arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
22.10.2021

Case Study #2 – Testy socjotechniczne

Jędrzej Makowski

Według danych państwowych instytucji badawczych Phishing jest cały czas jednym z popularniejszych cyberataków z uwagi prostotę i skuteczność. Atak polega na rozesłaniu odpowiednio spreparowanych wiadomości mail lub SMS z linkami i instrukcjami dla potencjalnej ofiary. Oszuści potrafią podszywać się pod inną osobę, zaufaną organizację, urząd albo pracodawcę, a aby „złowić” ofiarę posługują się technikami inżynierii społecznej. Głównym celem phishingu są wyłudzenia poufnych informacji takich jak: dane do logowania, hasła, kody PIN czy numery kart kredytowych. Kampanie phishingowe to często wstęp do infekcji komputera szkodliwym oprogramowaniem Malware oraz zaszyfrowania dysków z żądaniami okupu w kryptowalucie. Jedną z metod zabezpieczenia organizacji przed tego rodzaju atakiem jest przeprowadzanie regularnych socjotechnicznych testów penetracyjnych połączonych ze szkoleniami dla personelu.

Działania

Do testów wykorzystano serwery, na które została przekierowana podobna domena do tej, którą posługiwano się w organizacji. Podczas przeprowadzenia testów u Klienta została wykorzystana inżynieria społeczna, która miała za zadanie wywrzeć presję. Podszywając się pod adres członka Zarządu przygotowano i wysłano maile na ponad sto dwadzieścia skrzynek, których adresy zebrano białym wywiadem (OSINT). Przygotowany mail wymuszał na pracowniku postąpienie zgodnie z przesłaną informacją i zastosowanie się do polecenia służbowego, którym było wypełnienie ankiety. Próba uzyskania danych logowania użytkowników zakończyła się powodzeniem. Podczas próby trwającej około półtorej godziny zarejestrowano trzydzieści pięć połączeń z serwerem udostępniającym fałszywy formularz logowania oraz uzyskano aż siedem loginów i haseł do prywatnych i służbowych skrzynek pocztowych. Spośród tych par, trzy osoby wypełniły ankietę, o którą zostały poproszone i nie miały najmniejszych podejrzeń ani wątpliwości.
Na tej podstawie można stwierdzić, że znaczna część pracowników firmy nie ma świadomości niebezpieczeństw i ataków prowadzonych na firmy takim kanałem. Często do infekcji firmowego sprzętu złośliwym oprogramowaniem Malware wystarcza odruchowe i nieuważne kliknięcie w przesłany link dlatego warto wprowadzić pewne mechanizmy i uświadamiać pracowników.

Zalecenia i rekomendacje

  • Izolacja prywatnych urządzeń pracowników sieci firmowej.
  • Szkolenie pracowników w zakresie zagrożeń i konsekwencji płynących z phishingu.
  • Stosowanie się do polityk i procedur oraz zachowanie szczególnej ostrożności podczas przesyłania korespondencji także wewnętrznej.
  • Uruchomienie systemu zarządzania incydentami i umożliwienie szybszego kontaktu z działem informatycznym w przypadku zauważenia podejrzanej korespondencji.

Korzyści

  • Zmniejszenie ryzyka zostaną ofiarą kampanii phishing-owych i ataków socjotechnicznych.
  • Dzięki uczestnictwu w symulacji prawdziwego ataku wzrasta świadomość zagrożenia i potrzeby szkoleń, a regularne testy pomagają zachować spokój w sytuacjach prawdziwego ataku.
  • Weryfikacja pracowników pod kątem stosowania polityk i procedur bezpieczeństwa wdrożonych w organizacji.
  • Wzrost poziomu bezpieczeństwa organizacji poprzez podniesienie kwalifikacji pracowników.