22 prosinec 2024 / 6 minut čtení
Jak jednoduché je pro hackera převzít kontrolu nad vaší společností? V anonymizované Případové studii našeho zákazníka vám ukážeme, jak jednoduché je pro hackery zneužití vašich zaměstnanců pro vstup do firemní sítě a jak se tomu co nejefektivněji bránit. V této kampani jsme hackli téměř 40 % obětí a přitom k ovládnutí firemní sítě stačí hacknout jednu se správnými oprávněními.
Zákazník nás oslovil se zadáním na simulovaný phishingový útok s cílem otestovat tři důležité součásti ochrany před potenciálními riziky útoků:
Pro tyto cíle jsme se rozhodli spustit kombinovaný simulovaný útok Vishing & Phishing. Úspěšné provedení takové kampaně vyžaduje vysokou odbornost realizačního týmu. Náš Red Team Citadelo má více než 10 leté znalosti o aktuálních kybernetických hrozbách, technologiích útočníků a jejich chování, či o chování obětí. Na základě těchto znalostí jsme byli schopni nasimulovat přesný útok tak, jak by ho provedli skuteční útočníci.
Samotné kampani předcházela příprava našeho týmu a vytvoření scénářů na jednotlivé typy útoků.
1. Phishing | pokus o podvodné získání citlivých informací prostřednictvím elektronické komunikace.
Pro provedení phishingového útoku jsme si zaregistrovali vizuálně podobné doménové jméno s doménou našeho klienta. Pod touto adresou jsme následně vytvořili:
2. Vishing | pokus o podvodné získání citlivých informací prostřednictvím telefonátu.
Pro telefonické oslovování zaměstnanců jsme metodou OSINT (open source intelligence) shromáždili kontaktní informace z veřejně dostupných zdrojů. Následně jsme:
Během samotné kampaně simulující útok jsme telefonicky kontaktovali zaměstnance společnosti a vydávali se za jejich kolegy z IT oddělení. Požádali jsme je o součinnost v rámci jejich IT zařízení a pokusili se je strategií sociálního inženýrství přesvědčit k provedení nebezpečných aktivit, které vedou například ke spuštění škodlivého softwaru.
Během telefonátu jsme jim z podvržené e-mailové adresy poslali phishingový e-mail, který vypadal jako skutečný firemní e-mail.
"Množství zaměstnanců firem podobný nebezpečný e-mail otevře, což vede k nemalým škodám. Například 58 % organizací utrpělo v roce 2023 převzetí účtů, z nichž 79 % pocházelo z přihlašovacích údajů získaných prostřednictvím phishingu."
Cílem útočníka bylo navigovat zaměstnance, aby se z e-mailu dostal na podvrženou webovou stránku, kde zadá své osobní údaje, v tomto případě e-mailovou adresu. Dalším cílem, který jsme simulovali, bylo spuštění potenciálně nebezpečného příkazu zaměstnancem na firemním počítači.
Možností, jak se může útočník obohatit a poškodit firmu, je více. Jejich výběr závisí na samotném útočníkovi a společnosti, standardně však jde o tyto nejčastější rizika:
"Naučte zaměstnance základy IT bezpečnosti." Škody způsobené kyberkriminalitou se do roku 2025 více než zdvojnásobí na celkových $10,5 bilionu. Investicí do kyberbezpečnosti můžete ušetřit až čtyřnásobek potenciálních škod ve vaší firmě.
I přesto, že zaměstnanci společnosti zadavatele neměli první zkušenost s testováním, ukázalo se, že není vhodné podobné útoky podceňovat.
1. Prověření bezpečnostního povědomí zaměstnanců v oblasti sociálního inženýrství.
Jak reagovali zaměstnanci firmy? Přestože nejde o jejich chybu, i v tomto případě se potvrdilo, že člověk je v ochraně před kybernetickými útoky tím nejslabším článkem. A výsledky?
Úspěšnost této kampaně za dva dny dosáhla kritických 36,2 %. Jde o nebezpečnou hodnotu, která ukazuje, že více než jedna třetina zaměstnanců je vážně ohrožena podobnými útoky.
Celkové riziko: Kritické
2. Otestování zabezpečení a konfigurace e-mailových serverů společnosti.
Během přijímání podvržených e-mailů na serverech proběhla kontrola důvěryhodnosti domény, parametrů a obsahu e-mailu, které podobné e-maily detekují nebo nepustí přes spam filter k příjemci.
Přestože měla společnost obstojnou bezpečnostní konfiguraci poštovního serveru, podařilo se nám phishingové e-maily doručit do schránek příjemců.
Celkové riziko: Střední
3. Prověření reakce interního SOC týmu na tento typ útoku.
Společnost klienta má své vlastní bezpečnostní centrum (SOC - Security Operations Center), jehož úkolem je včas reagovat na podobné útoky a předcházet dalším rizikům a škodám. Přesto jsme byli schopni kontaktovat zaměstnance a přesvědčit je k následování našich instrukcí a nebezpečným aktivitám na jejich počítači.
Celkové riziko: Střední
Podobným útokům a jejich vážným následkům či finančním ztrátám je přitom možné jednoduše předcházet pravidelným vzděláváním, testováním a audity.
Účinnost kybernetické obrany však často stojí a padá na samotných zaměstnancích, kteří podobné útoky rozpoznají a nahlásí, díky čemuž může bezpečnostní oddělení zablokovat podvržené emailové adresy a webové stránky.
Nepodceňte situaci ve své společnosti a ochraňte své podnikání před rostoucími a stále promyšlenějšími kybernetickými útoky. Pomoci vám v tom může Tomáš Horváth.
Závěrem bychom rádi poděkovali všem klientům, kteří se spolu s námi vydali na cestu šíření edukace v oblasti rizik v kybernetickém prostoru a důležitosti etického hackingu prostřednictvím sdílení svého autorizovaného příběhu. Velmi si toho ceníme.
Všechny články
Přihlaste se k odběru našeho newsletteru a získejte všechny důležité novinky v oblasti kybernetické bezpečnosti a etického hackování.