Problemi di sicurezza tecnica con l'esecuzione proattiva di una campagna di phishing indirizzata ai propri utenti

Dipende dal tipo di attacchi di phishing a cui gli utenti cadono regolarmente vittime. Se cadono vittima di "scrivimi le tue credenziali", ma non "fai clic su questo link", hai degli utenti molto strani.

Altrimenti, se cadono su entrambi, o se cadono su link creati, puoi impostare un server locale e impostare un sito di phishing. Ciò garantirà che nessuna credenziale lasci la tua rete, pur consentendo l'obiettivo finale: capire chi è caduto per questo. Ciò significa anche che hai un po 'più di controllo dato che tutto avviene localmente.

Tuttavia, ci sono un paio di punti che hanno sollevato un sopracciglio:

• Se alcuni dei tuoi utenti utilizzano un server SMTP esterno, significa che lungo la linea, non hai alcun record SPF per il dominio in cui si trovano le cassette postali, o hai un record SPF eccessivamente permissivo. Questo è un problema importante poiché rende le email di phishing banali da creare per sembrare "buone": tutto ciò che un phisher deve trovare è un relay aperto. Prendi in considerazione l'aggiunta di un record SPF restrittivo e informa gli utenti di utilizzare il server SMTP (+ TLS o GTFO)
• Perché vuoi vergognare i tuoi utenti? Le statistiche di disegno sono un uso molto migliore dei dati. Naming & il vergognare porta le persone a essere individuate su qualcosa di relativamente banale (o un errore che tutti potremmo fare), porta le persone a partire per un pascolo più verde.

Non vergognare i tuoi utenti. La vergogna è facilmente ignorata. Per essere efficace, devi rivalersi sui tuoi utenti. Se soccombono al falso phishing, picchialo, frustalo e poi licenziarlo. Inoltre, richiedi il numero della carta di credito o i dettagli bancari nell'e-mail di phishing e saccheggia i conti degli utenti malintenzionati che si sono trovati a farlo. Assicurati di caricare anche immagini pedopornografiche nei loro sistemi desktop e poi denunciarli all'FBI. Ricorda che un buon utente è un utente insoddisfatto, tremante di paura, pieno di risentimento e sull'orlo del crollo nervoso. Solo allora sarà produttivo ed efficiente.

...

Nonostante il sarcasmo, maltrattare i propri utenti attraverso un falso phishing, oltre a essere moralmente discutibile e illegale nella maggior parte dei paesi, sembra anche una cosa stupida da fare in primo luogo.

Se sei davvero intenzionato a interpretare il ruolo dell'attaccante, dovrai operare come fanno gli hacker di successo - il che comporterà l'associazione con individui indigenti come gli operatori di botnet, che vendono servizi di invio di e-mail di massa agli spammer.

Per me questa idea sembra più una scatola di Pandora:
- Metti da parte le buone intenzioni, è intrappolamento / allettamento che può finire in un tribunale (a meno che tu non sia una specie di ente governativo / regolamentato in cui l'hai coperto). per esempio. l'utente può richiedere che il suo conto bancario sia stato svuotato esattamente dopo questa "campagna antiphishing"; - Confonderà gli utenti in modo irreparabile - tu fai il test, loro prendono il morso, tu torni a loro con 'vergogna su di te', loro inconsciamente annoteranno questo come 'Ah, se è una mail di phishing allora viene da i nostri ragazzi IT ", quindi il vero tentativo di phishing viene fornito con parole intelligenti" ad es Salve, questo è il tuo reparto IT che effettua il controllo sulla violazione degli account recenti, fai clic su ... '

L'unico modo in cui potrei prendere in considerazione questo approccio se richiesto sarebbe quello di inviare una bella e-mail da un server non ufficiale che collegherebbe a un URL non standard e registrato a terzi, ma comunque connesso a un non -IP IP comunemente utilizzato sui server controllati dall'organizzazione corretta.

In questo modo, le persone che ne sono vittima non compromettono alcuna informazione e possono invece essere utilizzate per spiegare cos'è il phishing e come evitarlo al meglio. Inoltre, non proverei a vergognarli. Probabilmente non sarei nemmeno in grado di rendere ovvio che sono caduti per un attacco di phishing nel momento in cui si connettono, ma preferiscono che il servizio clienti li chiami e ne parli con loro.

L'unico modo in cui sarà ben accolto è se ogni fase del processo protegge le loro informazioni e viene avvicinata come un servizio educativo per aiutarli rispetto a un "test". Se lo percepiscono come un test, otterranno più risentimento che fornire un servizio educativo utile.

Un altro modo per farlo potrebbe essere semplicemente inviare l'e-mail dal falso indirizzo e-mail e in realtà rivelare che si tratta di una e-mail di phishing nella stessa e-mail e spiegare alcuni di ciò che dovrebbero apparire per un vero messaggio proprio nel falso messaggio che invii. È molto più facile da implementare e probabilmente sarà meglio ricevuto e altrettanto efficace.