Sociální inženýrství

Otestuje, jak by vaši zaměstnanci reagovali na skutečný útok.

Popis řešení

Cílem simulovaného phishingového útoku je otestování reakce vašich zaměstnanců na situaci, kdy se útočník snaží vylákat citlivé údaje z vaší firmy – nejčastěji přístupová hesla uživatelů.

Pro útočníka je tento způsob útoku jednoduchý a většinou úspěšný. Se získanými přístupovými údaji se může útočník dostat do interní sítě firmy, např. přes VPN, či k interním aplikacím a jejich datům. Vzhledem k oblibě Single-Sign-On řešení se tak útočník dostává k celé řadě aplikací a datům.

Hlavní testované oblasti

Email (phishing)– Pomocí emailových zpráv navádíme Vaše uživatele k odeslání citlivých informací, jako jsou uživatelská jména a hesla, nebo na pro-kliknutí potenciálně nebezpečného odkazu.

Telefon (vishing) – Kontaktujeme uživatele telefonicky a pomocí předpřipravených scénářů testujeme, zda uživatel podlehne nátlaku a vyzradí některé citlivé informace.

Nejčastější nálezy

Při prvním testování podlehne mnohdy i více než 40% uživatelů na potenciálně nebezpečný e-mail.
Ve větších společnostech vystupujeme např. za IT Helpdesk a požadujeme pod záminkou doménové heslo. (15-20% úspěšnost).
Úspěšné útoky na konkrétní uživatele - účetní / recepční apod.
Neznalost / neopatrnost uživatelů je velmi vysoká.

Jak probíhá simulovaný phishingový útok?

Analýza
- Podíváme se, jaké aplikace, či služby Vaše firma využívá. Může se jednat např. o Office 365, či jinou firemní aplikaci.
- Zjistíme, jaké domény Vaše firma používá a zaregistrujeme si podobnou. Místo firma.cz můžeme použít firma.net nebo firna.cz. Překlep v doméně často uživatelé nepostřehnou.
Příprava
- Vytvoříme stránku, která vypadá podobně jako reálná stránka aplikace. Jako příklad můžeme použít stránku pro změnu hesla firemního Microsoft účtu.

3. Akce

- Stránku umístíme na registrovanou doménu a rozešleme uživatelům email, který je bude nabádat, aby si změnili heslo. Takový email může vypadat např. takto:

4. Průběh

- Po spuštění phishingové kampaně vidíme, jak jednotliví uživatele reagují. Pokud společnost své zaměstnance pravidelně nevzdělává, tak obvykle do několika minut po spuštění získáváme přístupové údaje prvního zaměstnance. Při simulaci útoku hesla uživatelů neukládáme, nicméně pokud by test proběhl v rámci většího penetračního testu vaší firmy, pak bychom je využili stejným způsobem jako reálný útočník pro průnik do interní sítě.

5. Závěr

- Kampaň necháme několik dní spuštěnou. Po jejím ukončení informujeme management firmy o výsledcích testů.
- Výsledky testu obsahují souhrn, jak firma v testu obstála a dále detaily, jak jednotliví uživatelé reagovali.

Jak se phishingovým útokům bránit?

Po vyplnění hesla se uživateli může objevit edukativní stránka, která obsahuje informace, jak by se měl uživatel zachovat a co by neměl dělat.

Je vhodné uživatele vzdělávat pravidelně. Pro tento účel doporučujeme nasazení nástroje Proofpoint, který zajistí pro Vaše uživatele pravidelné vzdělávání formou e-learning kurzů, v kombinaci se simulací phishingových útoků. Na základě simulovaných útoků poznáte, v čem jednotliví uživatelé chybují a můžete jim vytvořit individuální výukový plán.

Mimo pravidelné vzdělávání uživatelů může reálnému útoku částečně zabránit i dvoufaktorová autentizace. Pokud útočník získá heslo uživatele, bude potřebovat k přístupu do aplikace / interní sítě i druhý faktor – např. kód z autentizační aplikace.

Pokud však útočník donutí uživatele spustit na jeho PC škodlivý kód – např. otevřením přílohy, stažením a spouštěním programu útočníka, pak ani tato ochrana nepomůže.

Kontaktujte nás

Pravidelný Phishing + vzdělávání -> systém, který posune bezpečnost na jiný level.

Rádi si s vámi popovídáme online nebo osobně v našich kancelářích v Praze, Brně nebo v Bratislavě.