Jak jednoduché je pro hackera převzít kontrolu nad vaší společností? V anonymizované Případové studii našeho zákazníka vám ukážeme, jak jednoduché je pro hackery zneužití vašich zaměstnanců pro vstup do firemní sítě a jak se tomu co nejefektivněji bránit. V této kampani jsme hackli téměř 40 % obětí a přitom k ovládnutí firemní sítě stačí hacknout jednu se správnými oprávněními. 

Zadání zákazníka

Zákazník nás oslovil se zadáním na simulovaný phishingový útok s cílem otestovat tři důležité součásti ochrany před potenciálními riziky útoků:

1. bezpečnostní povědomí zaměstnanců v oblasti sociálního inženýrství,
2. nastavení zabezpečení mailových serverů společnosti,
3. reakci interního SOC týmu na tento typ útoku.

Pro tyto cíle jsme se rozhodli spustit kombinovaný simulovaný útok Vishing & Phishing. Úspěšné provedení takové kampaně vyžaduje vysokou odbornost realizačního týmu. Náš Red Team Citadelo má více než 10 leté znalosti o aktuálních kybernetických hrozbách, technologiích útočníků a jejich chování, či o chování obětí. Na základě těchto znalostí jsme byli schopni nasimulovat přesný útok tak, jak by ho provedli skuteční útočníci.

Jak simulovaný útok probíhal? 

Samotné kampani předcházela příprava našeho týmu a vytvoření scénářů na jednotlivé typy útoků.

 1. Phishing | pokus o podvodné získání citlivých informací prostřednictvím elektronické komunikace.

Pro provedení phishingového útoku jsme si zaregistrovali vizuálně podobné doménové jméno s doménou našeho klienta. Pod touto adresou jsme následně vytvořili:

• podvrhnutou webovou stránku se stejným designem webu klienta,
• 4 podvrhnuté e-mailové účty,
• a podvrhnutou e-mailovou šablonu, také se stejným vzhledem.

 2. Vishing | pokus o podvodné získání citlivých informací prostřednictvím telefonátu.

Pro telefonické oslovování zaměstnanců jsme metodou OSINT (open source intelligence) shromáždili kontaktní informace z veřejně dostupných zdrojů. Následně jsme:

• připravili seznam kontaktů na 50 zaměstnanců,
• zajistili službu pro vytvoření spoofing čísla volajícího,
• a připravili telefonické scénáře útoků.
   

Během samotné kampaně simulující útok jsme telefonicky kontaktovali zaměstnance společnosti a vydávali se za jejich kolegy z IT oddělení. Požádali jsme je o součinnost v rámci jejich IT zařízení a pokusili se je strategií sociálního inženýrství přesvědčit k provedení nebezpečných aktivit, které vedou například ke spuštění škodlivého softwaru. 

Během telefonátu jsme jim z podvržené e-mailové adresy poslali phishingový e-mail, který vypadal jako skutečný firemní e-mail. 
 

"Množství zaměstnanců firem podobný nebezpečný e-mail otevře, což vede k nemalým škodám. Například 58 % organizací utrpělo v roce 2023 převzetí účtů, z nichž 79 % pocházelo z přihlašovacích údajů získaných prostřednictvím phishingu."

Cílem útočníka bylo navigovat zaměstnance, aby se z e-mailu dostal na podvrženou webovou stránku, kde zadá své osobní údaje, v tomto případě e-mailovou adresu. Dalším cílem, který jsme simulovali, bylo spuštění potenciálně nebezpečného příkazu zaměstnancem na firemním počítači.

Jaká rizika hrozí společnosti při podobném útoku?

Možností, jak se může útočník obohatit a poškodit firmu, je více. Jejich výběr závisí na samotném útočníkovi a společnosti, standardně však jde o tyto nejčastější rizika:

• únik osobních, klientských a firemních údajů a jejich prodej,
• zašifrování souborů a omezení činnosti webové stránky, e-mailů a aplikací společnosti,
• finanční ztráta spojená s obnovou systémů a činnosti,
• vydírání za výkupné,
• ztráta reputace a důvěry klientů, ohrožení jejich osobních a platebních údajů,
• sankce za nedodržení bezpečnostních norem a předpisů,
• zneužití systémů pro další útoky a nelegální aktivity.
   

"Naučte zaměstnance základy IT bezpečnosti." Škody způsobené kyberkriminalitou se do roku 2025 více než zdvojnásobí na celkových $10,5 bilionu. Investicí do kyberbezpečnosti můžete ušetřit až čtyřnásobek potenciálních škod ve vaší firmě.

Výsledky kampaně

I přesto, že zaměstnanci společnosti zadavatele neměli první zkušenost s testováním, ukázalo se, že není vhodné podobné útoky podceňovat.

 1. Prověření bezpečnostního povědomí zaměstnanců v oblasti sociálního inženýrství.

Jak reagovali zaměstnanci firmy? Přestože nejde o jejich chybu, i v tomto případě se potvrdilo, že člověk je v ochraně před kybernetickými útoky tím nejslabším článkem. A výsledky?

Úspěšnost této kampaně za dva dny dosáhla kritických 36,2 %. Jde o nebezpečnou hodnotu, která ukazuje, že více než jedna třetina zaměstnanců je vážně ohrožena podobnými útoky.

Celkové riziko: Kritické 

2. Otestování zabezpečení a konfigurace e-mailových serverů společnosti.

Během přijímání podvržených e-mailů na serverech proběhla kontrola důvěryhodnosti domény, parametrů a obsahu e-mailu, které podobné e-maily detekují nebo nepustí přes spam filter k příjemci.

Přestože měla společnost obstojnou bezpečnostní konfiguraci poštovního serveru, podařilo se nám phishingové e-maily doručit do schránek příjemců.

Celkové riziko: Střední

3. Prověření reakce interního SOC týmu na tento typ útoku.

Společnost klienta má své vlastní bezpečnostní centrum (SOC - Security Operations Center), jehož úkolem je včas reagovat na podobné útoky a předcházet dalším rizikům a škodám. Přesto jsme byli schopni kontaktovat zaměstnance a přesvědčit je k následování našich instrukcí a nebezpečným aktivitám na jejich počítači.

Celkové riziko: Střední

Zvyšte bezpečnost své společnosti.

Podobným útokům a jejich vážným následkům či finančním ztrátám je přitom možné jednoduše předcházet pravidelným vzděláváním, testováním a audity.

Účinnost kybernetické obrany však často stojí a padá na samotných zaměstnancích, kteří podobné útoky rozpoznají a nahlásí, díky čemuž může bezpečnostní oddělení zablokovat podvržené emailové adresy a webové stránky.

Nepodceňte situaci ve své společnosti a ochraňte své podnikání před rostoucími a stále promyšlenějšími kybernetickými útoky. Pomoci vám v tom může Tomáš Horváth.

Závěrem bychom rádi poděkovali všem klientům, kteří se spolu s námi vydali na cestu šíření edukace v oblasti rizik v kybernetickém prostoru a důležitosti etického hackingu prostřednictvím sdílení svého autorizovaného příběhu. Velmi si toho ceníme.