250 likes | 351 Views
Kész Átverés Show. avagy Informatikai csalások vezérigazgatók ellen Papp Péter – vezérigazgató. Miről lesz szó?. A kancellár.hu-ról röviden A phishing/whaling története, adatok. Támadási módszerek. Védekezés. Összefoglaló. Az előadás hosza: 24 dia / 30 perc. A kancellár.hu-ról.
E N D
Kész Átverés Show avagy Informatikai csalások vezérigazgatók ellen Papp Péter – vezérigazgató
Miről lesz szó? • A kancellár.hu-ról röviden • A phishing/whaling története, adatok. • Támadási módszerek. • Védekezés. • Összefoglaló. • Az előadás hosza: 24 dia / 30 perc
A kancellár.hu-ról • 35+ szakember, 1Mrd+ árbevétel, 300+ ügyfél a TOP1000-ből. • Csak információbiztonsággal foglalkozunk. • Piacvezető Magyarországon, további projektek: Lengyelország, Horvátország, Románia, Oroszország, Ausztria. • ISO 9001:2000, NATO beszállításra alkalmas, 143/2004-es kormányrendelet (az államtitkot vagy szolgálati titkot, illetőleg alapvető biztonsági, nemzetbiztonsági érdeket érintő vagy különleges biztonsági intézkedést igénylő beszerzésekben részt vehet) • CCNA, CISM, CISA, CISSP , BS7799, TÜK, …
A Phishing története • Def.: Phishing: Azon trükkös és/vagy social engineering eljárás, melynek során egy szervezet/cég felhasználójától megszerezik bizalmas információit, bűncselekmény elkövetésének céljából. • A Phishing a XXI. század bűncselekménye, ahol a sikeres támadás pénzbe kerül. • Eredete: fishing + phreaking/password • Első írásos nyom: 1996 január 28-án az alt.2600 hacker hírcsoportban.
Phishing adatok • 57 millió megtámadott internetezőből 1.7millió sikeres támadás (3%-os sikermutató) • 2007 december: 25.683 phishing oldal (1.142 volt 2 éve) 144 márkahamisítás 3 nap átlagos élettartam (6.4 volt 2 éve) 31 napos leghosszabb élettartam • 42.1% hasonló URL, 12% csak IP cím • Pénzügy/ISP/Vegyes/Kiskereskedelem • Amerika/Kína/Oroszország/Thaiföld/Izrael/ Forrás: APWG
Whaling • Whaling = Bálnavadászat • Első támadás: 2007 június, 512 email Microsoft Word csatolmánnyal (benne egy trójai) • Második támadás: 2007 szeptember, 1100 email RTF csatolmánnyal (szintén trójai) • Támadottak köre: „C-level executives and senior management” névvel és titulussal • Harmadik támadás: 2007 november, 934 senior executive ellen, zip file és trójai
Hazai tapasztalatok • Újságírók • Felső vezetők
Phishing/Whaling küldés • Email és Spam • Web • IRC és Instant Messaging • Trójai programok
Phishing küldés • Email és Spam • Web • IRC és Instant Messaging • Trójai programok Trükkök l ≠ I o ≠о≠○≠◦ (006F,043E,25CB,25E6) www.xbank ≠ ww.wxbank
Phishing küldés • Email és Spam • Web • IRC és Instant Messaging • Trójai programok • Trükkök • ingyenes oldalak, Phishing céllal • hamis reklám bannerek • akár fizetett hamis bannerek elhelyezése
Phishing küldés • Email és Spam • Web • IRC és Instant Messaging • Trójai programok • Trükkök • Grafikus tartalom • URL • Multimédia file-ok
Phishing küldés • Email és Spam • Web • IRC és Instant Messaging • Trójai programok
Phishing technológiák • Man in the middle • URL tévesztés • Cross-site scripting • Session támadás • Rejtett támadás • Adatlopás • Kliens oldali sebezhetőség kihasználása forrás: NGS
Phishing technológiák • Man in the middle • URL tévesztés • Cross-site scripting • Session támadás • Rejtett támadás • Adatlopás • Kliens oldali sebezhetőség kihasználása • Trükkök • Transzparens proxy • DNS Cache Mérgezés • Böngésző proxy átállítás forrás: NGS
Phishing technológiák • Man in the middle • URL tévesztés • Cross-site scripting • Session támadás • Rejtett támadás • Adatlopás • Kliens oldali sebezhetőség kihasználása
Phishing/Whaling védekezés • A Phishing/Whaling ellen teljes mértékben sikeres védekezés nincs, de a TANULNI, TANULNI, TANULNI szabály az információ védelemről itt is érvényes. • Háromszintű védekezés:1. Kliens oldali védekezés2. Szerver oldali védekezés3. Vállalati szintű védekezés
Phishing védekezés Email beállítások • HTML levelek tiltása, • Csatolmányok tiltása. Böngésző beállítások • pop-up tiltás, • Java runtime support tiltás, • ActiveX tiltás, • Auto play tiltás, • Cookie beállítások, • Letöltések ellenőrzése, • MIE vs Firefox, • Anti-Phishing Plug-in. Desktop védekezés • anti-vírus szoftver, • tűzfal, • behatolás detektálás, • Spam szűrés, • kémprogram szűrés. Digitális aláírás • S/MIME, • PGP. Éberség • Technikai, • Egyéb pl.: állásajánlat. Kliens oldalSzerver oldal Vállalati szint
Phishing/Whaling védekezés Ügyfél tudatosság • Ügyfél folyamatos értesítése, • Phishing szabályzat http://www.antiphishing.org/resources.html#Policies Kommunikáció validálás • személyes levelekpl. keresztnév, kártyaszám utolsó számjegyei, ügyintéző neve • Hivatkozás az előző levélre (sorszám) • Digitális aláírás • Web Portal levelezés • Képi/hang megszemélyesítés Web alkalmazás • input/output adatok ellenőrzése, • sessionID biztonság • URL kvalifikáció/szabályok, • Erős authentikáció, • Képek pl.: perszonalizálás, névváltoztatás, vízjel Kliens oldalSzerver oldalVállalati szint
Phishing/Whaling védekezés Domain követés • Lejárat és megújítás • Hasonló domain nevek figyelése Menedzselt szolgáltatások • 7x24 órás monitorozás Gateway szolgáltatások • Anti Virus, • Anti Spam, • Tartalomszűrés, • Proxy Kliens oldal Szerver oldalVállalati szint
Összefoglaló • A phishing/whaling támadás gyors ütemben növekedik, • Ez már nem „gyerekjáték”, bűnözők állnak mögötte, • A támadási variációk száma nagyon nagy, • A védekezés nagyon komplex feladat. • A jövő támadása a pharming!
Köszönöm szépen! Ha szüksége van erre a prezentációra, kérem küldjön egy emailt a papp.peter@kancellar.hu címre.