Security Awareness - Phishing Simulation - Vài lưu ý khi gửi email phishing

 

Vài lưu ý khi gửi email phishing

1) Mail server gửi phishing: phải được cấu hình DNS, MX, TXT, SPF, PTR, đặc biệt là SPF. 

2) MS 365 hình như giới hạn số lượng email nhận từ 1 public IP xác định. Do đó phải có nhiều server IP sẵn sàng gửi spam/phishing emails.

3) Trên MS 365 nên config allow sẵn source address // sender addresses và/hoặc DS IP không bị blacklisted.

4) Thử nghiệm 1 nhóm nhỏ trước khi thực hiện nhóm lớn. Recon email nhận càng nhiều càng tốt. Chú ý active/inactive addresses.

5) Nên có nhiều content email template. 2 người cạnh nhau nên nhận email và phishing site khác nhau.

6) Content nên liên quan thứ gì đó hot trong cty, theo mùa, vd lương thưởng. Trường hợp phishing user pass, thì nên clone trang login MS 365.

7) Nên thuê ngoài, vd service của KnowBe4.

8) Thực hiện giả lập phishing trước awareness training.

Splunk - Hiệu chỉnh height và width aka tỷ lệ giữa các panels trên cùng row của 1 Splunk Dashboard

 

Chỉnh timechart panel có width =70% và stats panel có width = 30%

Kết quả:

Cách thức: 

* thông qua Edit Source của Dashboard  (sub url /editxml).

* 1) Gán id cho tất cả panel của row cần hiệu chỉnh width

Từ các <panel> thành <panel id="panel1"> .... </panel> <panel id="panel2">...<panel> 

* 2) Bổ sung 1 panel logic $alwaysHideCSS$ mới:

    <panel depends="$alwaysHideCSS$">

      <html>

        <style>

          #panel1{

            width:70% !important;

          }

          #panel2{

            width:30% !important;

          }

          </style>

      </html>

    </panel>

[System] Config postfix giới hạn tốc độ email được gửi đi

 

Giới hạn việc deliver email gồm 2 thông số:

smtpd_client_message_rate_limit 

The maximal number of message delivery requests that any client is allowed to make to this service per time unit, regardless of whether or not Postfix actually accepts those messages. The time unit is specified with the anvil_rate_time_unit configuration parameter.

By default, a client can send as many message delivery requests per time unit as Postfix can accept.

To disable this feature, specify a limit of 0.

WARNING: The purpose of this feature is to limit abuse. It must not be used to regulate legitimate mail traffic.

This feature is available in Postfix 2.2 and later.

Example:

smtpd_client_message_rate_limit = 1000

anvil_rate_time_unit (default: 60s)

The time unit over which client connection rates and other rates are calculated.

This feature is implemented by the anvil(8) service which is available in Postfix version 2.2 and later.

The default interval is relatively short. Because of the high frequency of updates, the anvil(8) server uses volatile memory only. Thus, information is lost whenever the process terminates.

Specify a non-zero time value (an integral value plus an optional one-letter suffix that specifies the time unit). Time units: s (seconds), m (minutes), h (hours), d (days), w (weeks). The default time unit is s (seconds).

(Trích từ https://www.postfix.org/postconf.5.html)

=> Để tối ưu cho việc gửi mail, có lẽ nên thiết lập tốc độ gửi = 2-5 emails/phút do MS 365 kiểm soát, giới hạn gửi mail từ 1 IP cố định. Và có lẽ nên setup time unit theo phút, hơn là 3600s // 1 giờ.

smtpd_client_message_rate_limit = 5

anvil_rate_time_unit = 60

 

Splunk app UFMA - Forwarder Summary - Vài Issues liên quan Missing Forwarders hoặc Forwarders' Statistics

" Chủ yếu liên quan cách khai thác sd Splunk UFMA app.

1) Missing Forwarders hoặc Số lượng Forwarders hiển thị chưa đầy đủ ở dashboad Forwarder Summary

=> Giải pháp: truy cập Rebuild Asset Table http://localhost:8000/en-US/app/UFMA/rebuild_asset_table và run query anyway. Kết quả: http://localhost:8000/en-US/app/UFMA/forwarder_summary

2) Issue "We've identified a potential security risk" ở Dashboard "Rebuild Asset Table" 

=> Do outputlookup là splunk command có rủi ro cao. Cần ktra kỹ trước khi thực thi (từ các saved query). Bỏ qua và tiếp tục thực thi query này (anyway) => Xem http://localhost:8000/en-US/app/UFMA/rebuild_asset_table

3) Forwarder Summary - Forwarder Details trống rỗng 

=> Do keywords đòi hỏi phải có thông tin splunk deployment server => Bỏ text pattern deployment_server="$deployment_server$" này khỏi splunk keywords. Kết quả tại dashboard Forwarder Summary http://localhost:8000/en-US/app/UFMA/forwarder_summary phần Details sau khi update keywords: 

4) "This dashboard version is missing. Update the dashboard version in source."

=> Chỉnh source của dashboard, từ <form> thành <form version="1.0"> hoặc <dashboard> thành <dashboard version="1.0">. hình minh hoạ:

Save dashboard tương ứng và issue thông báo này sẽ biến mất.