Phishingový test – aké nedostatky v bezpečnosti Vašej firmy môže odhaliť?
Sociálne inžinierstvo je technika využívajúca manipuláciu za účelom získania citlivých informácií alebo vykonania nejakej akcie.
Útokom využívajúcim sociálne inžinierstvo podľahli aj spoločnosti ako Twitter a Microsoft. V júli 2020 útočníci využili sociálne inžinierstvo na zmanipulovanie zamestnancov Twitteru a následné nadobudnutie prístupu k populárnym účtom. Začiatkom roka 2019 zase hackeri ukradli prihlasovanie údaje zamestnancov podpory spoločnosti Microsoft a vďaka tomu získali prístup k užívateľským účtom na niekoľko mesiacov.
Medzi najčastejšiu formu sociálneho inžinierstva patrí phishing, pri ktorom sa útočník snaží od užívateľa vymámiť citlivé informácie ako heslá alebo čísla kreditných kariet. Útočníci pritom dokonale napodobňujú prihlasovacie portály známych služieb od Microsoftu, Google a pod. Stránky častokrát pripomínajú svoje legitímne verzie vzhľadom, použitím firemných log aj podobne vyzerajúcou adresou.
Existuje množstvo bezpečnostných technológií, ktoré chránia proti phishingu. Jedná sa o anti-phishingové filtre v e-mailových klientoch, filtre vo webových prehliadačoch aj zabudované prvky v komerčných bezpečnostných riešeniach. No aj napriek všetkým týmto technológiám predstavuje phishing, vo väčšine firiem, rastúcu hrozbu a patrí medzi najčastejšie riešené incidenty.
Najúčinnejšou ochranou voči phishingu, ale aj iným formám sociálneho inžinierstva je vzdelávanie. Je potrebné naučiť zamestnancov rozoznávať podvodné stránky a rôzne techniky sociálneho inžinierstva. Je dobré zamestnancom ukázať praktické príklady útokov, ideálne interaktívnou formou v podobe súťaže alebo kvízu.
Sociálne inžinierstvo sa tiež využíva pri malvéri, kde na obídenie bezpečnostných prvkov v operačných systémoch a Microsoft Office je častokrát potrebná užívateľská interakcia. Typickým príkladom sú makrá vložené v Office dokumentoch, pre ktorých vykonanie je potrebné presvedčiť užívateľa vypnúť chránený režim a povoliť makrá. Na spustenie makier sa útočníci snažia napodobniť vzhľad legitímneho Office a Windows UI.
Skvelou formou na vyhodnotenie odolnosti svojej organizácie je phishingový test. Uskutočniť efektívny phishingový test nie je jednoduché. Vyžaduje to nie len technickú zdatnosť pri napodobnení legitímnych stránok, no aj schopnosť vytvoriť pocit urgencie u užívateľa.
Testovať odolnosť organizácie voči sociálnemu inžinierstvu môže odhaliť bezpečnostné nedostatky účtov, nevyškolených zamestnancov ako aj nedostatky v rámci internej komunikácie a riešenia bezpečnostných incidentov.
Školenie s názvom Ofenzívna bezpečnosť sociálnym inžinierstvom sa bude venovať práve praktickému využitiu sociálneho inžinierstva pri útoku. Nadobudnuté vedomosti je možné využiť nie len pri penetračnom teste a red teamingu, ale aj pri následných školeniach.