Usługi
Ataki
Ataki Phishingowe
i przetestuj swoją organizację – phishing
Phishing to forma cyberprzestępstwa lub oszustwa opartego na socjotechnice. Nazwa jest świadomym błędem w pisowni terminu 'fishing’ oznaczającego łowienie ryb.
Nazwa słusznie kojarzy się z wędkarstwem, bowiem chodzi tu o łowienie – tyle tylko, że rybką są tu nasze loginy, hasła czy numery dowodu albo karty kredytowej. „Wędkarz” może nas obrobić, ale też sprzedać te dane komuś innemu.
Termin „phishing” odnosi się więc do procesu zbierania (kradzieży) danych przez przestępców.
Najczęściej przestępca tworzy np. prawie idealną replikę popularnej strony WWW np. instytucji finansowej lub związanej ze sprzedażą on-line.
Następnie rozpoczyna się „phishing”. Stworzone przez phisherów odsyłacze kierują użytkowników bezpośrednio do fałszywej strony WWW, na której „schwytana ryba” wprowadza poufne informacje, dotyczące numerów kont bankowych, kart kredytowych, haseł dostępu itp.
W ten sposób hakerzy gromadzą dane, które umożliwiają im swobodny dostęp do konta użytkownika.
Inne z metod phishingu zakładają wysyłanie fałszywych wiadomości, w których osoba lub organizacja, której najczęściej ufamy, wzywa do podania danych logowania lub przejścia na podany w linku portal. Często towarzyszy temu próba przestraszenia użytkownika, by ten działał impulsywnie, bez zastanowienia.
Statystyki wskazują, że właściwie nie ma branży lub okresu, w którym takie ataki nie przyniosłyby olbrzymiego zysku cyberprzestępcom. Pandemia COVID-19, w związku z masowym przejściem na system pracy zdalnej dodatkowo zwiększyła zagrożenie w tym zakresie.
Dlatego też naszą ofertę rozszerzyliśmy nie tylko o działania z zakresu uświadamiania, gdzie celowo phishing stanowi naszą lekcję demonstracyjną szkolenia Security Awareness, ale też świadczymy dodatkowe usługi z tego zakresu.
Usługi, na podstawie których powstał program:
Security Awareness Plus
Program budowania świadomości
Nasz program budowania świadomości w zakresie przeciwdziałania phishingowi jest efektem wielu lat doświadczeń, które zdobyliśmy, realizując liczne projekty dla różnych branż. Tym samym nasz program uwzględnia potrzeby i specyfikę różnych firm oraz instytucji.
Programy, dotyczące budowania świadomości w zakresie phishingu, składają się z wzajemnie oddziaływujących na siebie działań – systematycznej edukacji i działań uświadamiających oraz okresowego testowania.
1
Szkolenia i działania
uświadamiające
Zwiększenie świadomości użytkowników w zakresie phishingu, rozpoczyna się od zapoznania podstawami phishingu. Uczestnicy dowiadują się o tym, jakie środki komunikacji są używane, jak wyglądają ataki, jakie taktyki socjotechniczne są stosowane i w jaki sposób użytkownik może sam wykryć oszustwo.
W kolejnych iteracjach programu budowania świadomości, szkolenia są systematycznie doskonalone i dopasowywane do przeprowadzanych wyników testów socjotechnicznych.
2
Dostosowanie testów
Dla naszych klientów starannie opracowujemy zakres scenariuszy i sposób przeprowadzania testów socjotechnicznych, które mogą obejmować różne kanały i metody nawiązania komunikacji ze współpracownikami firmy.
Scenariusze mogą obejmować klasyczne metody, wykorzystujące fałszywe wiadomości e-mail, przez ukierunkowane, wyrafinowane wiadomości spear-phishing a także inne ataki, wykorzystujące komunikatory, wiadomości SMS oraz komunikację głosową. Scenariusze przygotowywane są w taki sposób, aby możliwie dokładnie zasymulować realne działania ofensywne. Tworząc scenariusze, wykorzystujemy socjotechnikę, w tym szczególnie ludzką ciekawość, roztargnienie, a także różne zdarzenia związane z klientem, specyfiką danego okresu lub branży.
3
Testowanie i pomiar
skuteczności
Właściwe testy socjotechniczne realizowane są na podstawie zaakceptowanych przez Klienta scenariuszy, w uzgodnionych terminach.
Pomyślne wykonanie testu oznacza, że udało się przekonać użytkownika do wykonania działań, które w sytuacji rzeczywistego ataku, pozwoliłyby na przejęcie kontroli nad komputerem użytkownika oraz na dalsze uzyskanie nieautoryzowanego dostępu do wewnętrznych zasobów Klienta.
Podstawowym miernikiem podatności organizacji na ataki phishingowe jest współczynnik kliknięć użytkowników (clickrate). Oznacza to, że zawiodły zarówno zabezpieczenia techniczne, ponieważ wiadomość dotarła do celu, jak i ludzkie, ze względu na nieprawidłową reakcję użytkownika.
4
Doskonalenie szkoleń
Śledzenie wyników testów socjotechnicznych pozwala podejmować świadome decyzje w zakresie doskonalenia działań edukacyjnych, w szczególności szkoleń uświadamiających, aż do uzyskania poziomu uznanego za akceptowalny z perspektywy systemu zarządzania ryzykiem.
Przejście poszczególnych kroków 1-4 rozpoczyna kolejny cykl edukacyjny.
Cykle realizowane są zgodnie z indywidualnym zapotrzebowaniem Klienta, wynikającym z aktualnego poziomu dojrzałości w zakresie ochrony przed atakami socjotechnicznymi.
Ataki phishingowe są powszechne i bywają trudne do zablokowania. Z drugiej strony realizowane są schematycznie.
Użytkownicy, znając te schematy działania, mają rozpoznać zagrożenie i skutecznie przeciwdziałać w przypadku jego wystąpienia.
Realizacja programu, składającego się z działań uświadamiających oraz testów, zapewniają pełne doświadczenie edukacyjne użytkowników i realne szanse na uniknięcie skutków ataków phishingowych.
