S phishingovými útoky v kyberprostoru se potkal každý z nás, ať už o tom vědomě víme, nebo ne. V podstatě dnes a denně na nás míří přes emailové schránky, sms, nebo podvodné telefonáty. O typech útoků a technikách, které útočníci používají se můžete dočíst na našem webu. V tomto blogu bychom s vámi rádi sdíleli zkušenosti a výsledky z námi realizovaných útoků - phishingových kampaní, které realizujeme pro naše zákazníky.
Nekonečné diskuze při přípravě kampaně (testování)
Při přípravě phishingových kampaní, které nejčastěji realizujeme pomocí zasílání podvodných emailů, se často s našimi zákazníky dostáváme do diskuze, co má a nemá smysl, že mají ve firmě inteligentní a vzdělané zaměstnance a nachytá se opravdu jen málokdo. K tomu je nutné dodat, že i kdyby to tak bylo, tak úniku dat nebo vniknutí útočníka do firemních systémů v naprosté většině případů předchází lidská chyba a nejčastěji je to právě kliknutí na phishingový email, takže testování a osvěta je důležitá i v případě, kdy by pochybili pouze jednotlivci.
Z realizovaných testů ale bohužel víme, že se na "návnadu" v průměru chytí 40% zaměstnanců. A teď si to promítněte na počet lidí ve vaší firmě...
Bližší pohled na výsledky realizovaných testů
Pokud se budeme bavit o základním phishingu, tzn. kampaň mířící na všechny zaměstnance v několika vlnách a za použití různých šablon, tak skutečně výsledky ukazují, že asi 60% příjemců podvodný email otevře a necelá polovina (uvedených 40%) klikne na přiložený link v podobě call to action tlačítka nebo jiného odkazu vedoucího na podvodnou webovou stránku požadující další akci, nejčastěji zadání přihlašovacího jména a hesla. Pokud si myslíte, že tady cesta končí, tak nikoliv, polovina z příjemců, kteří se na podvodnou stránku proklikli požadovaný login a heslo zadá, v číslech to vychází na 15-20% z celkového množství.
U sofistikovanějšího phishingu, kdy cílíme na užší skupiny uživatelů a používáme ještě personalizovanější metody jsou čísla velmi obdobná. Pokud si myslíte, že jsou velké rozdíly v jednotlivých odvětvích, nebo pozicích ve firmách, tak tomu tak není.
Kudy vede cesta
Z uvedených výsledků jasně vyplývá, že vedle technického zabezpečení by se firmy měly soustředit zejména na vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti a pravidelně testovat jejich ostražitost. Navíc samozřejmě platí, že se nejedná o jednorázovou činnost, ale o opakovaný proces, kterým musí firma i zaměstnanci procházet
V případě zájmu o testování nebo školení zaměstnanců ve firmě nás neváhejte kontaktovat.
Váš Safee tým