Vlákno názorů k článku Nejslabším článkem je nepoučený či nezodpovědný uživatel, tvrdí bezpečáci od Ratbatcat - Spoustu utoku ktere vidim v posledni dobe nemaji...

Spoustu utoku ktere vidim v posledni dobe nemaji uzivatele sanci odhalit. Dorazi vam email od firmy se kterou bezne komunikujete, spf/dkim vporadku, odkaz smeruje na sharepoint ze ktereho budto otevrete nejaky excel nebo PDF. Dale je to obvykle nejaky dropper. Security awareness je dulezita ale v tomhle pripade uzivatel nema sanci.

tam pak musi pomoct technologie a proces. Soubory vymenovat overenym kanalem ktery idealne soubory prozene vice AV nebo nejlepe sandboxem.

to se ti řekne, ale zrovna MS a jeho odkazy na onedrive, sharepoint a další, které cpe do emailů místo příloh jsou dost těžko rozeznatelné od sebe, dopředu skoro nevíš, na který účet to vede. Je těžké vytvořit i ad-hoc pravidla dodatečně po útoku, natož aby to uživatelé bezchybně sami rozpoznali.

Jakoze soubory se nebudou sdilet pres sharepoint/onedrive ale treba pres mega.nz? A cemu to jako ma pomoct?

ne, myslel jsem neco, co ma firma ve sve moci. Treba https://www.sofie.cloud/cs/

První komentář píše „spf/dkim vporadku“, takže asi moc firmy nepomohla. Jinak od uvedeného bych dal ruce pryč kvůli tomu logu Fortinetu :D, to firma se snad nejděravějšími a nejzabackdooro­vanějšími řešeními na světě.

Tohle je už docela sofistikovaný útok. Vetší průser je za mě běžná komunikace ve firmách. Před časem jsem měl za úkol získat nějaké informace z jedné konkrétní firmy. Nulová zkušenost s nějakými sociálními útoky.

Založil jsem si účet na freemailu na jméno jednatele, obšlehl patičku a vizuál a pak rozeslal 6 lidem maily typu potřebuji seznam dodavatelů za minulý kvartál a podobně. 4 z 6 lidí poslali přesně to, co jsem chtěl. Částečně obstály dvě ženské z účtárny, ale spíše náhodou. Chtěl jsem po nich skenované dokumenty a ony to neuměly přiložit do odpovědi, takže to nechali na aplikaci skeneru, která jim otevřela Outlook s nachystanou přílohou a pravého jednatele vybraly z adresáře.

A v tom XLS/PDF je 0day nebo jak to pak dál pokračuje?

Nicméně současný sentiment (zmíněný i v článku) „BFU něco spustil a ransomware nám zašifroval data a zablokoval továrnu, může za to BFU!“ je nesmysl, BFU ideálně nemá mít možnost něco spouštět ale především nemá mít možnost přepsat všechna data a zálohy(!) a zablokovat továrnu. Jenom se pak hledá obětní beránek -- podobně jako když se několikrát za rok člověk dočte, že nějaký strojvedoucí na železnici projel Stůj, a došlo k nehodě, a hodí se to na toho strojvedoucího, místo aby se řešilo proč proboha v roce 2022 na nejvytíženější trati v ČR není něco co vlak zastaví.