Sytuacja wyjściowa

Firma produkcyjna chciała zweryfikować odporność organizacji na ataki hakerskie. Jej celem było zbadanie poziomu bezpieczeństwa IT i podjęcie działań, które w przyszłości zmniejszą ryzyko skutecznego ataku.

Zaproponowaliśmy przeprowadzenie testu phishingowego, czyli kontrolowanego ataku hakerskiego na pracowników.

Polega on na przesłaniu fałszywej wiadomości e-mail do zespołu. W ten sposób sprawdza się reakcję pracowników na phishing oraz określa odsetek osób, który udostępnia wrażliwe dane „oszustom”.

Blisko 170 osób
objętych testami phishingowymi.

Prawie 40% osób
kliknęło w link i weszło na fałszywą stronę.

24 pracowników
podało swoje dane do logowania.

Przygotowania

Prace rozpoczęliśmy od zebrania informacji na temat firmy, jej struktury i pracowników. Wykorzystaliśmy te dane do opracowania realnych scenariuszy testów. Klient otrzymał od nas kilka scenariuszy do wyboru i zaakceptował jeden z nich.

Przygotowaliśmy zaplecze techniczne do przeprowadzenia kampanii phishingowej według wybranego wariantu. Opracowaliśmy wiadomości e-mail oraz komunikaty, które miały wyświetlać się pracownikom. Wykonaliśmy testową kampanię phishingową, upewniając się, że docelowa akcja zostanie przeprowadzona prawidłowo.

Przygotowania prowadziliśmy w dyskrecji przed pracownikami i we współpracy z koordynatorem wyznaczonym przez Klienta.

Firma miała do wyboru trzy warianty: przeprowadzić testy phishingowe wobec wybranych pracowników, jednego działu lub całej organizacji. Zdecydowano, że e-maile zostaną rozesłane do wszystkich pracowników jednocześnie.

Jak przebiegały testy phishingowe?

Wybrany scenariusz ataku

Firma produkcyjna na co dzień korzysta ze środowiska Microsoft 365, a pracownicy często udostępniają sobie pliki, dlatego zdecydowano się na scenariusz testu phishingowego pt. „SharePoint”.  Wykorzystaliśmy informację, że zespół przygotowuje się do wyjazdu integracyjnego z okazji 20-lecia firmy. 

Pracownicy otrzymali od „swojego przełożonego” e-mail, którego treść widać na grafice obok.

Scenariusz zakładał, że „osoba z zarządu” przesyła do wszystkich pracowników plik o nazwie „Wyjazd integracyjny 2025”. Po kliknięciu w link pracownicy byli przenoszeni na zbudowaną przez nas stronę internetową, na której znajdował się fałszywy formularz do logowania. Plik miał być dostępny po zalogowaniu się na konto Microsoft. Osoby, które podały dane w fałszywym formularzu, otrzymywały informację „Dokument jest już niedostępny”.

Do opracowania fałszywej wiadomości e-mail wykorzystaliśmy:

Autorytet przełożonego

Osoba wysoko postawiona w strukturze organizacyjnej udostępnia plik swoim podwładnym. Miało to skłonić zespół do kliknięcia w plik i sprawdzenia jego zawartości.

Informacje wewnętrzne

Wiadomość odnosiła się do wewnętrznych informacji na temat planowanego wyjazdu integracyjnego, o którym oszuści z pozoru „nie powinni wiedzieć”. To miało uśpić czujność adresatów.

Format e-maila, który pracownicy widzieli wielokrotnie

Wiadomość z „plikiem udostępnionym” w środowisku Microsoft 365 ma charakterystyczny format. Wykorzystaliśmy go w testach, aby dodatkowo zbudować wiarygodność komunikatu.

Pierwsze wyniki znaliśmy już po kilku minutach

 

Już po kilku minutach otrzymaliśmy informację o kilkunastu osobach, które otworzyły wiadomość phishingową i kliknęły w link. W ciągu godziny ponad 10 osób podało swoje dane do logowania, aby zobaczyć zawartość pliku.

Ostateczna liczba "ofiar" była jednak znacznie wyższa.

 

Podgląd wyników

Specjaliści ds. bezpieczeństwa IT z Global IT Solutions mieli podgląd na wyniki na żywo. W czasie trwania testów Klient otrzymywał od nas informacje na bieżąco. W czasie rzeczywistym monitorowaliśmy statystyki, obserwując reakcję konkretnych użytkowników. Widzieliśmy co dany użytkownik zrobił z wiadomością phishingową, sprawdzając:

· Ile osób otworzyło podejrzanego maila? 

· Ile osób kliknęło w link z wiadomości?

· Ile osób wypełniło fałszywy formularz?

Na tej podstawie określiliśmy poziom ryzyka IT w organizacji: otworzenie i przeczytanie wiadomości e-mail oznacza stosunkowo niskie zagrożenie. Znacznie gorsze jest klikniecie w link. Z kolei wypełnienie formularza oznacza dla firmy przejęcie poufnych informacji przez oszustów.

Wyniki kampanii phishingowej w tej firmie były niepokojące: niektóre osoby wypełniły fałszywy formularz po kilkanaście razy.

Statystyki z przeprowadzonej kampanii phishingowej prezentują się następująco:

81/167 osób otworzyło maila (48,50%)

12/167 osób odpowiedziało na maila (7,19%)

62/167 osoby kliknęły w link (37,13%)

24/167 osoby podały swoje dane (14,37%)

 

Ważne: Podczas testów phishingowych mamy podgląd w statystyki, ale nie zbieramy danych do logowania. Nie mamy podglądu haseł i loginów Twoich pracowników, nie gromadzimy tych danych, ani ich nie przechowujemy.

Jaki był efekt testów phishingowych?

Prawie 50% wszystkich pracowników, biorących udział w testach phishingowych otworzyło podejrzaną wiadomość. Niemal 40% zdecydowało się kliknąć w link, a niespełna 15% udostępniło swój login i hasło w fałszywym formularzu logowania.

To oznacza, że „oszuści” przejęli dostęp do kont 24 pracowników firmy.

Akcja phishingowa zakończyła się po 48 godzinach. Po tym czasie pracownicy otrzymali wiadomość informującą o udziale w testach phishingowych.

Jak można było rozpoznać, że ta wiadomość jest wiadomością phishingową?

Kampania phishingowa została zaprojektowana tak, jak prawdziwy atak hakerski. Bardzo często realny atak można rozpoznać jeszcze przed otwarciem wiadomości – tak też było w tym wypadku.

Komunikat „Ta wiadomość pochodzi spoza organizacji. Nie klikaj w link ani nie otwieraj załączników, chyba że rozpoznajesz nadawcę i wiesz, że zawartość jest bezpieczna.”

Firma korzysta z poczty Exchange od Microsoft. Pracownicy, którzy dostali wiadomość phishingową, mogli zobaczyć komunikat „Ta wiadomość pochodzi spoza organizacji”. To powinno im zasugerować, że nadawca nie jest tym, za kogo się podaje. Mimo to wiele osób zdecydowało się otworzyć wiadomość i kliknąć w zawarty w niej link.

Komunikat „Ten nadawca jest spoza Twojej organizacji”

 

Niektóre organizacje mają dodatkowy komunikat informujący o próbie oszustwa. Tak też było w tym przypadku. Po otworzeniu e-maila pracownicy zobaczyli czerwoną etykietę „Ten nadawca jest spoza Twojej organizacji”. Niestety, wielu pracowników ją zignorowało.

Błędny adres e-mail nadawcy

Podczas akcji phishingowej „przełożony” przesłał do swoich pracowników maila z plikiem udostępnionym. E-mail przełożonego był jednak nieprawidłowy – nie pochodził z domeny firmowej. Załóżmy, że firma korzysta z e-maili: mariusz.kowalski@firma.pl. Podczas ataku pracownicy dostali wiadomość z adresu mariusz.kowalski@securitycheck.pl. Inna nazwa domeny nie wzbudziła podejrzeń u wielu osób.

Nieprawidłowa strona logowania

To jednak nie wszystko, bo nawet po kliknięciu w link, pracownicy mogli rozpoznać, że mają do czynienia z phishingiem. Strona logowania do platformy Microsoft wyglądała nieprawidłowo: brakowało firmowego tła oraz logotypu firmy. Choć pracownicy widzieli ekran logowania do Microsoft niejednokrotnie, to nie mieli świadomości, że brak tych unikalnych elementów świadczy o próbie wyłudzenia danych.

Zakończenie testów:

Po przeprowadzeniu testów przesłaliśmy do pracowników e-mail informujący o udziale w kampanii phishingowej. Wiadomość zawierała opis popełnionych błędów.

Zespół otrzymał też materiały edukacyjne, informujące m.in. o tym, na czym polega phishing i z jakich technik korzystają oszuści. Kampania edukacyjna zakończyła się testem wiedzy oraz szkoleniem z cyberbezpieczeństwa, w którym wzięli udział wszyscy pracownicy.

Zarząd otrzymał szczegółowy raport z przeprowadzonych działań, który zawierał:

  • Scenariusz testu phishingowego,
  • Opis poszczególnych etapów testu,
  • Screeny wiadomości phishingowych i fałszywego formularza,
  • Podsumowanie rezultatów (ile osób otworzyło maila, kliknęło w link i podało dane w fałszywym formularzu logowania),
  • Interpretację wyników
  • Opis poziomu ryzyka cyberbetycznego w firmie,
  • Szczegółowe dane na temat zachowania poszczególnych pracowników,
  • Zalecenia: jak podnieść bezpieczeństwo IT firmy i ograniczyć ryzyko udanych ataków phishingowych w przyszłości?

Podsumowanie:

  • Blisko 170 pracowników objętych testami phishingowymi
  • Prawie 40% użytkowników kliknęło w podejrzany link i weszło na fałszywą stronę
  • 15% pracowników podało swoje dane do logowania „oszustom”
  • Realny scenariusz ataku, dostosowany do aktualnej sytuacji firmy
  • Monitorowanie wyników na żywo
  • Raport ze szczegółowymi informacjami na temat akcji poszczególnych pracowników
  • Szkolenie z cyberbezpieczeństwa i kampania edukacyjna
  • Ocena poziomu ryzyka organizacji
  • Rekomendacje dalszych działań.

Mógłbyś skorzystać na podobnym wsparciu w IT?

Umów się na bezpłatną konsultację!

Skontaktuj się