowy i Urzadzenia – Pokaz umowe. W przypadku ofert na karte w zakladce Plan taryfowy i karta SIM – sekcja Dodatkowe zamowienia. Pozdrawiamy” . Najgorsze, że to badziewie ukazuje się pod szyldem ORANGE. Zastanócie się lepiej, czy warto dla tych paru groszy współpracować z oszustami firmując to bez kontroli poprawności. Spróbujcie się wyrejestrować z tego linku. Życzę powodzenia.
OdpowiedzNapisz do mnie proszę (michal.rosiak@orange.com). Trzeba tę sprawę wyjaśnić.
OdpowiedzDzięki Michał. Odzyskałem wiarę w ludzi z ORANGE. Pozdrawiam. 🙂
Odpowiedz