CyberSecurity defense radionice

Zdravo,

Na radionici u utorak smo pricali o Phishing napadima, kako izgledaju, kako ih prepoznati i ne nasesti na iste.
Pokazali smo kako za bilo koji email koji dobijete treba proveriti par bitnih stvari:

• Da li ocekujete taj mail.
• Da li znate ko je posiljalac - napadaci znaju da se lazno predstavlaju i koriste email adrese koje veoma slicno izgledaju kao legitimne adrese nekog od vasih kontakata.
• jezik i slovne greske - do sada su bile ucestale pojave da skemeri nisu najvestiji u sklapanju recenica na stranom jeziku i koriscenju kolokvijalog recnika pa je to moze biti jedan od indikatora phishing mail-a.
• Osecaj urgentnosti - napadac osim sto selazno predstavlja igra na kartu stvaranja vremenske presije da se mora odmah odreagovati kako zrtvi ne bi dao prostora da racionalno preispita situaciju,
  kao i druge.

Medjutim vrlo je vazno da sve sto mozete proverite kad god je to moguce izokola.
Na primer, ako vam se u mejlu trazi da uplatite neki novac za navodno zaostali dug ili neki zaostali racun, proverite na internetu da li se informacije iz mejla u kome se tvrdi da je to racun odredjene institucije ili entiteta bas taj. Uvek mozete naci web stranicu te organizacije kojoj navodno trebate uplatiti novac i proveriti na njihovom web sajtu ili naci kontakt telefon i proveriti putem poziva.

Bitno je i da koristite zdrav razum i ne zurite da otvorite attachment ili kliknete na link. Na primer ceste su bile prevare kada se napadac predstavlja kao FBI. Prvo FBI nema nadleznost u Srbiji i mora da saradjuje sa policijom, a drugo nebi se obracao mejlom vama nego drzavi kroz njihove kanale komunikacije pa bi policija licno dosla na adresu. To je recimo primer ociglednog phishinga koji racionalno i logicki mozete uvek da otkrijete bez ulazenje u detalje sta sve pise u mejlu jos i da li sadrzi linkove i attachment.

Takodje cesti phishing napadi su vezani za banke ili popuste i akcije za neke proizvode. U tim situacijama ako sumnjate da je mozda mejl legitiman pozovete banku ili proverite preko interneta dali su aktuelni popusti i akcije u tim prodavnicama pre nego sto kliknete na link ili otvorite sadrzaj mejla.

Logika i zdrav razum su prva linija odbrane.

Medjutim napadaci mogu da posalju mejl gde je adresa posiljaoca recimo fbi@fbi.gov i da se to prikazuje u From polju mejla u vasem omiljenom email klijentu. Medjutim to moze biti varka koja se desava kad vlasnik tog domena koga napadac impersonira nije pravilno podesio DNS zapise za email za svoj domen. Ti zapisis us SPF, DKIM i DMARC. SPF ukratko sprecava da neko drugi osim vas moze da salje mejlove sa vase adrese. Kada nije podesen za neki domen omogucava napadacima da se predstave da su posiljaoc sa te adrese. Recimo za NBS.RS pise da mogu da salju mejlove sa 194.79.43.182 i 194.79.43.181 adrese i samo odatle.

Postoji i dosta korisnih informacija za detaljniju istragu mejla ako se pogledaju hederi tj. zaglavlja email-a.
Firefox (CTRL+U):

Outlook:
Otvorite mejl, odete na File pa Properties i vidite polje Internet Headers

Ako sve to sto vam se potom prikaze kopirate u Email Header Analyzer, RFC822 Parser - MxToolbox
mozete detaljnije i preglednije videti da li su pomenuti DNS rekordi podeseni i ispravni za posiljaoca. Ako nisu to je prvi indikator da nesto nije kako treba. Ovde na slici recimo vidimo da su DMARC i SPF i DKIM ispravni.

Mozemo videti IP adresu posiljaoca i nju proveriti da li je slucajno maliciozna na raznim ThreatIntelligence platfomrmama:

• VirusTotal
• AbuseIPDB
• TalosIntelligence
• CriminalIP
• MXToolBox
• ThreatBook

Iz hedera mozete videti polja Reply-To i Return Path jer napadaci cesto zele da vas zavaru sa From adresom koju vidite i iz mejla ali da se odgovor vrati nnjima na njihovu adresu koju ne vidite dok ne otvorite hedere.
Za vise info pogledajte YT: https://youtu.be/3wwaYc_Yuhc i uputstvo Phishing - Email Header Analysis · nebraska-gencyber-modules

Ukoliko u mejlu dobijete URL najbolje je da ga kopirate samo pre otvaranja i ubacite u neki od narednih online free servisa kako bi ste proverili gde zapravo vodi i kako taj sajt izgleda:

• WhereGoes otkrice gde sve vodi i redirektuje link
• UnshortenIt otkriva takodje gde skraceni URL-ovi vode poput bit.ly
• ThreatBook
• VirusTotal
• URLScan za vas posecuje URL i prikazuje screenshot stranice
• Browserling interaktivno otvara stranicu u online sandbox pretrzivacu.

Kada se ovde uverite da je link bezbedan i ne vodi na neku nepoznatu stranu na kojoj vam se traze kredencijali od popularnih i poznatih web platformi mozete ga otvoriti i sa vaseg racunara.

Slicna stvar je i kada je attachment u pitanju. Najbolje ga je prvo otpremiti na neku od sledecih platformi na skeniranje pre pokretanja ili otvaranja:

• VirusTotal
• DocGuard

Treba napomenuti da se u nekim slucajevima radi o phisngu sa Gmail adrese,i u tom slucaju ako i email heder analiza pokaze da je mejl dosao sa Gmail-a necemo odatle dobiti mnogo drugih korisnih informacija i moramo da se vratimo na analizu sadrzaja mejla.
Napadaci cesto koriste automatizvoane otvorene alate za phsing kao sto su:

• GoPhish
• Zphisher

BnB phishing card1451×2000 297 KB

Medjutim postoje automatizovani otvoreni alati i za detekciju:

• ThePhish
• Bademail
• Sublime Security EML analyzer sacuva se email poruka kao .EML fajl i prosledi ovom alatu na analizu.
• Shuffle + Hive + Cortex = https://www.youtube.com/watch?v=oxwQoWyNMDs