Mesék a való életből 2.: célzott phishing

Sorozatunk soron következő részében egy vállalatról lesz szó, ahol a munkavállalók 3 féle phishing levelet kaptak a vizsgálat keretein belül.

  1. Kedvezményt biztosító levél
  2. Egészségügyi probléma (műtét) kapcsán sürgős segítséget kérő levél
  3. Home office gyakorlattal kapcsolatos véleményekre kíváncsi kérdőív

Általános phishing szimulációnk során a legnehezebb eldöntenünk (az Ügyféllel közösen), hogy időben és célpontok tekintetében mikor és hogyan kerüljenek megküldésre a levelek.

Amennyiben egyszerre durran el az összes muníció felkeltheti a gyanút, hogy mi ez a pár, a szokásos napi levélfolyamba nem illő, üzenet. Ha nagy kihagyás van a levelek küldése között, az érintett munkavállalók értesíthetik egymást, hogy valami nem stimmel. Ezzel nincs probléma, de magával hozhatja a “majd szólnak a többiek, ha valami gond van” mentalitást, így a munkavállaló ilyen irányú figyelme lankadhat.

Esetünkben az arany középutat választottuk: első nap az egyik, másik nap, pár óra eltéréssel, a két másik levél ment ki.

Az eredményeket tekintve az első üzenet a munkavállalók közel 60%-ánál sikerrel vizsgázott, azaz céges e-mail és jelszópárost adtak meg regisztráció során, továbbá (többször is) lefuttatták a csatolt Office dokumentumban található makrókat.

A második levél egyáltalán nem hozott pozitív találatot, a harmadik pedig mindössze kettőt. Megbízói részről kapott információk alapján az első levél után elindult a munkavállalói riadóztatás: jelezték egymásnak, hogy nem stimmelnek a levelek, ne nyissa meg senki, ne kattintson stb.

Összefoglalva, sikeres volt a kampány több szempontból is: egyrészt kiderült, hogy az információbiztonság tudatosság a munkavállalók közel 60%-nál nem megfelelő szintű, továbbá az is, hogy 40%-nál viszont igen.

Mivel egy ilyen vizsgálat során, úgymond menet közben is tanulnak az érintett munkavállalók (miután tudomásukra jut, hogy “csalás áldozatai” lettek) így másodrészt az érzékenyítés is sikerrel járt, hiszen a második és harmadik levél már nem hozott érdemi pozitív eredményt.

Az utógondozás keretein belül egy többnapos infobizt. tudatossági oktatást tartunk a vállalatnál, melynek része lesz a kampányból készített esettanulmány feldolgozása, valamint tanácsok, elkerülési és detektálási technikák bemutatása a vállalat munkavállalói részére.

Pin It on Pinterest