Vlákno názorů k článku Dobrému phishingu podlehne 40 % uživatelů, aneb zápisky z BSS 2023 od mberber6 - Tak koukám, že u nás v tomto směru...

Tak koukám, že u nás v tomto směru docela dobrý. Z 500 uživatelů se jich nachytalo 31, a ten test byl HODNĚ DOBRÝ. Problém je, že stačí JEDEN uživatel chycený s vysokými právy a je problém...

Jde i to, jak se komunikuje. U nas posila HR emaily s linkami na uloziste s CV. Kdyz prisel zkusebni phishing s tim samym textem a odesilatelem, tak na to kliknul temer kazdy.

Phishing byl zkusebni, proto sel odesilatel prez firemni mail server a zadne policy ho neomezily.

Takze jste rozeslali email odesilatelem z organizace, nechali na to lidi klikat, protoze nebylo podle ceho by se vzbudilo jejich podezreni a pak jste rekli, ze to byl phishing? Dobra ruska ferovka :-)))

Maloktory uzivatel tusi, co je to hlavicka emailu, a realne si pozrie, odkial mail naozaj prisiel.
Do firiem bezne phisingy dorazia, nezavisle na pouzitej platforme (Gmail, O365, vlastny server, ..)
Dolezitejsie je az to, ci sa uzivatel spameta pri zobrazenej podvrhnutej phising domene ... (cim nechcem povedat, ze sa to netreba snazit fitrovat, ale je to trochu boj s veternymi mlynmi).

"sel odesilatel prez firemni mail server"

takže ani z hlaviček nic nepoznáte

Kliknul, a dál co? Nebo to byl test, jestli se uživatel nechá nalákat na stránku s 0dayem browseru? Ale tam se bojím že je dost jiných možností jak to k uživateli dostat…

Já třeba na tyhle jasně zkušební emaily klikám naschvál, protože mě to prostě přijde naprosto dementní. A znám spoustu lidí co to dělá taky tak. Takže ty statistiky jsou pak úplně mimo.

Teď jen, aby se to nedomákli opravdoví intrudeři.. oh wait

Ty emaily jsou tak dementní a viditelné na první pohled, že si to člověk vážně nemůžu zmýlit. Navíc by mě zajímalo jaký by to musel být útok aby mi to něco udělalo. Většina těchto útoků je opravdu stupidní typu změňte si heslo. Ale za to, že jsou ty útoky úspěšné si můžou "security experti" sami, protože nutí uživatele měnit hesla jednou za x měsíců a 1. to bezpečnosti vůbec nepomahá (spíš naopak, koukněte se někdy po kanclech jak mají nalepená hesla na monitorech nebo, že 99% akorát inkrementuje poslední čísla) a za 2. ty uživatelé jsou z toho tak zblblí, že to opravdu vyplní, protože naposled, když to heslo nezměnilo to museli řešit přes IT.

takto si aspon overi, ze je ta mailova adresa ziva :/ ale jo, kdyz ma clovek honeypot mail ucty, tak to je spis zabava

No, udělal jsem si takový test, který je vlastně 'dobrým phishingem'. Srovnal jsem počty uživatelů, kteří si přečetli odvolanou zprávu s těmi, kteří potvrdili odvolání a tím i smazání jim neurčené zprávy. Situace je alarmující: téměř polovina uživatelů 'naletěla na svou zvědavost', přesněji 44,7%...

Pokud se nepletu tak odvolana zprava funguje jenom v ramci organizace/tenantu a externi spravu nemate jak odvolat, takze sice mate zvedave uzivatele ale s phishingem to nema nic spolecneho.

Problém u školení a testování phishingu je jiný.

I kdybych školil sebevíce a sebelépe, vždy někdo naletí, i administrátor. Závisí na rozpoložení únavě, stresu a spoustě věcí. Jediné co tím řeším, je snížení pravděpodobnosti, resp snížení plochy útoku. Sekundárně však musím vždy řešit a předpokládat, že dojde ke kompromitaci daného stroje a být připraven je co nejrychleji vrátit do normálu např. přeinstalovat. a zároveň zajistit aby se nešířil z takto zasaženého stroje dál.

Sběr údajů resp. hesel je problematický v ochraně, resp by znamenal implementovat 2FA na ochranu.