Kibernetskavarnostpodjetij-vdorivinterneposlovnesistemeprekozlonamerneelektronskepoˇste GaˇsperBoˇziˇc

(1)

Fakulteta za raˇ cunalniˇ stvo in informatiko

Gaˇsper Boˇziˇc

Kibernetska varnost podjetij - vdori v interne poslovne sisteme preko

zlonamerne elektronske poˇ ste

DIPLOMSKO DELO

UNIVERZITETNI ˇSTUDIJSKI PROGRAM PRVE STOPNJE

RA ˇCUNALNIˇSTVO IN INFORMATIKA

Mentor : doc. dr. Dejan Lavbiˇ c

Ljubljana, 2021

(2)

besedilo, slike, grafi in druge sestavine dela kot tudi rezultati diplomskega dela lahko prosto distribuirajo, reproducirajo, uporabljajo, priobˇcujejo javnosti in pre- delujejo, pod pogojem, da se jasno in vidno navede avtorja in naslov tega dela in da se v primeru spremembe, preoblikovanja ali uporabe tega dela v svojem delu, lahko distribuira predelava le pod licenco, ki je enaka tej. Podrobnosti licence so dostopne na spletni strani creativecommons.si ali na Inˇstitutu za intelektualno lastnino, Streliˇska 1, 1000 Ljubljana.

Izvorna koda diplomskega dela, njeni rezultati in v ta namen razvita programska oprema je ponujena pod licenco GNU General Public License, razliˇcica 3 (ali novejˇsa). To pomeni, da se lahko prosto distribuira in/ali predeluje pod njenimi pogoji. Podrobnosti licence so dostopne na spletni strani http://www.gnu.org/

licenses/.

Besedilo je oblikovano z urejevalnikom besedil L^ATEX.

(3)

Naslov: Kibernetska varnost podjetij - vdori v interne poslovne sisteme preko zlonamerne elektronske poˇste

Vrsta naloge: Diplomska naloga na univerzitetnem programu prve stopnje Raˇcunalniˇstvo in informatika

Mentor: doc. dr. Dejan Lavbiˇc

Opis:

ˇSirˇse podroˇcje raˇcunalniˇske varnosti je ˇse posebej pomembno na podroˇcju poslovnih informacijskih sistemov, kjer pogosto prihaja do razliˇcnih vdo- rov. V okviru diplomske naloge se osredotoˇcite na napade preko zlonamerne elektronske poˇste. S pomoˇcjo razliˇcnih predlog zlonamerne elektronske poˇste preuˇcite riziˇcnost posameznih skupin uporabnikov v izbranem podjetju.

Opredelite ustrezne metrike in rezultate kritiˇcno ovrednotite.

Title: Enterprise cyber security - security breaches of internal business sy- stems via phishing attacks

(4)

(5)

kratica angleˇsko slovensko MEAN MongoDB, Express.js, An-

gularJS (or Angular), and Node.js

MongoDB, Express.js, Angu- larJS (ali Angular) in Node.js IT Information technology Informacijska tehnologija BEC Business Email Compromise ogroˇzenost poslovne e-poˇste

JS Java Script Java Script

VM Virtual Machine Navidezni stroj

SMTP Simple Mail Transfer Protocol Preprost protokol za prenos elektronske poˇste

IP Internet protocol Internetni protokol

HTML Hyper-Text markup language programski jezik za oznaˇcevanje nadbesedila CRUD Create, Read, Update, Delete Kreiranje, Branje, Posodobi-

tev, Brisanje

CSV Comma Separated Values Vrednosti, loˇcene z vejicami SPA Single Page Application Aplikacija na eni strani JSON JavaScript object notation Notacija objekta v obliki pro-

gramskega jezika JavaScript DNS Domain Name System Sistem domenskih imen

(6)

URL Uniform Resource Locator Spletni naslov vira

IVR Interactive Voice Response Interaktivni glasovni odziv

MITM Man-in-the-middle Posrednik

ZDA United States of America Zdruˇzene drˇzave Amerike SMS Short Message Service Storitev za kratka sporoˇcila /

telefonsko sporoˇcilo

ID Identification Identifikacija

SPAM unsolicited usually commercial messages

Nezaˇzelena poˇsta

(7)

Povzetek Abstract

1 Uvod 1

2 Pregled podroˇcja 3

2.1 Metode laˇznega predstavljanja . . . 4

2.2 Generiˇcen potek napada . . . 5

2.3 Predhodnje statistike in raziskave . . . 5

2.4 Protiukrepi . . . 9

2.5 Obstojeˇce aplikacijske reˇsitve v problemski domeni sistemov za prepreˇcevanje laˇznega predstavljanja . . . 11

3 Uporabljene tehnologije in metode 15 3.1 Izdelava interne spletne aplikacije . . . 15

3.2 Testiranje . . . 16

4 Zasnova in izdelava aplikacije 19 4.1 Problem . . . 19

4.2 Fiziˇcni pogled in postavitev v omreˇzju . . . 19

4.3 Entitete . . . 22

4.4 Funkcionalnosti . . . 36

4.5 Celni del . . . .ˇ 37 4.6 Zaledni del . . . 38

(8)

5 Metodologija testiranja 41

5.1 Anonimizacija podatkov . . . 41

5.2 Algoritmi za naˇcrtovanje testiranja . . . 41

5.3 Priprave na testiranje . . . 44

5.4 Poletna kampanja . . . 44

6 Analiza rezultatov testiranja 51 6.1 Rezultati . . . 52

7 Sklepne ugotovitve 65

(9)

Naslov: Kibernetska varnost podjetij - vdori v interne poslovne sisteme preko zlonamerne elektronske poˇste

Avtor: Gaˇsper Boˇziˇc

Diplomska naloga zajema podroˇcje poslovne kibernetske varnosti, specifiˇcno problem napadov preko elektronskih poˇst, kjer napadalec poskuˇsa z uporabo socialnega inˇzeniringa ˇzrtev pripraviti do tega, da mu zaupa, ter po- slediˇcno izda zasebne podatke, ki bi utegnili biti priroˇcni za vdor v poslovni sistem oz. za laˇzno predstavljanje drugim organom sistema, do katerih ima ˇzrtev dostop. Za namene diplomske naloge je bila izdelana aplikacija, ki je sluˇzila kot interna spletna aplikacija, zgrajena na temeljih tehnologije sklada MEAN, ki je omogoˇcala izvajanje penetracijskih testov in tako nudila po- droben vpogled v to, kakˇsni usluˇzbenci so ranljivi na razliˇcne vrste napadov, kjer se je usluˇzbence delilo glede na njihove demografske in poslovne karakteristike (spol, leto rojstva, leta izkuˇsenj, poloˇzaj v podjetju ...). Osrednji rezultat diplomskega dela je dober vpogled v to, kateri usluˇzbenci so najbolj ranljivi in katere vrste zlonamernih elektronskih poˇst so najbolj uspeˇsne, hkrati pa je dodatni rezultat diplomske naloge sama aplikacija kot izdelek.

Pri izvedbi eksperimenta v podjetju je od 1.384 poslanih elektronskih poˇst (173 udeleˇzencem je bilo poslanih po 8 razliˇcnih primerov zlonamerne elektronske poˇste) pri 8 % (110) bila zapisana interakcija s telesom e-poˇste. Iz pridobljenih rezultatov je bilo mogoˇce dobro analizirati uspeˇsnost posameznih elektronskih poˇst, kjer je s 26 % uspeˇsnostjo prevladovala e-poˇsta, ki je subjekte nagovarjala k temu, da preverijo zapis svojega dopusta v novem

(10)

stiki stopnje riziˇcnosti glede na starost je razvidno, da obˇcutljivost subjekta na tovrstne napade raste sorazmerno z njegovo starostjo, kjer je najmlajˇsi interval (od vkljuˇcno 20 do vkljuˇcno 29 let) dosegel 3 % stopnjo riziˇcnosti, najstarejˇsi (od vkljuˇcno 60 do vkljuˇcno 69 let) pa 13 % obˇcutljivost. Prav tako je stopnja riziˇcnosti naraˇsˇcala sorazmerno z delovno dobo subjekta z iz- jemo ene anomalije, ki jo je predstavljal interval od vkljuˇcno 20 do vkljuˇcno 24 let. Med najbolj kritiˇcne po stopnji riziˇcnosti izmed poloˇzajev v podjetju sta se na prvo mesto s 50 % stopnjo riziˇcnosti uvrstila vodja interne logistike in predpripravnik dela v proizvodnji.

Kljuˇcne besede: kibernetska varnost podjetij, zlonamerna elektronska poˇsta, aplikacija, testiranje, analiza.

(11)

Title: Enterprise cyber security - security breaches of internal business sys- tems via phishing attacks

Author: Gaˇsper Boˇziˇc

The diploma thesis covers the field of business cyber security, specifically the problem of phishing attacks, where the attacker tries to use social engineering techniques to persuade the victim to trust him and consequently issue private data that could be convenient for a security breach of a business system or to misrepresent other organs of the system to which the victim has access.

For the diploma thesis, an application was created that served as an internal web application, built on the foundations of MEAN stack technology, which enabled the implementation of penetration tests and thus provided a detailed insight into which types of employees are vulnerable to different types of attacks. Employees were examined according to their demographic and business characteristics (gender, year of birth, years of experience, po- sition in the company ...). The expected outcome of the experiment was a good insight into which types of employees are most vulnerable and which types of malicious e-mails are the most successful, and at the same time, the additional result of this project was the application itself as a product.

During the experiment at the company, out of 1.384 e-mails sent (173 par- ticipants were sent 8 different cases of malicious e-mail), approximately 8 % (110) recorded interaction with the body of the e-mail. From the obtained results it was possible to well analyze the performance of individual e-mails, where a 26 % success rate was dominated by an e-mail, which encouraged

(12)

attacks were most successful in the commercial sector. Age-related risk level statistics show that a subject’s susceptibility to such attacks increases in proportion to his or her age, with the youngest interval (20 to 29 years inclusive) reaching a 3 % risk level and the oldest interval (60 to 69 inclusive years) a 13 % sensitivity. Furthermore, the level of risk increased in proportion to the length of service (measured in years) of the subject except for one anomaly, which was represented by an interval of 20 to 24 years inclusive. Among the most critical in terms of the level of risk among the positions in the company, the ”head of internal logistics” and ”preparation for work” ranked first with a 50 % level of risk.

Keywords: enterprise cyber security, malicious e-mail, application, testing, analysis.

(13)

Uvod

Kibernetska varnost igra veliko vlogo v poslovnem svetu informacijskih sistemov, kjer so podatki in njihova integriteta ter zaˇsˇcita nepogreˇsljiv dejavnik.

Izdelava tega diplomskega dela je posledica dolgoletnega zanimanja za tovr- stno podroˇcje in moˇznost izvajanja testiranja na veˇcji populaciji usluˇzbencev podjetja, pri katerem sem trenutno zaposlen kot ˇstudent raˇcunalniˇstva in in- formatike.

Recimo, da ste direktor nekega hitro rastoˇcega podjetja, katerega rast je omogoˇcil razvoj inovativne spletne aplikacije, ki deluje kot neke vrste sef, kjer lahko uporabniki hranijo samostojna ali skupinska gesla za dostop do poljubnih storitev. Zaradi velikega povpraˇsevanja in potrebi po evoluciji se odloˇcite poveˇcati kader za potrebe raˇcunovodstva, odnosov z javnostjo, kadrovskega managementa itd. Po nekaj tednih usklajenega delovanja se vaˇsa podatkovna baza ˇsifriranih gesel uporabnikov pospeˇseno poveˇcuje. Ker verjamete v svoj varnostni sistem in svoje dobro postavljene poˇzarne zidove, imate varnostne kopije podatkovne baze na isti fiziˇcni lokaciji v istem omreˇzju ampak le na drugih spletnih streˇznikih.

Med delavnikom raˇcunovodski oddelek dobi elektronsko poˇsto, ki zahteva, da se bralec ob dostopu do sporoˇcila ponovno vpiˇse v portal z zasebnimi podatki svojega poslovnega raˇcuna. Po neuspeˇsnem vpisu (na laˇzni vpisni sple-

1

(14)

tni strani) se eden izmed prejemnikov sprehodi do IT oddelka in povpraˇsa po integriteti elektronske poˇste, ki jo je prejel pred nekaj minutami. Medtem ko se IT oddelek osredotoˇca na vsebino in povezave v elektronskem sporoˇcilu, napadalci dobijo dostop do vaˇsega internega omreˇzja, v katerem s pomoˇcjo virusa zaˇsifrirajo vse podatke s svojim ˇsifrirnim kljuˇcem. To povzroˇci, da so gesla vseh uporabnikov po vseh podatkovnih bazah ponovno zaˇsifrirana, zatorej neuporabna. Vaˇse podjetje je zaradi neustreznega delovanja enega izmed usluˇzbencev poslediˇcno utrpela ˇskodo, ki jo lahko prisili k steˇcaju in ˇstevilnim toˇzbam s strani prizadetih uporabnikov.

Socialni inˇzeniring je umetnost prevare uporabnikov za namen ogrozitve informacijskih sistemov. Namesto tehniˇcnih napadov na sisteme socialni inˇzenirji ciljajo na ljudi z dostopom do informacij, z njimi manipulirajo, da razkrijejo zaupne informacije ali pa celo izvedejo zlonamerne napade z vpli- vom in prepriˇcevanjem. Tehniˇcni zaˇsˇcitni ukrepi so obiˇcajno neuˇcinkoviti proti takˇsnim napadom. Poleg tega ljudje na sploˇsno verjamejo, da so dobri pri odkrivanju takˇsnih napadov. [22]

V diplomskem delu bo podrobno obravnavan problem napadov preko elektronske poˇste (angl. phishing) v poglavju 2, ki mu bo v poglavju 3 sledila predstavitev tehnologij, uporabljenih za razvoj aplikacije, razvite v okviru diplomskega dela, katere namen je testiranje odpornosti skupin posamezni- kov na napade z razliˇcnimi vrstami elektronskih poˇst, kar je predstavljeno v poglavju 4. V nadaljevanju bodo v poglavju 5 opredeljeni podatki za namene testiranja in priprave na testiranje, temu pa bo sledila podrobna analiza rezultatov testiranja v poglavju 6.

(15)

Pregled podroˇ cja

Diplomska naloga se nanaˇsa na podroˇcje poslovne kibernetske varnosti, ki spada pod vejo poslovne varnosti (angl. enterprise security), konkretno v sektor zlorab in napadov preko elektronskih poˇst, kjer je osredotoˇcenost predvsem na podatkovnih centrih, omreˇzju ter operacijah in praksah na spletnih streˇznikih, kljub temu pa se zaˇcne pri ˇcloveˇskih virih. Glavni vzrok za veˇc kot polovico uspeˇsnih kibernetskih napadov preko elektronske poˇste lahko pripiˇsemo socialnemu inˇzeniringu (angl. social engineering), kjer napadalec izrabi ˇsibkost ˇcloveˇske narave, integriteto zaposlenih ali naivnost ˇzrtve. [9]

Ena izmed najpogostejˇsih oblik socialnega inˇzeniringa so napadi preko elektronske poˇste, ki spodbudijo zaposlene, da s pritiskom na povezave, iz- polnjevanjem laˇznih obrazcev, prenosom zlonamernih datotek itd., omogoˇcijo napadalcu dostop do obˇcutljivih podatkov podjetja.

Laˇzno predstavljanje je kriminalna dejavnost, pri kateri se socialni inˇzeniring in tehniˇcna sredstva uporabljajo za krajo osebnih podatkov potroˇsnikov, poverilnic finanˇcnih raˇcunov itd. [14]

3

(16)

2.1 Metode laˇ znega predstavljanja

Cez leta so na tem podroˇˇ cju v uporabo priˇsle razliˇcne tehnike tovrstnih napadov.

• Usmerjen napad laˇznega predstavljanja (angl. spear-phishing):

Ena izmed najuspeˇsnejˇsih tehnik laˇznega predstavljanja je ”usmerjen napad” laˇznega predstavljanja. Usmerjeno laˇzno predstavljanje se nanaˇsa na napad, usmerjen proti skupini, organizaciji ali posame- zniku. Ta metoda je postala vse bolj priljubljena in je nadomestila bolj obiˇcajne tehnike, kot sta nakljuˇcno in mnoˇziˇcno laˇzno predstavljanje po e-poˇsti. Razlog za to je v tem, da ima metoda veliko veˇcjo uspeˇsnost kot druge, bolj sploˇsne metode. Vsebina laˇznega e-poˇstnega sporoˇcila je namreˇc prilagojena prejemniku, zato je manj verjetno, da bo vzbudil sum. [18]

• Metoda ”drive-by pharming”:

Napadalec ustvari spletno stran, ki, ob vstopu ˇzrtve (preko brskalnika, ki podpira JavaScript), poskuˇsa spremeniti nastavitve DNS streˇznika na njenem domaˇcem ˇsirokopasovnem usmerjevalniku. Kot rezultat napada, na prihodnje DNS poizvedbe odgovarja DNS streˇznik po izbiri napadalca. Napadalec lahko tako usmeri ˇzrtev v internetni promet do napadalˇcevih spletnih mest, ne glede na to, do katere domeno ˇzrtev de- jansko ˇzeli dostopati, kar lahko privede do ogroˇzanja poverilnic ˇzrtve.

[30]

• CEO prevara (angl. CEO fraud):

Znana tudi kot BEC (angl. Business Email Compromise), je metoda pri kateri napadalec uporabi imena sodelavcev ali poslovnih partnerjev, da e-poˇstnemu sporoˇcilu, neposrednemu sporoˇcilu ali profilu na socialnem omreˇzju doda legitimen vtis - predstavlja se kot direktor podjetja, kjer npr. finanˇcnemu direktorju poˇslje e-poˇstno sporoˇcilo z laˇznega raˇcuna, v katerem prosi za nujen prenos finanˇcnih sredstev. To temelji

(17)

na predpostavki, da finanˇcni direktor ne bi dvomil o motivih ˇsefa oz.

nadrejenega in bi takoj opravil prenos sredstev. [8]

• Druge metode:

Obstajajo ˇse druge tehnike za inicializacijo napadov, kot so ponarejeni URL-ji (angl. spoofed URL), laˇzni IVR (angl. Bogus IVR), uporaba druˇzabnih omreˇzij (angl. social networking techniques), napad s posre- dnikom (angl. man-in-the-middle attack - MITM) itd. [3]

2.2 Generiˇ cen potek napada

Generiˇcni napad poteka v veˇc korakih [27]:

1. Naˇcrtovanje: napadalci obiˇcajno zaˇcnejo naˇcrtovati napad tako, da identificirajo svoje ˇzrtve, doloˇcijo informacije, ki jih je treba pridobiti in tehniko, ki jo bodo uporabili v napadu. Glavni vidik, ki ga napadalci upoˇstevajo pri izbiri svojih ciljev, je, kako doseˇci najviˇsji dobiˇcek po najniˇzjih stroˇskih in najmanjˇsem tveganju.

2. Zbiranje podatkov: takoj, ko ˇzrtev izvede interakcijo, zaradi ˇcesar je dovzetna za tatvino podatkov, je nato pozvana, da svoje poverilnice po- sreduje na zaupanja vredni spletni strani. Obiˇcajno ponarejeno spletno mesto gostuje na ogroˇzenem streˇzniku, ki ga je napadalec izkoristil v ta namen.

3. Goljufija: Ko napadalec doseˇze svoj cilj, nato izvede goljufijo s pomoˇcjo laˇznega predstavljanja v ˇzrtvinem imenu. Pogosto se informacije po uspeˇsnem napadu prodajo na ˇcrnem trgu.

2.3 Predhodnje statistike in raziskave

Po zadnjih statistiˇcnih podatkih o laˇznem predstavljanju, ki jih je objavilo podjetje Security Boulevard, so do sredine leta 2020 trendi tovrstnih napadov

(18)

postali zaskrbljujoˇci, saj so le-ti postali zelo ustvarjalni, kjer je najpogosteje izkoriˇsˇcena globalna pandemija bolezni Covid-19. [7];

• Pribliˇzno 86 % napadov je vkljuˇcevalo zlonamerna e-poˇstna sporoˇcila brez zlonamerne programske opreme; namesto le-te so se vse pogosteje uporabljale nove napredne metode, kot so usmerjeno laˇzno predstavljanje, posebna vrsta usmerjenega laˇznega predstavljanja, kjer napadalci izbirajo tarˇce z viˇsjo stopnjo avtorizacije, goljufije generalnih direktor- jev itd.

• Veˇc kot 88 % organizacij, zajetih v poroˇcilu, je leta 2019 poroˇcalo o napadih z laˇznim predstavljanjem, kar je povzroˇcilo, da je 46 % prejelo zahteve za odkupnino, 25 % malih in srednje velikih podjetij pa je trpelo zaradi napadov laˇznega predstavljanja.

• Aprila 2020 so kibernetski kriminalci poslali 18 milijonov laˇznih sporoˇcil v zvezi s Covid-19. Podjetje Google je poroˇcalo, da je blokiralo veˇc kot 250 milijonov neˇzelenih in laˇznih e-poˇstnih sporoˇcil, katerih vsebina se navezuje na pandemijo Covid-19.

• Vsakih 20 sekund se registrira in zaˇzene nov portal za laˇzno predstavljanje, ki zdaj vkljuˇcuje tudi laˇzne napade, povezane s Covid-19. Med januarjem in marcem 2020 je bilo po vsem svetu registriranih 51.000 zlonamernih domen na temo koronavirusa.

• Skoraj 60 % krˇsitev podatkov (angl. data breach) je posledica ˇcloveˇske napake. Sem spadajo usposobljeni in nepouˇceni zaposleni, ki so postali ˇzrtve napadov z laˇznim predstavljanjem, ki so samo v letu 2019 povzroˇcili pribiliˇzno 3,5 milijona dolarjev izgube.

• Najveˇcji vir poˇsiljateljev zlonamerne elektronske poˇste je priˇsel iz Ki- tajske (veˇc kot 22 %), temu pa sledijo ZDA s 15 % in Rusija s 6 %.

Pri obravnavi individualnih razlik v dovzetnosti za laˇzno predstavljanje je osebnost pomemben dejavnik, ki je pritegnil pozornost ˇstevilnih raziskoval-

(19)

cev. Na sploˇsno je velikih pet osebnostnih lastnosti (angl. Big Five per- sonality traits) (tj. odprtost, vestnost, ekstrovertiranost, prijaznost in ne- vrotizem) v razliˇcni meri povezanih z dovzetnostjo za laˇzno predstavljanje.

ˇStudije so pokazale pozitivno povezavo med odprtostjo in dovzetnostjo za laˇzno predstavljanje. Raziskovalci [4, 16] so ugotovili, da so se udeleˇzenci z viˇsjo odprtostjo bolj verjetno odzvali na laˇzna e-poˇstna sporoˇcila in imeli veˇcje tveganje napada. Raziskava [16] ugotavlja, da posamezniki z visoko odprtostjo objavljajo veˇc informacij na socialnem omreˇzju Facebook in imajo manj stroge nastavitve zasebnosti, zaradi ˇcesar so lahko ranljivi za napade na zasebnost. Podobno je bilo ugotovljeno, da je prijaznost pozitivno povezana z dovzetnostjo za laˇzno predstavljanje, ker se bodo udeleˇzenci z viˇsjo prijaznostjo bolj strinjali z zahtevami po e-poˇsti, kliknili povezave in razkrili svoje podatke. Nasprotno pa so uˇcinki vesti, ekstrovertiranosti in nevrotizma na dovzetnost za laˇzno predstavljanje neskladni. Predhodne ˇstudije so pokazale, da vestnost negativno napoveduje namen krˇsenja politik kibernetske varnosti. Vendar pa je ena ˇstudija pokazala, da so bolj vestni udeleˇzenci, ki so jim bila poslana e-poˇstna sporoˇcila z laˇznim predstavljanjem, pogosteje kliknili povezave v e-poˇstnih sporoˇcilih. Raziskovalci v [5] so ugotovili, da je veˇcja vestnost napovedala manj varno vedenje uporabnikov, ki ni dovzetno za laˇzno predstavljanje. Nekatere ˇstudije so opazile zanemarljiv uˇcinek vestnosti na dovzetnost za laˇzno predstavljanje. ˇStudije o uˇcinku ekstrovertiranosti so prav tako pokazale meˇsane ugotovitve. Modic in Lea [26] sta udeleˇzence pro- sila, naj poroˇcajo o svojih izkuˇsnjah z goljufijami na internetu v zadnjih treh letih, rezultati pa so pokazali, da bi lahko ekstrovertiranost negativno napovedala obnaˇsanje udeleˇzencev ob internetnih goljufijah, vkljuˇcno z laˇznim predstavljanjem. V ˇstudiji o diskriminaciji pri e-poˇsti so rezultati pokazali, da so subjekti, ki so bili introvertirani in konservativni glede novih stvari, bolj verjetno izbrisali zakonita e-poˇstna sporoˇcila. Alseadoon idr. [4] so v ˇstudiji odkrili, da so se udeleˇzenci z visoko ekstrovertiranostjo bolj verjetno odzvali na e-poˇstna sporoˇcila z laˇznim predstavljanjem. Welk idr. [32] so ugotovili, da je ekstrovertiranost negativno povezana z natanˇcnostjo laˇznega

(20)

predstavljanja. Ti na videz nasprotujoˇci si rezultati kaˇzejo, da vpliv ekstrovertiranosti na obˇcutljivost za laˇzno predstavljanje obstaja in ga je treba ˇse raziskati. Glede uˇcinka nevrotizma na eni strani ljudje, ki so nevrotiˇcni ali ob- sedeni s samim seboj, ne razkrivajo osebnih podatkov, kar zmanjˇsuje njihovo dovzetnost za laˇzno predstavljanje. Po drugi strani je Vishwanath [31] ugo- tovil, da so subjekti z visoko oceno nevrotizma pogosteje kliknili povezave v e-poˇstnih sporoˇcilih z laˇznim predstavljanjem. Poleg tega je bilo ugotovljeno, da zmoˇznost kontroliranja ˇcustev (tj. nadzor impulzivnosti, nasprotno od nevrotizma) pozitivno napoveduje natanˇcnost laˇznega predstavljanja. [14]

V raziskavi [23] so raziskovalci testirali vpliv demografskih lastnosti tarˇc (spol in starost) in vsebinskih lastnosti elektronskih poˇst, ki so bile poslane subjektom eksperimenta. Skupaj je 100 mladih in 58 starejˇsih uporabnikov brez predhodne najave prejemalo vsakodnevno simulirano e-poˇsto z laˇznim predstavljanjem v obdobju 21 dni. Z uporabo vtiˇcnika brskalnika, je bilo njihovo klikanje na povezave v e-poˇstnih sporoˇcilih ustrezno evidentirano in je sluˇzilo kot pokazatelj njihove dovzetnosti. 43 % odstotkov uporabnikov je nasedlo si- muliranim e-poˇstam z laˇznim predstavljanjem, pri ˇcemer so se starejˇse ˇzenske izkazale za najbolj dovzetne. Medtem ko je dovzetnost mladih uporabnikov v ˇstudiji tekom testiranja upadalo, je obˇcutljivost pri starejˇsih uporabnikih ostala stabilna. Relativna uˇcinkovitost napadov se je razlikovala glede na principe vpliva (tj. avtoriteta, zavezanost, vˇseˇcnost, vzajemnost, pomanjkanje itd.), uporabljenih v e-poˇstah, in ˇzivljenjsko podroˇcje tarˇce, ki je variiralo glede na starostno skupino.

To diplomsko delo zajema testiranje in analizo doloˇcene populacije poslovnih uporabnikov nekega podjetja, kjer bo uspeˇsnost napadov analizirana glede na razliˇcne karakteristike vsebin poslanih elektronskih poˇst (prisotnost vodnega ˇziga, podobnost domene izvora elektronske poˇste in prisotnost slikovnega gradiva v telesu elektronske poˇste) in razliˇcne demografske in poslovne lastnosti subjektov (spol, starost, delovna doba, sektor zaposlitve, naziv delovnega poloˇzaja).

(21)

Eksperiment bo prispeval statistiˇcne podatke na podroˇcju kibernetskih napadov preko elektronske poˇste v slovenskem jeziku, specifiˇcno za srednje-veliko slovensko podjetje, staro pribliˇzno 30 let.

2.4 Protiukrepi

Cilj protiukrepov je prepreˇciti oz. odkriti napade pred ali po zbiranju in uporabi podatkov o ˇzrtvah [3].

2.4.1 Strojno uˇ cenje

Ta vrsta pristopa se osredotoˇca na uporabo tehnik strojnega uˇcenja (angl.

machine learning) in rudarjenja podatkov (angl. data-mining) pri odkrivanju laˇznega predstavljanja. Te sorodne tehnike so razvrˇsˇcene v tri glavne katego- rije: razvrˇsˇcanje (angl. classification), zdruˇzevanje v gruˇce (angl. clustering) in odkrivanje anomalij (angl. anomaly detection).

2.4.2 Rudarjenje besedila

Rudarjenje besedila (angl. text-mining) se nanaˇsa na uporabo rudarjenja podatkov in tehnik strojnega uˇcenja za odkrivanje trendov, vzorcev ali upo- rabnega znanja iz besedila. Rudarjenje besedila identificira poskuse laˇznega predstavljanja z analizo vzorcev sumljivih materialov, ki vkljuˇcujejo, vendar niso omejeni na vsebino e-poˇste, spletnih mest, URL-jev, takojˇsnjih sporoˇcil in SMS.

2.4.3 Cloveˇ ˇ ski uporabniki

Protiukrepi, ki temeljijo na ˇcloveˇskih uporabnikih (angl. human users) in vedenjskih dejavnikih, ki so znaˇcilni za tiste, ki spadajo v laˇzno predstavljanje, so zelo pomembni za prepreˇcevanje napadov laˇznega predstavljanja. Pri izvajanju eksperimentov, katerih cilj je meriti odziv uporabnikov na laˇzno gradivo, se upoˇstevajo vedenjski in demografski dejavniki. Taki

(22)

eksperimenti obiˇcajno vkljuˇcujejo uporabnike za identifikacijo laˇznega predstavljanja. Veˇcina tovrstnih eksperimentov se izvaja z uporabo sistemov za prepreˇcevanje laˇznega predstavljanja; kljub temu nekateri od njih ponujajo mehanizme, ki bodisi poveˇcajo ozaveˇsˇcenost uporabnikov, ko se sooˇcajo z napadi laˇznega predstavljanja, ali pa jih vkljuˇcijo v odkrivanje laˇznega predstavljanja.

Med omenjene sisteme spada aplikacija, razvita v okviru te diplomske naloge, ki sluˇzi kot sistem za testiranje obˇcutljivost populacije doloˇcenega ˇstevila zaposlenih v nekem podjetju na napade laˇznega predstavljanja, kjer se teo- retiˇcna obˇcutljivost meri z evidentiranjem klikov na povezave v telesu poslanih elektronskih poˇst. Sistem po zakljuˇcenem testiranju nudi funkcionalnost analize rezultatov in poslediˇcno vpogled v razliˇcne skupine statistiˇcnih podatkov o obˇcutljivosti usluˇzbencev na omenjene napade (riziˇcnost glede na spol, starost, delovno dobo, sektor in poslovni naziv subjekta ter riziˇcnost glede na karakteristike vsebine telesa elektronskih poˇst).

2.4.4 Primerjava profilov

Protiukrepi primerjave profilov (angl. profile matching) uporabljajo podatke o imenu domene, URL-jih domen, do katerih so uporabniki nedavno dosto- pali, njihovih poverilnicah v teh domenah in drugih znaˇcilnostih domen, do katerih dostopajo (npr. postavitev vsebine in slike), za ustvarjanje profilov na podlagi funkcij in njihovo uporabo za odkrivanje laˇznega predstavljanja.

2.4.5 Druge vrste protiukrepov

Cez leta je mogoˇˇ ce opaziti porast veˇc nastajajoˇcih tehnik prepreˇcevanja laˇznega predstavljanja, kot so:

• Ontologija (angl. ontology) - zajema modeliranje nabora pojmov na doloˇcenem podroˇcju in izpostavljanje pomenskih povezav med temi pojmi.

(23)

• Panji (angl. honeypots) - varnostne naprave, katerih vrednost je v tem, da so preiskovane in ogroˇzene.

• Prilagojeni iskalniki (angl. search engines) - iskalniki, kombinirani z drugimi tehnikami za odkrivanje laˇznega predstavljanja.

• Preverjanje prisotnosti s principom odjemalec-streˇznik (angl. client- server authentication) - princip temelji na medsebojni avtentikaciji med odjemalci in streˇzniki. Kljuˇci spletnega mesta, zaupanja vredne naprave, sheme podpisov na podlagi identitete, dinamiˇcni vmesnik po meri in preverjanje pristnosti na podlagi ID-ja kanala so glavne tehnike preverjanja pristnosti, ki se uporabljajo pri odkrivanju in prepreˇcevanju napadov laˇznega predstavljanja.

2.5 Obstojeˇ ce aplikacijske reˇ sitve v problem- ski domeni sistemov za prepreˇ cevanje laˇ znega predstavljanja

• Infosec IQ - Phishing simulator [19]:

Aplikacija omogoˇca izvajanje izobraˇzevalnih programov glede napadov in simuliranje veˇc razliˇcnih vrst napadov laˇznega predstavljanja, med katere spadajo:

– Drive-by - metoda ”drive-by pharming”

– Data entry - vnos podatkov

– Business email compromise (BEC) - CEO prevara – Spearphishing - usmerjeno laˇzno predstavljanje

– Malware & Malicious attachemnts - podtaknitev zlonamernih programov v priponkah

Uporabniki programske opreme poroˇcajo o podpovpreˇcnem oz. nepri- vlaˇcnem videzu uporabniˇskega vmesnika, prav tako pa je med kritikami

(24)

moˇzno zaslediti izkuˇsnje z nerazumevanjem in navigiranjem le-tega.

Med naˇstetim se pojavljajo tudi kritike glede prikaza poroˇcil napadov, ki naj bi bili neintuitivni [13]. Aplikacija, razvita v okviru te diplomske naloge ponuja preprost uporabniˇski vmesnik z intuitivnim pregledom preprostih poroˇcil.

• Gophish [15]:

Gophish je ogrodje za laˇzno predstavljanje, ki simulacijo resniˇcnih napadov laˇznega predstavljanja naredi izjemno preprosto. Ideja za Go- phish je preprosta-omogoˇcite, da bo industrijsko usposabljanje za laˇzno predstavljanje dostopno vsem. Aplikacija nudi naslednje osnovne funkcionalnosti:

– Nastavitev predloge elektronske poˇste in namestitev tarˇc, – Izvedba phishing kampanje in

– Sledenje rezultatom kampanj.

Programska oprema je brezplaˇcna za uporabo, kjer pa za neizkuˇsenega uporabnika konfiguracija in namestitev zna izpasti zapleteno. ˇCeprav se z vidika funkcionalnosti Gophish lahko najbolje primerja z aplikacijo, razvito v okviru te diplomske naloge, je konfiguracija oz. namestitev le-te preprosta in hitra.

• LUCY [24]:

Programska oprema omogoˇca organizacijam, da prevzamejo vlogo napadalca (simulacija laˇznega predstavljanja) in prepoznajo ozka grla v infrastrukturi in ozaveˇsˇcenosti o varnosti ter jih odpravijo s celovitim programom e-uˇcenja. Funkcionalnosti programske opreme zajemajo:

– testiranje zaposlenih, – testiranje infrastrukture, – treniranje zaposlenih,

– meritve rezultatov in napredka in

(25)

– integracija zaposlenih.

Negativna lastnost programske opreme se glede na plaˇcljiv dostop kaˇze v njeni ceni, kjer je razvidno, da je namenjeno predvsem veˇcjim korpo- racijam. Kontrastno je aplikacija te diplomske naloge odprtokodna in namenjena tako posameznikom kot veˇcjim zdruˇzbam.

(26)

(27)

Uporabljene tehnologije in metode

Sledi opis razvojnih tehnologij, ki so bile uporabljene pri razvoju aplikacijske reˇsitve za diplomsko delo. V kombinaciji z opisanimi tehnologijami so na sploˇsno opredeljena tudi uporabljena orodja za laˇzji potek razvoja.

3.1 Izdelava interne spletne aplikacije

3.1.1 Programska orodja in tehnologije

MEAN razvojni sklad

MEAN razvojni sklad [1] je kombinacija odprtokodnih komponent, ki skupaj zagotavljajo vsestransko ogrodje (angl. end-to-end framework) za razvoj di- namiˇcnih spletnih aplikacij, od ˇcela (koda v brskalniku) do zaledja (tj. zbirka podatkov).

Skupna entiteta v nizu MEAN je JavaScript, s katerim lahko JS (”Java- Scirpt”) razvijalec intenzivno deluje udobno, saj se vse izvaja z uporabo skupnih konceptov, kot so JS objekti in asinhroni klici.

Sklad je sestavljen iz:

• Angular ogrodja,

15

(28)

• knjiˇznice ExpressJS,

• okolja NodeJS in

• podatkovne zbirke MongoDB.

Docker

Docker [6] je tehnologija za virtualizacijo vsebnikov, kjer si vsebnik lahko interpretiramo kot zelo lahek virtualni stroj [VM]. Poleg gradnje vsebnikov orodje ponuja nekaj, kar imenujemo potek dela za razvijalce, ki slednjim po- maga pri gradnji vsebnikov in aplikacij v njih, da jih lahko nato preprosto delijo med njihove ostale razvijalce in akterje.

Nginx

Nginx [29] je edna izmed najpogosteje uporabljenih programskih oprem za spletne streˇznike na internetu. Pogosto se uporablja, ko razvijalec ˇzeli zago- toviti boljˇsi izkoristek oz. zmogljivost z enako strojno opremo. Programska oprema uporablja najsodobnejˇse koncepte arhitekture, ki temelji na dogod- kih (angl. event-based architecture), kar omogoˇca na stotine tisoˇcin soˇcasnih povezav na standardni strojni opremi.

3.1.2 Okolje

Aplikacija bo gostovala na virtualnem internem spletnem streˇzniku, na katerem bo nameˇsˇcen Linux operacijski sistem (razliˇcica Ubuntu Server 20), podprt s programsko opremoNginx. Delovala bo v izoliranemDocker okolju v treh razliˇcnih vsebnikih.

3.2 Testiranje

Usluˇzbenci za namen ˇcim bolj integritetnih rezultatov niso bili obveˇsˇceni o samem testiranju. Testiranje se je izvajalo v obdobju pribliˇzno dveh mesecev

(29)

(9. 6. 2021 - 6. 8. 2021), med katerim bo 172 subjektov v svoj sluˇzbeni elektronski poˇstni nabiralnik prejelo 8 razliˇcnih variacij laˇznih zlonamernih elektronskih poˇst na nakljuˇcno generirane ˇcasovne intervale. Variacije se bodo razlikovale glede na doloˇcene karakteristike vsebine elektronske poˇste, in sicer:

• prisotnost oz. odsotnost vodnega ˇziga na dnu telesa elektronske poˇste - v sploˇsnem telo poslovne elektronske poˇste pogosto vsebuje vodni ˇzig podjetja, iz katerega prihaja sporoˇcilo, saj s tem poˇsiljatelj poudari svojo legitimnost in verodostojnost sporoˇcila.

• prisotnost oz. odsotnost slikovnega gradiva v telesu elektronske poˇste - telo elektronske poˇste je lahko sestavljeno le iz navadnega besedila z vgnezdenimi povezavami na spletna mesta, lahko pa vsebuje slikovno gradivo, kot npr. standardne slike ali gumbe, ki v resnici sluˇzijo kot podlaga za vgnezdeno povezavo.

• podobnost oz. razliˇcnost domene izvora elektronske poˇste domeni podjetja - domena izvora je ena izmed glavnih pokazateljev integritete elektronskega sporoˇcila, s pomoˇcjo katere je (ponavadi) najhitreje mogoˇce ugotoviti, ali gre za prevaro.

Skupno je bilo v testnem obdobju odposlanih 1.376 elektronskih poˇst.

Po prejetju elektronske poˇste so bili subjekti izpostavljeni povezavam v njenem telesu, ki jih ob interakciji oz. kliku pripeljejo na laˇzno spletno stran, ki sporoˇca, da je povezavo prepreˇcil poˇzarni zid in bo gostovala na internem virtualnem spletnem streˇzniku, ki bo aktivnost zapisal v podatkovno bazo in tako shranjeval statistiko uspeˇsnosti posameznih napadov.

Po konˇcanem testiranju bo na voljo ogled rezultatov testiranja, kjer bodo predstavljene razliˇcne statistike:

• uspeˇsnost posamezne variacije elektronske poˇste,

• riziˇcnost oz. obˇcutljivost subjektov glede na:

(30)

– spol, – sektor, – starost,

– delovno dobo in

– poslovni naziv oz. naziv delovnega mesta.

Podrobnejˇsa opredelitev testiranja je na voljo v poglavju 5.

(31)

Zasnova in izdelava aplikacije

4.1 Problem

Zaradi ˇzelje po statistiˇcnih podatkih, ki prikazujejo sposobnost zaposlenih, je potrebno izvesti temu primerno testiranje usluˇzbencev, kjer je za samo izvedbo potrebna aplikacija, ki bo omogoˇcala nadzor nad podatki, ponujala moˇznost manipulacije doloˇcenih podatkov in imela implementiran algoritem za izvajanje testiranja.

4.2 Fiziˇ cni pogled in postavitev v omreˇ zju

Aplikacija bo sestavljena iz ˇcelnega dela, zalednega dela in podatkovne baze, kjer bodo vsi trije sistemi locirani na istem internem virtualnem streˇzniku podjetja v smislu arhitekture, ki se uporablja pri MEAN skladu.

Slika 4.1: Abstrakten pogled na MEAN sklad arhitekturo 19

(32)

Slika 4.2: Oris omreˇzij, v katerih bo delovala aplikacija

(33)

4.2.1 Opredelitev orisa omreˇ zij

Aplikacija bo, kot ˇze omenjeno, gostovala na internem virtualnem streˇzniku, ki se nahaja v osrednjem omreˇzju podjetja oz. tako imenovanem ”Data centru”, kjer ima neposredno povezavo do internega SMTP streˇznika podjetja in do treh podomreˇzij.

omreˇzje ocenjeno ˇstevilo uporabnikov

P1 90

P2 90

P3 30

Vsako podomreˇzje predstavlja omreˇzje ene izmed treh podruˇznic, v katerih se bo izvajalo testiranje, kjer pa v skupino subjektov ne bodo nujno zajeti vsi uporabniki podruˇznice.

SMTP streˇznik bo sluˇzil kot posredni izvajalec testiranj, saj bomo preko le-tega razpoˇsiljali elektronske poˇste po podruˇznicah. Doloˇcene roˇcne nastavitve filtrov in poˇzarnih zidov streˇznika nam bodo omogoˇcale poˇsiljanje elektronskih poˇst, kjer bo domena poˇsiljatelja lahko popolnoma fiktivna oz.

neobstojeˇca, vsebina elektronske poˇste pa ne bo pregledana (izkljuˇcen bo kakrˇsnokoli SPAM filtriranje za interne elektronske poˇste - vse elektronske poˇste v sklopu testiranja bodo poslane preko internih povezav)

Slika 4.3: 30 dnevno obdobje pretoka internih in zunanjih sporoˇcil v podjetju preko omenjenega SMTP streˇznika

(34)

4.2.2 Konfiguracija navideznega internega streˇ znika

Navidezni interni streˇznik(VM Ubuntu Server 20)bo poganjal Linux operacijski sistem, na katerem bo za usmerjanje spletnih zahtev skrbela programska opremaNginx, ki sluˇzi kot visoko zmogljiv spletni streˇznik, zasnovan za uˇcinkovito porabo sistemskih virov. [2].

Spletni streˇznik bo usmerjal zahteve proti Docker vsebnikom, kjer bo vsak sistem aplikacije deloval izolirano v svojem vsebniku. Tehnologija Docker ponuja orodja za ˇcim enostavnejˇse upravljanje in s tako imenovanimi ”vsebniki” (angl. container). Vsebniki izolirajo procese v peskovnike (angl. san- dbox), kar omogoˇci neodvisnost delovanja med procesi. Vsebnik si lahko interpretiramo kot lahek ekvivalent navidezne naprave. [25]

4.2.3 Dostop do virov

Neposreden dostop do vsebnika s podatkovno bazo bo imel le vsebnik, v katerem bo tekel glavni proces zalednega dela aplikacije. Dostop do samega streˇznika pa bo mogoˇc le iz doloˇcenih IP naslovov, kjer bodo zajeta omreˇzja vseh treh podruˇznic.

4.3 Entitete

V podjetju imajo vsi subjekti testiranja (usluˇzbenci) svoj elektronski predal- nik, kamor bodo prejeli laˇzno elektronsko poˇsto ob doloˇcenem ˇcasu v obdobju testiranja. V enem obdobju testiranja bodo lahko prejeli veˇc elektronskih poˇst, in sicer ob razliˇcnih ˇcasovnicah v tem obdobju. Obdobje testiranja je opredeljeno kotKampanja (entiteta pa definirana kot Campaign).

Da ohranimo smisel konteksta aplikacije, bomo naslednje entitete poimeno- vali v smislu napadov preko elektronskih poˇst oz. ”phishing”, in sicer:

• Usluˇzbenec podjetja oz. subjekt testiranja -Phish,

• Skupina usluˇzbencev oz. subjektov -Pond,

(35)

• Instanca zlonamerne elektronske poˇste - Baitin

• Entiteta za posluˇsanje interakcij z elektronsko poˇsto oz. trnek -Hook.

S pomoˇcjo zgornjih definicij lahko sedaj opiˇsemo relacije med predstavlje- nimi entitetami: Vsaka kampanja(Campaign)bo vsebovala vsaj eno skupino (Pond), kjer bo za vsako skupino posebej v tej kampanji moˇzno definirati razliˇcne instance zlonamerne elektronske poˇste(Bait) in subjekte(Phish), ki ji bodo pripadale. Ob doloˇcitvi vab za vsako skupino posebej, bodo generirane entiteto za posluˇsanje interakcij z elektronsko poˇsto (Hook) za vsako skupino v tej kampanji.

Za izvajanje testiranja se bodo elektronske poˇste poˇsiljale ob doloˇcenih ˇcasovnicah v smislu avtomatiziranih opravil(angl. Job), ki bodo implementi- rana s pomoˇcjo dodatne JavaScript knjiˇznice Agenda.js (glej poglavje 4.1.2).

Vsaka kampanja bo ob konˇcni generaciji vseh trnkov in nato poznejˇsi aktivaciji vsebovala zaporedje vseh opravil, ki se bodo izvedla v okviru te kampanje.

Opravilo bo predstavljala entiteta AgendaJob (del knjiˇznice Agenda.js).

(36)

4.3.1 Entitetno relacijski diagram

Slika 4.4: Entitetno relacijski diagram

Slika 5.3 predstavlja povezave oz. relacije med kolekcijami v podatkovni bazi.

Entiteti Phish in Bait lahko definiramo neodvisno od ostalih. Skupino subjektov (Pond) ustvarimo programsko z izbranim algoritmom, kjer bo vsaka izmed generiranih skupin vsebovala vsaj en subjekt.

Ob kreiranju kampanje (Campaign) najprej oznaˇcimo skupine subjektov, ki bodo sodelovale v kampanji, kjer bo kampanja zagotovo vsebovala vsaj eno skupno (s tem korakom pridobimo zaporedje ponds, kjer vsak element zaporedja [instance of ponds] pripada svoji skupini subjektov), hkrati pa bo lahko ena skupina igrala vlogo v veˇc razliˇcnih kampanjah.

V drugem koraku vsaki skupini v tej kampanji doloˇcimo poljubne vabe (Bait) za namene testiranja te skupine, kjer pa lahko eno vabo uporabimo pri veˇc

(37)

kampanjah v veˇc razliˇcnih skupinah.

V naslednjem koraku generiramo ˇcasovnice in pridobimo zaporedja trnkov (Hook) za vsako skupino, kjer bo ena instanca trnka zagotovo pripadala le eni izmed skupin le ene kampanje. Po uspeˇsni generaciji z aktivacijo kampanje zgeneriramo zaporedje vseh opravil (AgendaJob), ki se bodo morala izvesti v okviru te kampanje, kjer lahko ena instanca opravila pripada le eni kampanji.

(38)

4.3.2 Usluˇ zbenec podjetja oz. subjekt testiranja - Phish

Slika 4.5: Zgradba entitete Phish

Usluˇzbenca v podjetju identificiramo z imenom, priimkom in elektronskim naslovom, ki ga bomo uporabljali za poˇsiljanje laˇznih elektronskih sporoˇcil.

Atributa branch (podruˇznica) insector (sektor v podruˇznici) se med drugim uporabljata za ˇcim veˇcjo diverzifikacijo pri generiranju skupin.

(39)

Poleg omenjenih atributov pa ima vsak zaposlen tudi doloˇcene dimenzije, s pomoˇcjo katerih bo po konˇcanem testiranju moˇzno analizirati uspeˇsnost razliˇcnih zlonamernih elektronskih poˇst glede na kombinacijo dimenzij ˇzrtve (subjekta oz. usluˇzbenca).

Vsak usluˇzbenec oz. subjekt ima pet dimenzij, kjer starost (age) predstavlja starost zaposlenega v letih, delovna doba (years employed) predstavlja delovno dobo izraˇzeno v letih, naziv poloˇzaja (job title) predstavlja trenutni poloˇzaj usluˇzbenca v podjetju, spol (gender) predstavlja spol (M/ˇZ) in sektor (sector) predstavlja poslovni sektor, v katerem je zaposlen subjekt (raˇcunovodstvo, tehnologija, proizvodnja itd.).

(40)

4.3.3 Instanca zlonamerne elektronske poˇ ste - Bait

Slika 4.6: Zgradba entitete Bait

Vsaka instanca vsebuje poˇsiljatelja (phisher), ki je sestavljen iz imena (name), priimka (surname) in elektronskega naslova (email). Med atributi so tudi zadeva elektronske poˇste (subject) in telo v HTML obliki (html).

Poleg omenjenih atributov pa ima vsaka instanca tudi svoje dimenzije:

• eng - definira, ali je elektronska poˇsta spisana v angleˇskem ali domaˇcem jeziku (dimenzija zaradi ˇcasovne stiske testiranja ni bila uporabljena za to diplomsko delo.),

(41)

• watermark - definira, ali je v telesu elektronske poˇste prisoten vodni ˇzig,

• domain - definira, ali je domena poˇsiljatelja podobna domeni podjetja ali ne in

• graphics - definira, ali so v telesu elektronske poˇste uporabljeni grafiˇcni gradniki, kot npr. slike, gumbi ...

4.3.4 Skupina usluˇ zbencev oz. subjektov - Pond

Slika 4.7: Zgradba entitete Pond

Entiteta ima trivialno zgradbo, kjer je glavni atribut zaporedje subjektov (phishes), ki jih vsebuje skupina oz. ”ribnik” (Pond).

Entiteto oznaˇcimo lahko s poljubnim nazivom, lahko pa ga namesto nas zgenerira tudi aplikacija sama - odvisno od tega, kakˇsen naˇcin generiranja skupin smo izbrali.

(42)

4.3.5 Entiteta za posluˇ sanje interakcij z elektronsko poˇ sto - Hook

Slika 4.8: Zgradba entitete Hook

Entiteta sluˇzi za sledenje testiranja, kjer vsak trnek (Hook) vsebuje identifikator subjekta (phish), ki mu je namenjen in identifikator vabe (bait), ki jo uporablja. Atribut hooked tipa boolean identificira, ali je ˇzrtev izvedla interakcijo s katerimkoli izmed doloˇcenih elementov telesa elektronske poˇste.

Poleg omenjenih atributov so v kolekciji prisotni tudi hooked on, ki predstavlja datum in uro prve interakcije in pa atribut schedule, ki predstavlja datum in uro, ko naj se trnek ”vrˇze v vodo”, torej se doloˇcenemu subjektu

(43)

trnka poˇslje doloˇcena vaba trnka.

(44)

4.3.6 Obdobje testiranja oz. kampanja - Campaign

Slika 4.9: Zgradba entitete Campaign

Entiteta predstavlja najbolj kompleksno podatkovno strukturo v aplikaciji.

Vsaka kampanja je poimenovana z nazivom (title) in ima tri identifikatorje stanja:

• baitsSet - identificira, ali so v kampanji za vsako izmed skupin doloˇcene vabe, ki se bodo uporabile za doloˇceno skupino,

• generated - identificira, ali so za vsakega izmed subjektov v vsaki izmed skupin doloˇcena zaporedja ˇcasovnic poˇsiljanja doloˇcenih vab in

• activated - identificira, ali je kampanja aktivirana, kar pomeni, da je po uspeˇsni generaciji ˇcasovnic zgenerirano tudi zaporedje vseh opravil, ki se bodo izvedla v okviru kampanje, kjer opravilo predstavlja poˇsiljanje elektronske poˇste doloˇcenemu subjektu oz. ”met trnka v vodo”

(45)

Atribut ponds predstavlja zaporedje pod-kolekcij, kjer posamezna pod- kolekcija oz. element zaporedja opredeljuje nastavitve ene skupine kampanje in je sestavljen iz ˇstirih atributov:

• pond - predstavlja unikatni identifikator skupine (Pond), ki jo opredeljuje ta element zaporedja,

• baits - predstavlja zaporedje unikatnih identifikatorjev vseh vab, ki bodo uporabljene za to skupino

• timestamps - predstavlja zaporedje generiranih zaporedij caˇsovnic poˇsiljanj vab za vsakega izmed subjektov te skupine (privzeto so vsa zaporedja tega zaporedja enaka, kjer vsi subjekti prejmejo elektronske poˇste ob istih ˇcasovnih toˇckah v obdobju kampanje, vsak element zaporedja pa ima logiˇcno sklepano enako dolˇzino kot je dolˇzina zaporedja baits)

• hooks - predstavlja zaporedje generiranih zaporedij trnkov za vsakega izmed subjektov te skupine (enako, kot pri elementih zaporedja timestamps ima tudi vsak element zaporedja hooks enako dolˇzino kot zaporedje baits)

Atributjobs predstavlja zapredje unikatnih identifikatorjev opravil oz. entitet AgendaJob (glej naslednji razdelek Opravilo - AgendaJob), ki se zgeneri- rajo ob aktivaciji kampanje.

(46)

4.3.7 Opravilo - AgendaJob

Slika 4.10: Zgradba entitete AgendaJob

Entiteta se v podatkovni bazi nahaja kot posledica integracije knjiˇznice Agenda.js in sluˇzi za hranjenje opravil, ki jih je aplikacije ˇze izvedla oz.

jih ˇse bo. Opravila se med seboj razlikujejo s pomoˇcjo atributaname, kjer se hkrati lahko zaˇzene veˇc enakih opravil naenkrat. Ob izvedbi lahko opravilo uporablja doloˇcene podatke, ki jih definiramo s pomoˇcjo poljubnega objekta data. Prioriteta (priority) opravila ponazarja stopnjo pomembnosti opravila, kjer se ob hkratni izvedbi najprej izvedejo opravila z viˇsjo stopnjo pomembnosti. Tip (type) opravila lahko zasede eno izmed vrednostisingle alinormal, kjer bo opravilo tipa single v podatkovni bazi ustvarjeno le enkrat, tudi ˇce

(47)

se v kodi ustvari v veˇckrat, opravilo tipa normal pa bo v podatkovno bazo zapisano z novo instanco vsakiˇc, ko jo ustvarimo preko kode.

AtributnextRunAt predstavlja toˇcen datum in uro, ko bo opravilo naslednjiˇc izvedeno.

(48)

4.4 Funkcionalnosti

Med funkcionalne zahteve za manipulacijo s podatki spadajo najbolj osnovne CRUD (Create Read Update Delete) operacije, in sicer:

• kreiranje novega zapisa entitete in shranjevanje v podatkovno zbirko,

• urejanje obstojeˇcega zapisa entitete v podatkovni zbirki,

• branje enega zapisa ali zaporedja zapisov entitet iz podatkovne zbirke in

• brisanje zapisa entitete iz podatkovne zbirke.

4.4.1 Manipulacija podatkov

1. Omenjena zbirka funkcionalnosti se v celoti uporablja za manipulacijo s kampanjo (Campaign), subjektom (Phish) in vabo (Bait)

2. Skupine subjektov (Pond) je mogoˇce ustvariti preko generacije na dva razliˇcna naˇcina:

• Najviˇsja stopnja diverzitete glede na trenutni sektor in podruˇznico subjekta z moˇznostjo omejitve ˇstevila generiranih skupin in

• Najniˇzja stopnja diverzitete glede na trenutni sektor in podruˇznico subjekta (vsak sektor v vsaki podruˇznici bo razporejen v svojo skupino)

Po uspeˇsni stvaritvi skupine ne moremo urejati. Lahko jo le beremo in izbriˇsemo.

3. Trneki (Hook) se ustvarijo samodejno ob generaciji ˇcasovnic kampanje in jih je mogoˇce poleg samodejne kreacije le brati.

4. Opravila (AgendaJob) so ustvarjena po aktivaciji kampanje in jih je tako kot trnek mogoˇce le brati.

(49)

4.4.2 Testiranje in analiziranje

V okviru konte testiranja in analiziranja so v aplikaciji na voljo naslednje funkcionalnosti:

• uvaˇzanje seznama subjektov preko datoteke tipa CSV (Comma Sepa- rated Values),

• generiranje razliˇcnih skupin subjektov za namene testiranja vsake skupine v poljubnih metrikah,

• kreiranje predlog za zlonamerno elektronsko poˇsto s pomoˇcjo besedil- nega urejevalnika,

• kreiranje kampanije na podalgi izbranih skupin, kjer lahko doloˇceni skupini pripnemo poljubne vabe za testiranje te skupine. Po uspeˇsnem kreiranju kampanje, ji doloˇcimo datum zaˇcetka in konca in nato generiramo ˇcasovnice poˇsiljanj laˇznih zlonamernih elektronskih poˇst posa- meznim subjektom. Po uspeˇsni generaciji lahko kampanjo aktiviramo in jo po aktivaciji ob potrebi deaktiviramo.

• nadziranje statistik tekoˇcih kampanij in analiza statistik ˇze konˇcanih kampanij (grafi, razpredelnice...).

4.5 Celni del ˇ

Celni del aplikacije, zgrajen na osnovi ogrodja Angular, deluje kot SPAˇ (Single Page Application).

”Spletna aplikacija tipa SPA je sestavljena iz posameznih komponent, ki jih je mogoˇce zamenjati/posodobiti neodvisno in brez osveˇzevanja oz.

ponovnega nalaganja spletne strani, glede na akcije uporabnika.” [20]

(50)

4.6 Zaledni del

Implementiran v okolju NodeJS na podlagi standardne knjiˇznice Express, predstavlja enostavno reˇsitev za JavaScript razvijalce, kjer NodeJS predstavlja programsko opremo, ki omogoˇca izvajanje JavaScript procesa na streˇzniku, loˇceno od brskalnika, kar omogoˇca uporabo ogrodij in knjiˇznic, napisanih v JavaScript (kot je Express), na strani streˇznika. Uradni spletni portal knjiˇznice Express opisuje svoj izdelek kot minimalistiˇcno in prilago- dljivo ogrodje spletnih aplikacij NodeJS, ki ponuja robusten nabor funkcij za spletne in mobilne aplikacije. [12]

4.7 Podatkovna zbirka

Upravljanje in manipulacijo podatkov zagotavlja NoSql implementacija podatkovne zbirke MongoDB, ki za shranjevanje podatkov uporablja JSON (JavaScript Object Notation), imenovane ”dokumente” (angl. documents).

Za dostop in interakcijo s podatkovno zbirko v jeziku JavaScript je moˇzno uporabiti knjiˇznico Mongoose, ki ponuja preprosto reˇsitev, ki temelji na shemi za modeliranje aplikacijskih podatkov. Vkljuˇcuje vgrajeno tipiziranje, preverjanje veljavnosti podatkov, gradnjo poizvedb ipd.

4.8 Namestitev aplikacije v lokalnem okolju

Za uspeˇsno namestitev in uporabo aplikacije na lokalnem omreˇzju morajo biti izpolnjene naslednje zahteve:

• Aplikacija mora imeti dostop do internega SMTP streˇznika, kjer bo mogoˇce izkljuˇciti poˇzarne zidove in SPAM filtre za nadzor pretoka internih elektronskih sporoˇcil.

• Spletni streˇznik, na katerem gostuje aplikacija, mora podpirati integra- cjio Docker okolja in zmogljivost virtualizacije treh nezahtevnih vsebnikov hkrati (virtualni streˇznik za serviranje ˇcelnega dela, NodeJS okolje

(51)

za izvajanje zalednega dela in MongoDB okolje za upravljanje z zbirko podatkov).

Podrobna dokumentacija za namestitev in zagon projekta na lokalni napravi se nahaja na javnih Github repozitorijih [10, 11].

Aplikacija je bila razvita za namene podjetja, kjer so poslediˇcno doloˇcene entitete (Phish) zgrajene glede na dostopnost internih podatkov o zaposlenih. Za lokalno uporabo aplikacije oz. testiranje aplikacije v poljubnem okolju je potrebno preurejanje entitet oz. doloˇcenih delov izvorne kode.

(52)

(53)

Metodologija testiranja

V poglavju je opredeljeno obvladovanje uporabljenih testnih podatkov, potek priprave testnega okolja z opisom glavnih algoritmov za naˇcrtovanje in pripravo testnih podskupin in ˇcasovnih toˇck posamiˇcnih napadov in potek same izvedbe testiranja.

5.1 Anonimizacija podatkov

Vsi zasebni podatki usluˇzbencev in samega podjetja bodo anonimizirani za potrebe ohranitve zasebnosti, bo pa dobro razvidna statistika uspeˇsnosti napadov glede na to, kakˇsna vrsta elektronske poˇste bo najbolj uspeˇsna pri razliˇcnih vrstah usluˇzbenca.

5.2 Algoritmi za naˇ crtovanje testiranja

Obdobje testiranja bo doloˇceno na podlagi podanega zaˇcetnega in konˇcnega datuma testiranja (od vkljuˇcno 9. 6. 2021 do vkljuˇcno 6. 8. 2021), ki predstavljata spodnjo in zgornjo mejo ˇcasovnega intervala, na katerem bo po nakljuˇcju izbranih doloˇceno ˇstevilo toˇck, ki bodo predstavljale ˇcasovnice, ob katerih bo elektronska poˇsta poslana enemu ali veˇc skubjektom hkrati.

41

(54)

Ker ˇzelimo, da algoritem zgenerira ˇcasovnice, ki bodo ustrezale poslovnim urnikom v Sloveniji, moremo postaviti doloˇcene omejitve (sklepamo, da bo usluˇzbenec manj sumniˇcav, ˇce bo elektronsko poˇsto prejel med svojim delov- nikom namesto ob npr. dveh zjutraj):

• Cas poˇsiljanja ne sme pasti v obdobje vikenda, ki zajema soboto inˇ nedeljo.

• Cas poˇsiljanja lahko na delovnik pade le v interval dopoldanskih delov-ˇ nih ur (7:00 - 17:00).

Poleg ustrezno generiranega nakljuˇcnega zaporedja ˇcasovnic bo potrebno subjekte razdeliti v skupine. Sklepamo, da bodo rezultati boljˇsi, ˇce subjekte razdelimo po skupinah v principu najviˇsje stopnje diverzifikacije na podlagi sektorja v katerem so zaposleni in podruˇznice, v kateri se nahajajo (subjekti istih sektorjev v istih podruˇznicah lahko sedijo neposredno skupaj za eno mizo, kar omogoˇca komunikacijo ob prejetju vabe in poslediˇcno niˇza moˇznosti uspeha le-te, saj se lahko subjekti med seboj razmeroma hitro opozorijo).

5.2.1 Algoritem za generiranje nakljuˇ cnega zaporedja ˇ casovnic

Algoritem kot vhod prejme:

• vsoto minut celotnegalegitimnegaobdobja kampanje (legitimno obdobje zajema vse minute, v katerih je moˇzno odposlati elektronsko poˇsto, torej vsak delavnik obdobju kampanje med 7:00 in 17:00),

• ˇstevilo vab, ki bodo poslane v obdobju testiranja oz. kampanje,

• povpreˇcno ˇstevilo minut med poslanimi vabami (ki je lahko interpreti- ran kot koliˇcnik prvih dveh parametrov)

• zaˇcetni datum kampanje in

• konˇcni datum kampanje.

(55)

Algoritem kot rezultat vrne zaporedje datumov, ki ima dolˇzino enako dru- gemu parametru (ˇstevilo vab). Zaradi obseˇznosti algoritem ni predstavljen s psevdo kodo.

Izvorna koda algoritma je dostopna na Github repozitoriju [10] v datoteki /src/classes/generator.ts- metoda generateTimestamps(...).

5.2.2 Algoritem za generiranje nakljuˇ cnega zaporedja skupin subjektov

Algoritem podpira dva razliˇcna principa nakljuˇcnega generiranja:

• princip enakih sektorjev, kjer so skupine oblikovane tako, da so vsi subjekti istega sektorja v isti skupini in

• princip najviˇsje stopnje diverzifikacije, kjer so skupine oblikovane tako, da v skupini nista niti dva subjekta, ki bi se nahajala v isti podruˇznici in delala v istem sektorju hkrati.

Funkcija ob klicu najprej iz podatkovne zbirke pridobi zaporedje vseh subjektov (Phish[] = pridobiZaporedjeVsehSubjektov()) in inicializira prazno zaporedje skupin (Pond[] = []).

Ker se sam algoritem izvede kot posledica HTTP zahteve, v naslednjem koraku preveri princip, po katerem bo zgeneriral nakljuˇcne skupine, kar razbere iz poizvedbenih vrednosti, ki se nahajajo na koncu URL-ja zahteve.

Ce je v poizvedbi zahteve prisotna vrednostˇ sector, bo izbran princip enakih sektorjev, v nasprotnem primeru, kjer je v poizvedbi prisotna vrednost diversion, pa bo izbran princip najviˇsje stopnje diverzifikacije.

Celotna izvorna koda obeh principov algoritma je dostopna na GitHub repozitoriju [10] v datoteki /src/controllers/pond.controller.ts - metoda router.post(’/generate’).

Algoritem po konˇcanem generiranju kot odgovor na HTTP zahtevo vrne zgenerirano zaporedje skupin (res.status(200).json(ponds)). V primeru napake vrne odgovor s statusno kodo 500, v konzolo procesa pa izpiˇse sporoˇcilo napake.

(56)

5.3 Priprave na testiranje

5.3.1 Prva testna kampanja - problem poˇ zarnih zidov

Za namene odkrivanja moˇznih napak oz. groˇzenj, ki bi lahko ohromile testiranje, je bila v zadnjem tednu meseca maja (od vkljuˇcno 24. 5. 2021 do vkljuˇcno 28. 5. 2021) izvedena prva testna kampanja, ki je trajala 5 dni, v njej pa je bilo vkljuˇcenih 172 testnih uporabnikov iz vseh treh podruˇznic.

Rezultati izvedbe so pokazali teˇzave predvsem v poˇzarnih zidovih, kjer so kandidati dveh podruˇznic (P2 in P3) uspeˇsno prejeli elektronsko poˇsto, a jih povezava ni pripeljala do streˇznika, ker ta ni bil vpisan na listo dovoljenih streˇznikov (whitelist). Poslediˇcno se interakcije z elektronsko poˇsto niso uspele zapisati v podatkovno bazo, kar je za celoten koncept testiranja nesprejemnljivo. Po posvetu in sodelovanjem z IT oddelkom so bile tovrstne groˇznje odpravljene.

Po intenzivnem enodnevnem testiranju vseh povezav med streˇznikom in po- druˇznicami je bilo s strani vrhovnega direktorja odobreno prvo pravo testiranje.

5.4 Poletna kampanja

Kampanja, ki se je izvedla v okviru diplomskega seminarja, je obsegala ˇcasovni razpon dveh slabih mesecev, in sicer od 9. 6. 2021 do 6. 8. 2021.

5.4.1 Deskriptivne statistike

Testiranih je bilo 172 subjektov, kjer vsak subjekt zaseda doloˇceno kombinacijo dimenzij (spol, sektor, starost, delovna doba in naziv delovnega mesta) in bo tarˇca natanko 8 trnkov, kjer bo vsak izmed osmih trnkov uporabljal eno izmed izdelanih elektronskih poˇst za namen simuliranja laˇznega predsta-

(57)

vljanja (vaba). Vsak subjekt bo torej tarˇca 8 razliˇcnih elektronskih poˇst, ki se med seboj razlikujejo po doloˇcenih dimenzijah (prisotnost vodnega ˇziga, prisotnost slikovnega gradiva in podobnost domene izvora domeni podjetja).

spol deleˇz ˇstevilo odposlanih trnkov

moˇski 63 % 108 864

ˇzenska 37 % 64 512

Tabela 5.1: Tabela deleˇzev spolov

sektor deleˇz ˇstevilo odposlanih trnkov

tehnologija 33,14 % 57 456

proizvodnja 25,00 % 43 344

komerciala 12,79 % 22 176

kontrola 10,47 % 18 144

planiranje/proizvodnja 8,14 % 14 112

raˇcunovodstvo 5,23 % 9 72

kader 2,33 % 4 32

informatika 1,74 % 3 24

vodstvo 1,16 % 2 16

Tabela 5.2: Tabela deleˇzev sektorjev

(58)

starostni interval deleˇz ˇstevilo odposlanih trnkov

40 - 49 32,56 % 56 448

30 - 39 27,91 % 48 384

50 - 59 26,74 % 46 368

20 - 29 11,63 % 20 160

60 - 69 1,16 % 2 16

Tabela 5.3: Tabela deleˇzev diskretnih starostnih intervalov

interval delovne dobe deleˇz ˇstevilo odposlanih trnkov

10 - 14 28,49 % 49 392

0 - 4 27,91 % 48 384

5 - 9 23,26 % 40 320

15 - 19 8,72 % 15 120

25 - 29 6,40 % 11 88

20 - 24 5,23 % 9 72

Tabela 5.4: Tabela deleˇzev diskretnih intervalov delovnih dob

(59)

Sledi seznam vseh nazivov poloˇzajev ter ˇstevilo zaposlenih na posameznih poloˇzajih:

preddelavec - vodja proizvodne skupine (6), vodja tehniˇcnega sektorja (2), vodja proizvodnje (2), vhodni kontrolor (1), poslovni sekretar kadrovik (1), komercialist (4), samostojni raˇcunovodja (4), direktor (2), informatik (3), vodja razvoja (1), poslovni sekretar - kadrovik (2), referent nabave (3), pred- priprava dela (1), kontrolor (2), vodja operativne priprave proizvodnje (1), procesni kontrolor (8), samostojni tehnolog (4), planer (2), vodja nabavne logistike (1), pravnik-kadrovik (1), tehnolog vzorˇcenja (1), mojster (7), planer proizvodnje (4), vodja projekta (2), vodja operativne priprave dela (1), vodja oddelka (1), skrbnik (4), pomoˇcnik tehnologa (3), vodja izmene (4), delovodja vodja obrata (3), samostojni komercist (m/ˇz) (3), referent v raˇcunovodstvu (2), tehnolog za delovne priprave (2), referent prodaje (6), vodja interne kakovosti (1), referent raˇcunovodstva (2), proizvodni tehnolog (7), skladiˇsˇcnik (6), direktor podroˇcja (1), skladiˇsˇcnik-ˇsofer (1), vodja sistemov vzdrˇzevanja in optimizacije proizvodnje (1), vzdrˇzevalec - elektro (3), vodja logistike (1), tehnolog montaˇze (1), vodja podroˇcja (1), razvojni tehnolog (10), tehnolog (10), vodja operativnega vzdrˇzevanja (1), referent (1), mojster na razrezu (2), vzdrˇzevalec (4), specialist podroˇcja (1), koordinator skladiˇsˇcnikov (1), vzdrˇzevalec gospodar (1), tehnolog kakovosti (5), vodja interne logistike (1), vodja skladiˇsˇca (1), vodja laboratorija (1), vodja proizvodne tehnologije (2), vodja komercialnega sektorja (1), referent prevzema in odpreme (1), vodja trˇzenja (1), vodja sektorja kakovosti (1), tehniˇcni direktor (1), gospodar - hiˇsnik (1), vodja razreza (1), tehnolog v laboratoriju (1), proizvodni tehnolog - razvojnik (2), vodja razvoja (tehniˇcna komerciala) (1), vodja vzdrˇzevanja (1)

(60)

5.4.2 Testne predloge zlonamernih elektronskih poˇ st

Vsaka predloga za zlonamerno elektronsko poˇsto je ustvarjena v skladu z doloˇcenimi karakteristikami (za opis omenjenih karakteristik oz. dimenzij glej poglavje 5.3.3). Za namene testiranja bodo uporabljene 3 karakteristike, in sicer: prisotnost vodnega ˇziga, podobnost domene in prisotnost slikovnega gradiva v telesu. Skupaj bo ustvarjenih 8 razliˇcnih predlog, kjer niti dve ne bosta imeli enake kombinacije karakteristik.

Sledijo zadeve vsake izmed predlog s svojimi karakteristikami:

• Prisotnost vodnega ˇziga na koncu telesa e-poˇste (K1),

• Podobnost domene izvora e-poˇste domeni podjetja (K2) in

• Prisotnost slikovnega gradiva v telesu e-poˇste (K3).

Ker vsebina vsake predloge zagotovo vsebuje obˇcutljive podatke podjetja ali partnerjev podjejta, vsebine teles predlog ne bodo razkrite v tem dokumentu.

zadeva elektronske poˇste K1 K2 K3

Anketa o zadovoljstvu sodelovanja NE NE NE Pomanjkanje podatkov pri naroˇcilnicah NE NE DA

Ponastavitev gesla NE DA NE

Preverba vpisanih dopustov za poletje 2021 NE DA DA

Blagodejni dopust poletja DA NE NE

Na ˇse veˇc let sodelovanja DA NE DA

Zlonamerna aktivnost v oblaku DA DA NE

Vpraˇsalnik omreˇzne varnosti DA DA DA Tabela 5.5: Tabela karakteristik elektronskih poˇst

(61)

5.4.3 Izvedba in potek kampanje

1. korak: Generiranje skupin

Skupinam subjektov, zgeneriranih po algoritmu za generiranje nakljuˇcnega zaporedja skupin subjektov (glej poglavje 6.2.2), bodo pred aktivacijo kampanje dodeljene doloˇcene vabe (konkretno bodo v vsaki skupini oznaˇcene vse moˇzne vabe, tako da bo vsaka izmed skupin testirana z istim ˇstevilom vab).

skupina velikost skupina velikost

D1 34 D15 4

D2 27 D16 4

D3 16 D17 3

D4 15 D18 3

D5 14 D19 3

D6 12 D20 3

D7 10 D21 3

D8 9 D22 3

D9 7 D23 3

D10 7 D24 3

D11 5 D25 1

D12 5 D26 1

D13 4 D27 1

D14 4 D28 1

Tabela 5.6: Tabela razvrstitve subjektov v skupine

2. korak: Generiranje ˇcasovnic

Po generiranju skupin bodo zgenerirane ˇcasovnice za vsako skupino, kjer bodo subjekti posamezne skupine ob enakih ˇcasovnicah prejemali enake vabe - vsi subjekti ene skupine, bodo ob doloˇcenem zgeneriranem ˇcasu prejeli

(62)

doloˇceno vabo, ki bo na vrsti za poˇsiljanje v tej skupini (to bo domnevno pripomoglo k ˇcim manjˇsemu momentarnemu ozaveˇsˇcanju in opozarjanju med sodelavci, saj bodo vsi subjekti ene skupine izpostavljeni enaki vabi hkrati).

3. korak: Aktivacija kampanje

Po generiranih ˇcasovnicah bo sledila aktivacija kampanje in nato ˇcakanje na iztek le-te. Nadzor tekoˇce statistike bo mogoˇc preko podrobnega ogleda kampanje (angl. master-detail view).

5.4.4 Ciljne statistike

Po koncu testiranja bomo imeli na voljo razliˇcne statistike, in sicer:

• uspeˇsnost posameznih vab (glede na celotno populacijo),

• riziˇcnost subjektov glede na spol,

• riziˇcnost subjektov glede na sektor, ki mu pripadajo,

• riziˇcnost subjektov glede na starostni interval, v katerega spadajo,

• riziˇcnost subjektov glede na delovno dobo in

• top 10 riziˇcnih poloˇzajev v podjetju.

(63)

Analiza rezultatov testiranja

V tem poglavju so podrobno analizirani statistiˇcni rezultati poletne kampanje, kjer je konkretno opredeljenih 6 razliˇcnih statistik, in sicer:

• uspeˇsnost posameznih vab,

• riziˇcnost glede na spol subjekta,

• riziˇcnost glede na sektor, v katerem je zaposlen subjekt,

• riziˇcnost glede na starostni interval, v katerega spada subjekt,

• riziˇcnost glede na interval delovne dobe, v katerega spada subjekt in

• riziˇcnost glede na naziv delovnega mesta, pod katerim je zaposlen subjekt.

51

(64)

6.1 Rezultati

6.1.1 Uspeˇ snost posameznih vab

Slika 6.1: Graf uspeˇsnosti posameznih vab Uspeˇsnost posameznih vab je izraˇcunana na podlagi izraza

S(B) = h(B)interacted

h(B)

kjer vrednost S(B) predstavlja uspeˇsnost vabe B, vrednost h(B)_interacted predstavlja ˇstevilo vseh trnkov, ki so uporabljali vabo B in je bila pri njih zapisana interakcija s telesom elektronske poˇste, vrednost h(B) pa predstavlja ˇstevilo vseh trnkov, ki so uporabljali vabo B.

Najviˇsjo stopnjo uspeˇsnosti je dosegla vaba s predlogo ”Preverba dopustov za poletje 2021” (26 %). Predloga ne vsebuje vodnega ˇziga, nosi podobno domeno kot jo uporablja podjetje in vsebuje slikovno gradivo (torej kombinacija NE, DA, DA).

(65)

Najniˇzjo stopnjo uspeˇsnosti je dosegla vaba s predlogo ”Zlonamerna aktivnost v oblaku” (2 %), ki vsebuje vodni ˇzig, nosi podobno domeno in ne vsebuje slikovnega gradiva v telesu (kombinacija DA, DA, NE)

Iz grafa so razvidne oˇcitne razlike uspeˇsnosti med e-poˇstami ”Preverba vpisanih dopustov za poletje 2021”, ”Pomanjkanje podatkov pri naroˇcilnicah” in ostalimi, kjer pa so standardne napake pri najslabˇsih ˇsestih vabah tako velike, da ne moremo trditi, da se po uspeˇsnosti med seboj statistiˇcno razlikujejo.

Ugotovitve

Ugotovitve so bile spisane po pogovoru z IT oddelkom o izkuˇsnjah testiranih subjektov.

Ceprav v elektronski poˇsti ni bilo vodnega ˇˇ ziga, kar bi v teoriji zagotavljalo viˇsjo integriteto, je vaba s predlogo ”Preverba vpisanih dopustov za poletje 2021” vseeno dosegla daleˇc najviˇsjo stopnjo uˇcinkovitosti. Razlog za tako velik uspeh je bil kontekst vsebine elektronske poˇste, ki je subjekte spodbudil k temu, da preverijo, ali so bili njihovi dopusti za letoˇsnje poletje (2021) pravilno vpisani v ”nov sistem” in se poslediˇcno nanaˇsal osebno na vsakega izmed subjektov, saj vsem zaposlenim v podjetju pripada dopust, ki ga seveda ˇzelijo izkoristiti tako, kot so si ga zamislili.

Predloga ”pomanjkanje podatkov pri naroˇcilnicah” je dosegla tako velik uspeh zaradi velikosti slikovnega gradiva v vsebini elektronske poˇste.

Nizka loˇcljivost slik v telesu je subjekte spodbudila k temu, da so po- skuˇsali sliko odpreti oz. poveˇcati, ˇceprav se dejanski kontekst elektronske poˇste ni nujno nanaˇsal na njihovo delo v podjetju. Seveda pa je vsaka izmed slik v resnici predstavljala povezavo na centralni (zlonamerni) streˇznik.

Vabi s predlogama ”Ponastavitev gesla”in ”Zlonamerna aktivnost v oblaku”

sta subjektom predstavljala ˇze znan naˇcin poskusa vdora, kjer napadalec

(66)

tarˇco poskuˇsa prepriˇcati, da preveri neko (svojo) dejavnost oz. ponastavi geslo tako, da se najprej vpiˇse v svoj (poslovni) raˇcun preko doloˇcenega vpisnega mesta, ki ga je ponaredil napadalec.

Vaba s predlogo ”Na ˇse veˇc let sodelovanja”, kjer se je kontekst odvijal okoli partnerskega podjetja, ki je vsakemu izmed zaposlenih ponujalo popust na doloˇcene storitve v znaku dobre volje in upanja na ˇse veˇc let sodelovanja, je dosegla tretji najboljˇsi rezultat - 7 %.

Vaba se je glede na ostale, ki niso dosegle veˇc kot 5-procentne uspeˇsnosti odrezala dobro zaradi pribliˇzno enakih vzrokov kot najuspeˇsnejˇsa (Pre- verba vpisanih dopustov za poletje 2021), saj se je kontekst vsebine zopet nanaˇsal na vsakega usluˇzbenca osebno. Vendar pa je celotna zgodba o izjemno dobrih popustih zaradi dobre volje seveda manj verjetna kot pa moˇznost, da je vaˇs dopust morda narobe vpisan v neki razpredelnici v oblaku.

Pri ostalih treh vabah so bili znaki zlonamere oˇcitno preveˇc izpostavljeni, da bi dosegle boljˇse rezultate.

Elektronska poˇsta z zadevo ”Anketa o zadovoljstvu sodelovanja” je subjekte pozvala k izpolnjevanju spletnega vpraˇsalnika partnerske druˇzbe, kjer pa ni bilo prisotnega vodnega ˇziga niti kredibilne domene.

Prav tako je nizko uspeˇsnost dosegla vaba s predlogo ”Vpraˇsalnik omreˇzne varnosti”, kjer se je vsebina nanaˇsala na izpolnitev internega vpraˇsalnika o ozaveˇsˇcenosti subjekta glede spletne varnosti. Elektronska poˇsta je vsebovala oˇcitno ponarejen vodni ˇzig, ki je bil glavni dejavnik za odvrnitev subjekta od klika na eno izmed povezav.

Podobno kot pri tretji najuspeˇsnejˇsi je bila pri vabi s predlogo ”Blagodejni dopust poletja” prisotna ponudba s popustom na poletni oddih v masaˇznem salonu, kjer se je elektronski naslov poˇsiljatelja moˇcno razlikoval od elektronskega naslova v vodnem ˇzigu, kar je tako kot pri ”Vpraˇsalnik omreˇzne varnosti” predstavljalo glavni vzrok odvrnitve subjekta od laˇzne ponudbe.