Případová studie: úspěšnost phishingových kampaní

Má-li firma nasazena všechna bezpečnostní opatření minimalizující rizika infiltrace její počítačové sítě, existuje již jen jeden slabý článek, který může ohrožovat její bezpečnost. Tímto článkem jsou zaměstnanci. Lidé dělají chyby, ať už nevědomě či vědomě. Cílem kampaní zaměřených na sociální inženýrství jsou právě koncoví uživatelé. Odeslání podvrženého e-mailu s odkazem na falešné stránky není velmi náročná operace a již pouhé jedno otevření důvěřivým uživatelem může mít za následek infekci firemního počítače. V této případové studii Vám představíme metodiku naší práce a vyhodnocení její úspěšnosti.

 

Co je to phishing

Phishing je jedna z největších hrozeb, které čelí každý uživatel internetu. Je to forma útoků, kde se útočník snaží vylákat údaje uživatele pomocí podvodné e-mailové zprávy, nebo stránky, která připomíná jemu známou stránku či email. Při úspěšném provedení útoku dochází ke zcizení přihlašovacích údajů či dokonce přístupových údajů k bankovním účtům. Nejlépe cílenou skupinou jsou senioři, kteří nemají dostatečné znalosti v internetové bezpečnosti a snadno se na podvodné e-maily nalákají.

 

Nejčastěji mohou být phishingové útoky spojeny s tématy, jako jsou:

  • falešné výherní soutěže;
  • aktuální epidemiologická situace (například v souvislosti s COVID-19 se objevuje mnoho útoků);
  • požadavky na aktualizaci osobních údajů;
  • a další. 

Existují však možnosti, jak se mu efektivně bránit. Kromě správně nastavené poštovní hygieny ve společnosti (povolené a zakázané poštovní servery, spamové filtry, obsahové filtry, ...) je velmi důležité dbát na pravidelné školení pracovníků v oblasti kybernetické bezpečnosti, a tím zajištění jejich obezřetnosti.

 

Jak nejlépe identifikujete, že se jedná o útok?

  • Emaily od bank s žádostí o přihlášení se k účtu přes e-mail, banky ani jiné solidní instituce totiž nikdy nežádají v emailových zprávách přihlášení k účtu. 
  • Hypertextové odkazy ve zprávě vedoucí na jinou adresu, než je uvedeno v textu. 
  • Je přítomná podezřelá spustitelná příloha nebo na ni vede odkaz. 
  • Je vyžadováno okamžité sdělení citlivých údajů pod pohrůžkou, že dojde k omezení, zrušení nebo zamezení nějaké služby. 
  • Zpráva přijde v netypickém jazyce. 

 

Jak se takovým útokům nejlépe bránit?

  • Pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti. 
  • Neodpovídat na žádné nevyžádané zprávy, byl by to signál, že je adresa používaná a spamů by chodilo o mnoho více. 
  • Otevírat pouze zprávy od odesílatelů, které opravdu znáte. 
  • Být opatrný při klikání na odkazy v obdržených emailech. 
  • Nikdy nikomu nesdělovat čísla účtů, PINy, hesla atd.
  • Neposílat a nevkládat osobní data nebo bankovní informace na nezabezpečené webové stránky. 

 

Jak jsme postupovali

V prvním kroku jsme vytvořili podvodnou důvěryhodnou webovou stránku, která byla věrnou kopií originálních stránek firmy XY. Šlo o doménu, kde byla změněna pouze koncovka z „cz“ na „ga“. V této fázi nebyly ukládány žádné údaje, pouze jsme zkoumali, kolik zaměstnanců této společnosti e-mail, či dokonce stránku, na kterou se v e-mailu odkazovalo, otevře.

Druhý krok spočíval ve vytvoření několika podvodných a věrohodných e-mailových šablon. Celkem jsme vytvořili tři, a to: 

  • Tematicky zaměřenou na probíhající oficiální soutěž firmy XY, odkazy zde vedly na podvodné stránky s přihlašovací obrazovkou.
  • E-mail upozorňující na nová platná koronavirová opatření, kde odkazy vedly opět na podvodné stránky s přihlašovacím oknem. 
  • E-mail upozorňující na sdílený sešit aplikace Microsoft Excel s docházkou nových zaměstnanců, odkazy vedly znovu na podvodné stránky s přihlašovacím oknem. 

Třetím, a zároveň posledním, krokem, bylo rozplánování kampaní. Celkem jich bylo vytvořeno pět, kdy byly použity 3, již vytvořené, šablony. Kampaně nebyly odesílány najednou, ale v průběhu dvou dnů. Vždy byly odesílány jen na část zaměstnanců, kde každá skupina cílových uživatelů obdržela jiný e-mail. 

  • 1. Kampaň – 99 uživatelů – e-mail o soutěži
  • 2. Kampaň – 100 uživatelů – e-mail s odkazem na MS Word dokument
  • 3. Kampaň – 100 uživatelů – e-mail s odkazem na MS Excel dokument
  • 4. Kampaň – 100 uživatelů – e-mail o soutěži
  • 5. Kampaň – 73 uživatelů – e-mail s odkazem na MS Word dokument

Každému cílovému uživateli byl vygenerován unikátní identifikační kód, na jehož základě bylo možné sledovat, kdy falešné stránky navštívil a kdy odeslal přihlašovací formulář. Jiná data shromažďována nebyla. Po vyplnění přihlašovacího formuláře byli uživatelé přesměrování na oficiální stránky společnosti.

 

Konečné hodnocení

Na základě našich prací jsme identifikovali zjištění uvedené v další kapitole. V rámci realizovaných phishingových kampaní bylo zjištěno, že až 38 % zaměstnanců e-maily otevřelo a až 31 % zaměstnanců zadalo svoje přihlašovací údaje.