Od začátku internetu byli jeho uživatelé cílem kybernetických útoků. Společně s rostoucí internetovou populací se rozrostla také bezpečnostní rizika. Proti těmto rizikům byla tvořena úspěšná bezpečnostní opatření, ovšem časem přišel kybernetický útok, který se nedá plně zastavit technologickými prostředky. Tento typ útoku, který se zaměřuje na manipulaci s lidmi je zvaný phishing a jeho úspěšnost roste rok co rok. V této práci vysvětlíme, proč jsou tyto útoky tak úspěšné, jak fungují, co znamená sociotechnika a co má společného s phishingem, jak vypadá budoucnost phishingu a proč hlavním způsobem, jak se oproti phishingu bránit, je vědět o něm dostatečně informací a regulerně trénovat na cvičných úto-cích. Z tohoto důvodu vytvoříme platformu pro tvorbu falešných přihlašovacích portálů a odesílání phishingových kampaní, která bude pro tento trénink použitelná.
Anotace v angličtině
Since the advent of internet its users have been targets of cyber attacks. Together with the rising internet population, the security risks have also been rising. Successful security measures have been made against these risks, however with time a cyber attack which cannot be fully stopped with technological meassures came. This type of attack, that focuses on manipulation of people, is called phishing and its success has been rising year by year. In this thesis we will explain why are these attack so successful, how they work, what is soci-otechnics and how it correlates with phishing, how does the future of phishing look, and why the main way to defend one against phishing is to know enough information about it, and regularily practice on training attacks. Because of that we will create a platform for creation of fake login portals and sending phishing campaigns, which could be used for such training.
Klíčová slova
phishing, spearphishing, sociální inženýrství, manipulace, virtualizace, Debian Linux
Klíčová slova v angličtině
phishing, spearphishing, social engineering, manipulation, virtualization, Debian Linux
Rozsah průvodní práce
107 s. (175495 znaků)
Jazyk
CZ
Anotace
Od začátku internetu byli jeho uživatelé cílem kybernetických útoků. Společně s rostoucí internetovou populací se rozrostla také bezpečnostní rizika. Proti těmto rizikům byla tvořena úspěšná bezpečnostní opatření, ovšem časem přišel kybernetický útok, který se nedá plně zastavit technologickými prostředky. Tento typ útoku, který se zaměřuje na manipulaci s lidmi je zvaný phishing a jeho úspěšnost roste rok co rok. V této práci vysvětlíme, proč jsou tyto útoky tak úspěšné, jak fungují, co znamená sociotechnika a co má společného s phishingem, jak vypadá budoucnost phishingu a proč hlavním způsobem, jak se oproti phishingu bránit, je vědět o něm dostatečně informací a regulerně trénovat na cvičných úto-cích. Z tohoto důvodu vytvoříme platformu pro tvorbu falešných přihlašovacích portálů a odesílání phishingových kampaní, která bude pro tento trénink použitelná.
Anotace v angličtině
Since the advent of internet its users have been targets of cyber attacks. Together with the rising internet population, the security risks have also been rising. Successful security measures have been made against these risks, however with time a cyber attack which cannot be fully stopped with technological meassures came. This type of attack, that focuses on manipulation of people, is called phishing and its success has been rising year by year. In this thesis we will explain why are these attack so successful, how they work, what is soci-otechnics and how it correlates with phishing, how does the future of phishing look, and why the main way to defend one against phishing is to know enough information about it, and regularily practice on training attacks. Because of that we will create a platform for creation of fake login portals and sending phishing campaigns, which could be used for such training.
Klíčová slova
phishing, spearphishing, sociální inženýrství, manipulace, virtualizace, Debian Linux
Klíčová slova v angličtině
phishing, spearphishing, social engineering, manipulation, virtualization, Debian Linux
Zásady pro vypracování
Specifikujte požadavky na systém s ohledem na jeho zabezpečení.
Vyberte vhodné komponenty systému při zaměření na Phishing a Spear Phishing.
Zpracujte víceúrovňový přístup do systému.
Navrhněte systém pro realizaci Phish a SpearPhis kampaní s jejich vyhodnocením.
Navržený systém implementujte v testovacích prosředí a ověřte jeho funkčnost.
Zásady pro vypracování
Specifikujte požadavky na systém s ohledem na jeho zabezpečení.
Vyberte vhodné komponenty systému při zaměření na Phishing a Spear Phishing.
Zpracujte víceúrovňový přístup do systému.
Navrhněte systém pro realizaci Phish a SpearPhis kampaní s jejich vyhodnocením.
Navržený systém implementujte v testovacích prosředí a ověřte jeho funkčnost.
Seznam doporučené literatury
MICHELE FINCHER. Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails. 2015. ISBN 9781118958476. Dostupné také z: https://search.ebscohost.com/login.aspx?direct=true&db=edsebk&an=969390&scope=site.
HADNAGY, Christopher. Social engineering: the science of human hacking. Second edition. Indianapolis, IN: John Wiley & Sons, [2018], 1 online resource. ISBN 9781119433729. Dostupné také z: https://proxy.k.utb.cz/login?url=https://onlinelibrary.wiley.com/doi/book/10.1002/9781119433729.
SIADATI, Hossein, Toan NGUYEN, Nasir MEMON, et al. X-Platform Phishing: Abusing Trust for Targeted Attacks Short Paper. Financial Cryptography and Data Security: FC 2017 International Workshops, WAHC, BITCOIN, VOTING, WTSC, and TA, Sliema, Malta, April 7, 2017, Revised Selected Papers [online]. 2017, 10323, 587-596 [cit. 2022-11-30]. ISBN 9783319702773. ISSN 03029743. Dostupné z: doi:10.1007/978-3-319-70278-0_37.
CHIEW, Kang Leng, Kelvin Sheng Chek YONG a Choon Lin TAN. A survey of phishing attacks: Their types, vectors and technical approaches. Expert Systems with Applications [online]. 2018, 106, 1-20 [cit. 2022-11-30]. ISSN 09574174. Dostupné z: doi:10.1016/j.eswa.2018.03.050.
AIBEKOVA, Altynai a Vinesha SELVARAJAH. Offensive Security: Study on Penetration Testing Attacks, Methods, and their Types. 2022 IEEE International Conference on Distributed Computing and Electrical Circuits and Electronics (ICDCECE), Distributed Computing and Electrical Circuits and Electronics (ICDCECE), 2022 IEEE International Conference on [online]. 2022, 1-9 [cit. 2022-11-30]. ISBN 9781665483162. ISSN edseee.IEEEConferenc. Dostupné z: doi:10.1109/ICDCECE53908.2022.9792772.
ILCA, Florin a Titus BALAN. Phishing as a Service Campaign using IDN Homograph Attack. 2021 International Aegean Conference on Electrical Machines and Power Electronics (ACEMP) [online]. 2021, 338-344 [cit. 2022-11-30]. ISBN 9781665402989. ISSN edseee.IEEEConferenc. Dostupné z: doi:10.1109/OPTIM-ACEMP50812.2021.9590028.
Seznam doporučené literatury
MICHELE FINCHER. Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails. 2015. ISBN 9781118958476. Dostupné také z: https://search.ebscohost.com/login.aspx?direct=true&db=edsebk&an=969390&scope=site.
HADNAGY, Christopher. Social engineering: the science of human hacking. Second edition. Indianapolis, IN: John Wiley & Sons, [2018], 1 online resource. ISBN 9781119433729. Dostupné také z: https://proxy.k.utb.cz/login?url=https://onlinelibrary.wiley.com/doi/book/10.1002/9781119433729.
SIADATI, Hossein, Toan NGUYEN, Nasir MEMON, et al. X-Platform Phishing: Abusing Trust for Targeted Attacks Short Paper. Financial Cryptography and Data Security: FC 2017 International Workshops, WAHC, BITCOIN, VOTING, WTSC, and TA, Sliema, Malta, April 7, 2017, Revised Selected Papers [online]. 2017, 10323, 587-596 [cit. 2022-11-30]. ISBN 9783319702773. ISSN 03029743. Dostupné z: doi:10.1007/978-3-319-70278-0_37.
CHIEW, Kang Leng, Kelvin Sheng Chek YONG a Choon Lin TAN. A survey of phishing attacks: Their types, vectors and technical approaches. Expert Systems with Applications [online]. 2018, 106, 1-20 [cit. 2022-11-30]. ISSN 09574174. Dostupné z: doi:10.1016/j.eswa.2018.03.050.
AIBEKOVA, Altynai a Vinesha SELVARAJAH. Offensive Security: Study on Penetration Testing Attacks, Methods, and their Types. 2022 IEEE International Conference on Distributed Computing and Electrical Circuits and Electronics (ICDCECE), Distributed Computing and Electrical Circuits and Electronics (ICDCECE), 2022 IEEE International Conference on [online]. 2022, 1-9 [cit. 2022-11-30]. ISBN 9781665483162. ISSN edseee.IEEEConferenc. Dostupné z: doi:10.1109/ICDCECE53908.2022.9792772.
ILCA, Florin a Titus BALAN. Phishing as a Service Campaign using IDN Homograph Attack. 2021 International Aegean Conference on Electrical Machines and Power Electronics (ACEMP) [online]. 2021, 338-344 [cit. 2022-11-30]. ISBN 9781665402989. ISSN edseee.IEEEConferenc. Dostupné z: doi:10.1109/OPTIM-ACEMP50812.2021.9590028.
Přílohy volně vložené
-
Přílohy vázané v práci
-
Převzato z knihovny
Ne
Plný text práce
Přílohy
Posudek(y) oponenta
Hodnocení vedoucího
Záznam průběhu obhajoby
Diplomant odprezentoval před komisí hlavní cíle a výsledky své diplomové práce. Prezentace působila dobrým dojmem, student vystihl hlavní body práce. Následně byl student seznámen s posudky vedoucího a oponenta diplomové práce. Diplomant postupně odpověděl na otázky vedoucího a oponenta práce.
Komise vznesla k obhajobě následující dotazy:
1) doc. Prokopová: Někde jsem tam zahlédla použití databáze. Co jste používal?
2) doc. Prokopová: Máte někde strukturu databáze v práci?
3) dr. Viktorin: Proč jste dostal hodnocení za práci s literaturou E? Máte k tomu vyjádření vedoucího?
4) dr. Viktorin: Jaké máte plány s prací do budoucna?
5) dr. Viktorin: Porovnával jste své řešení s existujícími?
6) dr. Králík: Nad custom headers jste neuvažoval?