Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň
Petra Javornická
05. 04. 2024
Úniku dat nebo vniknutí hackera do firemního systému v naprosté většině případů předchází lidská chyba. A nejčastěji je to kliknutí na phishingový e-mail. Jednou z cest, jak zvyšovat odolnost zaměstnanců, může být i zapojení simulovaných phishingových e-mailů. Ty odhalí, do jaké míry jsou zaměstnanci schopní rozpoznat pokus o útok.
Když chce šéf něco naléhavého
Je pondělní ráno a Michal si právě nalil první šálek kávy. Zapíná počítač a připravuje se na další týden plný e-mailů a schůzek. Jakmile otevře mailovou schránku, jeho oči automaticky procházejí desítky nových zpráv, které přes víkend zaplavily jeho inbox.
Michal bezmyšlenkovitě kliká a otevírá jeden e-mail za druhým, sotva věnuje pozornost obsahu nebo odesílatelům. Mezi zprávami o projektových aktualizacích a interních oznámeních si všimne e-mailu, který na první pohled vypadá jako zpráva od jeho nadřízeného, žádajícího něco „naléhavého“.
Michal už před časem zaplul v zaměstnání do pohodlné rutiny, a tak bez dlouhého přemýšlení na odkaz v e-mailu klikne. V tom momentě, když se obrazovka zatmí a na monitoru se objeví neznámé upozornění, které nelze vypnout, si uvědomí svou chybu. E-mail nebyl od jeho šéfa.
Fiktivní postava Michala se stala obětí simulovaného phishingového útoku, který připravilo IT oddělení jeho firmy. Popularita této formy testování a edukace zaměstnanců přitom mezi organizacemi vzrůstá.
A není divu: počet phishingových podvodů se rok od roku skokově zvyšuje. Například podle závěrů našeho O2 Security reportu za rok 2023 tato hrozba zaznamenala nárůst z téměř 40 milionů v roce 2022 na alarmujících cca 440 milionů hrozeb v loňském roce.
Co je to phishing?
Jedná se o formu kybernetického útoku, při kterém se útočník v elektronické komunikaci vydává zpravidla za důvěryhodnou osobu, aby získal citlivé údaje, jako jsou hesla, čísla kreditních karet nebo osobní informace.
Jeho obsah i forma přitom vychází z taktik sociálního inženýrství, o kterých jsme psali v minulosti již mnohokrát. Velmi stručně řečeno je obvyklou strategií útočit na emoce oběti – vytváření pocitu naléhavosti, vyvolání strachu nebo naopak sympatií k útočníkovi. A tím donutit oběť k neuváženému činu. Ať už je to kliknutí na škodlivý odkaz, stáhnutí přílohy obsahující malware, zadání přihlašovacích údajů, nebo zaplacení falešné faktury.
Jak bylo řečeno v úvodu, phishingové útoky jsou čím dál častější a k e-mailům se v uplynulých letech přidávají i další formy. Prostředkem manipulace se stávají i QR kódy, podvržená deepfake videa, falešné telefonáty nebo i technologie bluetooth.
Jaké typy phishingu v současnosti existují?
E-mailový phishing: Klasický phishing realizovaný prostřednictvím plošného rozesílání e-mailů s odkazy na podvržené stránky. E-maily vypadají například jako legitimní zprávy z banky a mají přimět oběti k vyzrazení informací, které mohou útočníci použít k odcizení jejich citlivých dat.
Spear phishing: Tento typ phishingu se zaměřuje na konkrétní jednotlivce a snaží se je přimět k vyzrazení informací nebo ke konkrétní akci (třeba proplacení falešné faktury). Jde o velmi sofistikovaný útok připravený s dobrou znalostí oběti.
Vishing a smishing: Jde o zkratky pro „voice phishing“ a „SMS phishing“, tedy phishing prostřednictvím telefonních hovorů a SMS zpráv. Hlavně při vishingu mají útočníci, kteří se vydávají například za pracovníky banky, velkou pravděpodobnost úspěchu.
Pharming: Podvodná technika přesměrovává oběti na falešné webové stránky (např. přihlašovací stránky internetového bankovnictví), prostřednictvím kterých získávají útočníci přístupové údaje.
Pop-up phishing: Typ phishingu využívající vyskakovací okna na webových stránkách, která zobrazují například varování o zavirování počítače. Cílem je přimět oběť, aby si do počítače stáhla malware.
Proč ve firmě testovat phishing?
Odborníci i výzkumy se shodují na tom, že jedinou účinnou obranou proti podvodným e-mailům a jiným technikám sociálního inženýrství je vzdělávání a osvěta zaměstnanců. Pouze proškolení zaměstnanci jsou schopní efektivně rozpoznat phishing, a tím zvyšují odolnost vaší firmy.
Jednou z metod, jak si schopnost náchylnosti k naletění ve firmě otestovat, jsou právě i simulace podvodných e-mailů. Při uměle vytvořeném útoku dostávají zaměstnanci e-maily (případně SMS zprávy nebo podvodné telefonáty), které napodobují skutečné pokusy o phishing.
Jak začít s přípravou simulovaného phishingu?
Firmy mají při zavádění těchto testů několik možností s ohledem na svoje specifické potřeby a zdroje. Můžou se rozhodnout provést simulaci interně, využít služeb externích firem specializujících se na kybernetickou bezpečnost nebo i vyzkoušet nástroje pro automatizovanou přípravu phishingových testů.
Etický hacker Pavel Matějíček v jednom dílu podcastu O2 CyberCast popsal, jak jeho firma postupuje, když si u nich někdo objedná testovací phishing. „U simulace phishingových útoků postupujeme stejně, jako by to dělal skutečný útočník,“ uvedl.
Při testování zaměstnanců se chováme jako skuteční hackeři
Zobrazit podcast
Prvním krokem je shromažďování informací z veřejně dostupných zdrojů – ať už o firmě, jejích zaměstnancích, nebo potenciálních slabých místech.
Následuje příprava kampaně, která je přizpůsobena zjištěným informacím, aby byla co nejvěrohodnější. E-maily jsou pak odesílány v malých dávkách, což umožňuje pečlivě sledovat reakce zaměstnanců a získat přesnější přehled o jejich schopnosti odhalit phishingové pokusy.
A jaké jsou statistiky? „Z naší zkušenosti vyplývá, že 50–60 % lidí podvodný mail otevře, 30–40 % se proklikne na podvodnou stránku a zhruba 20 % uživatelů nám odevzdá svoje přihlašovací údaje,“ vypočítává Matějíček.
Tento přístup k simulovaným phishingovým útokům poskytuje firmám cenné informace o tom, jak dobře jsou jejich zaměstnanci připraveni čelit skutečným kybernetickým hrozbám, a zároveň jim umožňuje identifikovat a posílit potenciální slabiny ve svých obranných mechanismech.
Matějíček také vyzdvihuje, že simulace jsou navíc dobrou cestou, jak naučit zaměstnance vyšší opatrnosti a lepším kyberbezpečnostním návykům, které poté budou aplikovat i v soukromém životě.
5 kroků, jak naplánovat phishingovou testovací kampaň
1. Příprava kampaně
Stanovte si cíle pro simulovanou phishingovou kampaň a promyslete její provedení. To zahrnuje typ phishingových e-mailů, které chcete otestovat, nebo vytipování cílové skupiny v rámci vaší organizace, která by mohla být zajímavá i pro skutečné útočníky.
2. Příprava podvodných e-mailů
Vytvořte realistické šablony phishingových e-mailů, které se věrně podobají skutečným phishingovým hrozbám. Věnujte pozornost detailům, jako je předmět e-mailu, adresa odesílatele a obsah zprávy. Přemýšlejte, jak zvýšit pravděpodobnost, že zaměstnanci na takový e-mail kliknou.
3. Spuštění kampaně
Jakmile IT tým nebo externí dodavatelé dokončí obsah, odešlou simulované phishingové e-maily cílové skupině zabezpečenými prostředky s ohledem na ochranu osobních údajů.
4. Vyhodnocení kampaně
Po odeslání simulovaných podvodných e-mailů vedoucí pracovníci pečlivě zaznamenávají, jak zaměstnanci se simulovanými e-maily pracují, a sledují, zda klikají na odkazy, stahují přílohy nebo poskytují citlivé informace.
5. Navazující školení
Poté by mělo následovat školení všech zaměstnanců (nejen těch, kteří v simulaci neuspěli). Součástí školení by mělo být nejen poskytnutí zpětné vazby, ale i vysvětlení toho, jak pokus o phishing správně identifikovat a jak se v budoucnu vyhnout skutečným útokům. Součástí školení by mělo být také představení interních postupů v tom, jak se zachovat, když vyvstane podezření na phishing (tj. také kam podezřelý e-mail nahlásit).
Jak zapojit testovací phishing do vzdělávání ve firmě?
Simulované phishingové kampaně jsou sice účinným nástrojem pro zvyšování povědomí o kybernetických hrozbách mezi zaměstnanci, ale měly by být součástí širší vzdělávací koncepce a dalších aktivit v oblasti kyberbezpečnosti. To zahrnuje pravidelně se opakující školení zaměstnanců v této oblasti, která budou zohledňovat nejnovější trendy ve phishingových útocích.
Testovací phishingové simulace představují účinný nástroj pro identifikaci slabých míst v bezpečnostním povědomí zaměstnanců a zlepšení jejich schopnosti rozpoznávat potenciální hrozby. Integrace těchto simulací do širšího rámce bezpečnostních opatření spolu s aktivní podporou odhalení ze strany manažerů může výrazně posílit odolnost firem proti phishingovým útokům.
Co si z článku odnést?
- Za většinu úspěšných hackerských útoků stále může lidský faktor.
- Počet phishingových e-mailů, které vedou k úniku dat nebo instalaci škodlivého malwaru do firemních systémů, v roce 2023 několikanásobně narostl.
- Součástí školení zaměstnanců by proto měly být phishingové testy, které věrně simulují aktuální typy kyberútoků a trénují zaměstnance k obezřetnosti a větší pozornosti.
- Phishingové simulace by měly odrážet rizika, kterým jsou firmy vystavené. Jejich výsledky by měly bezpečnostním týmům poskytnout další informace ohledně toho, co je ve firmě potřeba dále zabezpečit.
Marketingový specialista pro B2B
Byl pro vás článek užitečný?
Mohlo by vás zajímat
DALŠÍ ČLÁNKY
Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2
Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?
Jak zabezpečit firemní prohlížeče a eliminovat rizika?
