- label Phishing
- remove_red_eye 756 zobrazení
Je půl páté ve čtvrtek odpoledne. Když dostanete nový e-mail, dostáváte se k posledním úkolům dne.
Má svůdný název: „Změna zásad svátků - je nutná akce“
Klikli byste na tento email?
Když byl e-mail s tímto názvem zaslán zaměstnancům jednoho z našich klientů, 78% z nich jej otevřelo.
E-mail však byl phishingovým podvodem: na konci dne bylo 39% příjemců podvedeno, a odeslali svá e-mailová hesla.
Naštěstí pro našeho klienta byl e-mail pouze simulací. Zde je příběh o prázdninovém phishingu.
V tomto článku projdeme...
- Co je to phishing?
- Co je to simulovaný phishing a jak to pomáhá?
- Jak skuteční kybernetičtí zločinci vytvářejí phishingové e-maily?
- Co bylo v e-mailu o dovolených?
- Jak byli zaměstnanci podvedeni, aby se vzdali svých hesel?
- Co se stalo potom?
- Úplné výsledky simulace
- Jaký užitek z toho měl náš klient?
- Jak můžete chránit svou vlastní organizaci?
Co je to phishing?
Phishing je zasílání falešných e-mailů obětem.
Phishing se stal jednou z hlavních kybernetických hrozeb, kterým čelí podniky i jednotlivci. Zahrnuje vyslání klamné zprávy, která má napálit cíle do provedení konkrétní akce. Může se jednat o poskytování citlivých informací, bankovní převod nebo odkaz na stránku, kde budou získána jejich pověření. Phishingové e-maily mohou také obsahovat malware v příloze maskované jako legitimní dokument nebo odkaz na stránku obsahující viry. To je důvod, proč phishing hraje roli ve většině kybernetických útoků.
Další informace o phishingu najdete v našem úplném průvodci phishingovými podvody.
Co je to simulovaný phishing - a jak to pomáhá?
Simulace phishingu se používají ke zvýšení povědomí zaměstnanců o phishingu.
Simulovaný phishing znamená rozesílání „falešných“ phishingových e-mailů. Ty jsou často modelovány podle phishingových e-mailů z reálného světa a používají podobné techniky k upoutání pozornosti cíle, ale jsou určeny k tomu, aby cíl poučily o rizicích phishingu, spíše než aby je přiměly vzdát se svých přihlašovacích údajů.
Zatímco školení koncových uživatelů o rizicích phishingu a běžných známkách phishingových e-mailů je zásadní, simulovaný phishing umožňuje zaměstnancům aplikovat to, co se naučili, v reálném světě. To pomáhá zvýšit povědomí o phishingu - zaměstnanci, kteří se stanou obětí simulovaného phishingu, si určitě pamatují, jak snadné je padnout do nástrahy phishingového podvodu - a výsledky se zaznamenají, abyste zjistili, jak se vašim zaměstnancům v simulaci daří. Tato data lze poté použít k poskytnutí dalšího školení a pokynů pro nejvíce ohrožené zaměstnance, které vám pomohou zabezpečit vaši organizaci.
Propadli by vaši zaměstnanci tomuto podvodu? Chcete-li to zjistit, spusťte bezplatnou simulaci phishingu.
Zjistěte, jak můžete pomocí uPhish zvýšit povědomí o phishingu a otestovat phishingovou reakci své vlastní pracovní síly.
Jak počítačoví zločinci vytvářejí phishingové e-maily?
Skutečné phishingové e-maily nabízejí něco, čím urgují ke kliknutí - něčím pozitivním jako je peněžitá výhra nebo vyhrožují sankcemi, či jinými výhružkami.
Skutečné phishingové e-maily obecně spadají do dvou kategorií: phishing založený na šablonách a spear phishing. Útoky založené na šablonách jsou „standardním“ phishingovým útokem: používají obecnou šablonu, která může fungovat bez ohledu na to, komu je e-mail odeslán, takže jsou ideální pro spamování velkého počtu klientských emailových účtů. Většina lidí, kteří dnes používají e-mail, jsou dostatečně důvtipní, aby tyto útoky odfiltrovali - pokud je předem nezachytí funkce proti spamu e-mailových klientů. To je důvod, proč téměř každý počítačový zločinec, který ví, co dělá, přešel na spear phishing.
Spear phishing je pojmenován podle skutečnosti, že jde o cílený útok, na rozdíl od útoků založených na šablonách, které vrhají širokou síť. Kybernetičtí zločinci nejprve vyhledají informace o svých cílech, než je využijí k tomu, aby jejich phishingová návnada vypadala opravdově a uvěřitelně. Tyto informace mohou být stejně jednoduché jako zjištění a použití názvu cíle, nebo mohou zahrnovat zdlouhavé studium profilů sociálních médií za účelem vydávání se za známé nebo přátele osob a infiltrace do sítí, než zasáhnou v nejvhodnější chvíli.
Co bylo v e-mailu o dovolených?
E-mail se představoval jako zpráva od HR, která byla příliš lukrativní, než aby ji někdo přehlédl.
Složitá věc se simulovaným phishingem je vytvoření útoku, který je dostatečně věrohodný, aby oslovil všechny zaměstnance, a přesto dostatečně široký, aby pokryl celou organizaci. V tomto případě byly jedinou „cílenou“ informací, kterou jsme použili, název organizace, který jsme umístili do textu e-mailu.
Toto je e-mail, který otevřelo 78% zaměstnanců.
Aby byl phishingový e-mail účinný, musí počítačový zločinec přimět oběť, aby provedla akci - a neexistuje lepší způsob, jak to udělat, než vytvořit pocit naléhavosti. V tomto případě nejen že „Požadovaná akce(Action Required)“ v názvu zajistila pozornost zaměstnanců, ale e-mail také slíbil něco na oplátku: znalosti o nové politice svátků. Koneckonců, kdo by nebyl v pokušení strávit část svého čtvrtečního odpoledne přemýšlením o své příští dovolené?
Během několika hodin od odeslání simulace 68% příjemců nejen otevřelo e-mail, ale následovalo odkaz uvnitř.
Jak byli zaměstnanci podvedeni, aby se vzdali svých hesel?
Většina zaměstnanců se do aplikací, jako je 0365, přihlašuje každý den - což způsobí, že zadají své přihlašovací údaje téměř automaticky, když se jim zobrazí přihlašovací obrazovka.
Zaměstnancům, kteří následovali odkaz, byla nabídnuta přihlašovací obrazovka Office 365 - zdánlivě nutné ověřit jejich totožnost, než jim umožníte přístup k zásadám dovolených a nemocenské. Samotná vstupní stránka je téměř přesnou replikací skutečné přihlašovací obrazovky Office 365 - což je pro kybernetického zločince poměrně snadný výkon, protože vyžaduje pouze kopírování kódu HTML a CSS ze skutečné přihlašovací stránky.
68% zaměstnanců, kteří sledovali odkaz na e-mail, viděli tuto vstupní stránku. 58% z nich zadalo svou e-mailovou adresu a heslo.
Zatímco stránka sama o sobě neposkytne uživateli žádné informace o skutečném vlastníkovi webu, název domény vypráví jiný příběh. Při zadávání přihlašovacích údajů online je důležité vždy zkontrolovat název domény webu. Je to proto, že i když je napodobování jiné stránky docela triviální, předstírání názvu domény je mnohem těžší.
V tomto případě je doména microloft.com - ne microsoft.com, což je doména, kde by byla umístěna skutečná přihlašovací stránka Office 365. Na první pohled vypadají domény velmi podobně - ale tato útěcha vám moc nepomůže, když kybernetický zločinec již utekl s vašimi hesly.
Co se stalo potom?
Členové personálu, kteří klikli na odkaz, zjistili, že byli podvedeni.
Místo toho, aby našli šťavnaté podrobnosti nové politiky svátků, byli zaměstnanci, kteří zadali své přihlašovací údaje na vstupní stránce, přivítáni zprávou s žádostí, aby kontaktovali svůj IT tým. Jejich hesla nebyla nikam zasílána, ani žádným způsobem zaznamenávána. Pokud by to byl skutečný phishingový útok, všechna hesla, která zde byla zadána, by nyní měla být v rukou počítačového zločince - s potenciálně katastrofálními následky.
Když počítačový zločinec získá e-mailové heslo uživatele, otevře se mu celý svět příležitostí. Počítačovému zločinci jsou nyní k dispozici veškerá citlivá nebo důvěrná data obsažená v e-mailech a přílohách uživatelů. Protože většina uživatelů používá svůj pracovní e-mail jako zálohu nebo autentizaci pro služby jako Google Drive, Slack, Hubspot, Trello, Office 365 atd., Útočník by také získal přístup k těmto účtům a všem datům v něm. Trpělivý útočník by však tyto údaje nepoužil, ani o sobě nedal vědět, ale raději zůstal zticha a sledoval e-mailovou aktivitu, aby se dozvěděl více o podnikání, a počkal na nejvhodnější okamžik k zasáhnutí, aby z něj mohl vytěžit co nejvíce.
Pokud útočník získal přístup nejen k jednomu e-mailu, ale i k e-mailům 39% zaměstnanců společnosti, můžete si jen představit, jaký zmatek by mohl způsobit.
Úplné výsledky simulace
Většina zaměstnanců otevřela e-mail a následovala odkaz - a 39% nakonec rozdalo svá hesla.
Tato simulace phishingu měla vysokou „úspěšnost“ - což ale není příliš nepodobné číslům, která vidíme u jiných organizací, které nepoužívají žádná školení o povědomí o bezpečnosti.
Zde jsou úplné výsledky:
Přijato |
Otevřeno |
Navštíveno |
Kompromitováno |
73 |
57 |
50 |
29 |
100% |
78% |
68% |
39% |
A zde je vysvětlení, co jednotlivé kategorie znamenají:
Přijato: Kolika zaměstnancům byl odeslán - a úspěšně přijat - e-mail.
Otevřeno: Kolik zaměstnanců otevřelo a přečetlo si obsah e-mailu.
Navštíveno: Kolik zaměstnanců kliklo na odkaz v e-mailu.
Kompromitováno: Kolik zaměstnanců prozradilo své přihlašovací údaje na phishingové stránce.
Jaký užitek z toho měl náš klient?
Dobrou zprávou, pokud jde o našeho klienta, je, že nyní plně identifikoval lidskou hrozbu, které čelí jeho organizace. Jejich zaměstnanci jsou nyní zapsáni na kurzy zvyšování povědomí o bezpečnosti, které zahrnují nejen povědomí o e-mailech a phishingu, ale také témata včetně bezpečného používání vyměnitelných zařízení a rizika odposlechu dat ve veřejných sítích Wi-Fi.
Tato simulace umožnila našemu klientovi:
- Objevení úrovně rizika společnosti a její zranitelnost vůči lidské chybě
- Zvýšení povědomí o bezpečnosti zapamatovatelným způsobem všem zůčastněným zaměstnancům
- Identifikace zaměstnanců, kteří potřebují další školení, které jim bylo automaticky poskytnuto prostřednictvím automatizovaného školení pomocí usecure
Za pár měsíců se náš klient může rozhodnout poslat další simulovanou phishingovou kampaň, aby zjistil, jak se jejich zaměstnancům daří po nějakém zaškolení - nebo si může přát zapnout naši funkci automatického phishingu, která neustále vybírá náhodné zaměstnance k testování pomocí šablon útoků z naší knihovny.
Co můžete udělat pro ochranu své vlastní organizace?
Pravidelná školení a testování jsou klíčem k ochraně vašeho podnikání před phishingovými podvody.
Vzhledem k tomu, že společnost Accenture odhaduje celkové celosvětové náklady na počítačovou kriminalitu v příštích pěti letech na 5,2 bilionu dolarů, vaše podnikání si jednoduše nemůže dovolit, aby zůstalo nechráněné. Školení zaměřené na zvyšování povědomí o bezpečnosti se zabývá kybernetickými útoky v samém jádru - přirozenou tendencí neškolených uživatelů dělat chyby. Simulovaný phishing funguje nejlépe, když se používá k doplnění školení, protože dává uživatelům příležitost uplatnit to, co se naučili, v praxi a také vám umožní posoudit, jak efektivní školení bylo.
Žádné technické řešení nedokáže zabránit vašim zaměstnancům v chybách, ale se správnými nástroji můžete své koncové uživatele proměnit z nejslabšího článku bezpečnosti na první linii obrany.
Pokud se chcete dozvědět více o našem školení o zvyšování povědomí o zabezpečení a simulovaném phishingovém řešení, postupujte podle níže uvedeného odkazu.
Spusťte bezplatnou simulaci phishingu
Zjistěte, jak může školení o povědomí o bezpečnosti a simulovaný phishing chránit vaši organizaci před nejškodlivějšími kybernetickými hrozbami.
Phishing test - bezplatná simulace
Další informace:
Školení kybernetické bezpečnosti
Autor originálního článku: Micke Ahola
Přeložil: Ondřej Strachota