Want create site? With Free visual composer you can do it easy.

Phishing test

Opis storitve Smart Phishing test

»Phishing« test je simulacija napada s t.i. »phishing« elektronskimi sporočili, katerih namen je uporabnika pretentati k določeni akciji in s tem preveriti oz. izmeriti dejansko varnostno osveščenost uporabnikov.

Najosnovnejši »phishing« test je test s t.i. lažnim portalom. Postavimo lažni portal za prijavo uporabnikov, nato pa uporabnikom pošljemo »phishing« sporočila z namenom zavesti jih k obisku lažnega portala in vpisovanju uporabniških imen in gesel.

Elektronsko »phishing« sporočilo ter lažni strežnik opremimo z ustreznimi mehanizmi, ki omogočajo zbiranje statističnih podatkov in število uporabnikov, ki je na določeni kontrolni točki izvedlo napačno reakcijo.

Rezultati in dodana vrednost za naročnika so naslednji:

  • Test dejansko osvesti uporabnike. Uporabniki (predvsem tisti, ki se na testu ne odrežejo najbolje) so po izvedbi testa bistveno bolj pazljivi na podobne, dejanske napade in poizkuse zlorab.
  • Pisno poročilo z natančno statistično izmero aktivnosti uporabnikov na posameznih kontrolnih točkah testa.

Najpogostejša vprašanja in odgovori naših strokovnjakov

  • Zakaj je »phishing« test potreben?

    Ko je uporabnik del varnostnih mehanizmov, so rešitve za zagotavljanje varnosti kritične. Seveda je ne glede na nivo osveščenosti vedno potrebno z različnimi varnostnimi mehanizmi in nastavitvami zmanjšati oz. minimizirati možnost takšnega napada (dodatni varnostni sistemi, ki bodo uspešneje zaznali zlonamerne datoteke, dodatni mehanizmi za zaznavanje zavajajočih e-mail sporočil ipd.). Vendar s tem zgolj zmanjšamo možnost napada, nikoli pa ga ne izničimo.

    V primeru takšnega napada se uspeh vedno prelomi pri uporabniku, ki bo bodisi nasedel na prevaro, ali pa ne.

    Pomembno je konstantno in učinkovito osveščanje uporabnikov, s čimer močno zmanjšamo možnost, da bodo njegove reakcije v času napada napačne.

    Dober način učinkovitega osveščanja je z dejanskimi »požarnimi vajami«, torej testi v živo. Testi v živo so bistveno uspešnejši, kot pa teoretično izobraževanje. Ko izvedemo vajo/test in uporabnik na lastnem primeru spozna, da je bil pretentan, bo ozaveščenost bistveno večja. V času po testu bo tudi bistveno bolj pozoren na morebitne tovrstne napade.

  • Kaj so rezultati »phishing« testa?

    Rezultat »phishing« testa je podrobno pisno poročilo.

    Poročilo vsebuje:

    • vodstveni povzetek za vodstvo,
    • konkretne tehnične podatke, ki so pomembni za tehnične skrbnike sistema.

     

    Izvedba »phishing« testa ima ne glede na različico določene kontrolne točke. Pri navadnem »phishing« testu so kontrolne točke naslednje:

    • odpiranje elektronskega sporočila,
    • klik na link na lažno spletno stran,
    • dejansko vpisovanje podatkov na lažni spletni strani.

     

    Poročilo vsebuje natančno statistiko obnašanja uporabnikov na posamezni kontrolni točki.

    Pozor v poročilo ne vnašamo konkretnih aktivnosti posameznih uporabnikov, v kolikor naročnik tega izrecno ne zahteva, ampak zgolj statistične izračune za vse uporabnike skupaj.

  • Kakšne so možne različice »phishing« testa?

    Različice »phishing« testa se razlikujejo v tem, v kakšno reakcijo želimo uporabnika pretentati. Ponujamo štiri vrste »phishing« testov:

    • »Phishing« test z lažnim portalom in namenom zavesti uporabnika k vpisovanju uporabniških imen in gesel.

     

    Glavni namen tega testa je uporabnike podučiti, da svoja uporabniška imena in gesla ne smejo vpisovati v neznane portale.

    • »Phishing« test z Word/Excel priponko in namenom zavesti uporabnika k odpiranju priponke in aktiviranju Macro funkcionalnosti.

     

    Glavni namen tega testa je uporabnike podučiti, da ne odpirajo priponk neznanega izvora ter da ne zanemarjajo opozorila Word programa o nevarnosti aktiviranja Macro funkcionalnosti.

    • »Phishing« test s priponko ali brez in namenom zavesti uporabnika k akciji, ki bo neopazno na delovni postaji uporabnika kreirala demo datoteko in/ali iz delovne postaje v naš center neopazno prenesla to demo datoteko.

     

    Glavni namen tega testa je uporabnike podučiti, da ne odpirajo elektronske pošte sumljivega izvora in/ali ne klikajo na neznane Internet linke oz. ne odpirajo datotek neznanega izvora. S prikazom neopaznega kreiranja demo datoteke na delovni postaji uporabnika, lahko posledično uporabnik »v živo« spozna možne posledice takšnega ravnanja.

    • »Phishing« test s priponko ali brez, kjer dejansko preizkušamo celoten napad, s ciljem pridobitve polne kontrole nad delovno postajo uporabnika.

     

    Glavni namen tega testa je uporabnike podučiti, da ne odpirajo elektronske pošte sumljivega izvora in/ali ne klikajo na neznane Internet linke oz. ne odpirajo datotek neznanega izvora. Posledica napada je poskus pridobitve polnega nadzora nad delovno postajo, s čimer do uporabnika simuliramo dejanski napad, posledično pa preizkusimo tudi ustreznost vseh ostalih varnostnih mehanizmov, ki bi lahko tovrsten napad preprečili (antivirusni sistem, »intrusion prevention« sistem ipd.)

  • Kako »phishing« test poteka?

    Test poteka v naslednjih fazah:

    • predpriprava,
    • testiranje okolja,
    • izvedba testa,
    • priprava poročila.

    V okviru predpriprave se z naročnikom dogovorimo o variaciji izvedbe »phishing« testa ter skupini uporabnikov vključeni v test (če ni posebnih razlogov, predlagamo, da so v test vključeni vsi zaposleni v podjetju).

    Na osnovi tega pripravimo predlog besedila in izgleda elektronske pošte, postavimo lažni prijavni portal ali pripravimo predlog vsebine priponk. Vsi ti predlogi so že narejeni na osnovi izkušenj o najboljši primernosti besedil in izgledov in že vsebujejo ustrezne logotipe in grafično podobo naročnika. Z naročnikom se nato uskladijo morebitne podrobnosti besedil, izgledov ipd.

    Opomba: v tej fazi je pomembno, da so vsi elementi pripravljeni natančno in skrbno. Hkrati pa v teh elementih vedno puščamo dovolj sledi, ki bi jih pozorni uporabniki morali zaznati in ne postati žrtev napada. Če je test izveden preveč natančno oz. uporabnikom ne dopustimo realne možnost zaznati napada, nas praktične izkušnje učijo, da je izobraževalni učinek testa manjši. Uporabniki, ki so v testu uspešno zavedeni in so po izvedbi testa spoznali, da so imeli možnost preprečiti napad, bodo bistveno bolj dvignili svojo osveščenost.

    Sledi testiranje okolja. Testiranje okolja je namenjeno:

    • Dejanskemu testiranju robustnosti okolja (naročnik dobi informacijo, koliko je okolje dovzetno, da že samo po sebi zazna osnovne »phishing« napade ipd.).
    • Ugotovitvi, kakšne so potrebne nastavitve, da bo test dejansko uspešen.

    Sledi izvedba testa. Test izvajamo od enega dneva do največ tri dni. Izkušnje kažejo, da so meritve najbolj relevantne v tem časovnem obdobju.

    Zaključek testa je podrobno pisno poročilo.

  • Kako je z varovanjem osebnih podatkov pri izvedbi takšnega testa?

    Izvedba tovrstnih testov vključuje uporabnike, tako da je potrebno veliko pozornost nameniti varovanju osebnih podatkov ter osebne integritete posameznih uporabnikov.

    Že v začetku se je potrebno zavedati, da cilj tovrstnih testov ne sme in ne more biti iskanje konkretnih uporabnikov, ki na določeni kontrolni točki ne ravnajo v skladu z varnostnimi principi. To je pomembno, ker:

    • V resnici je lahko »napačna« reakcija uporabnika slučajna. V enem testu bo določen uporabnik ravnal pravilno, drug pa nepravilno. Vendar to ne pomeni, da je prvi uporabnik slab, drugi pa dober.
    • Velika korist tovrstnih testov je v pozitivnem osveščanju uporabnikov, ki se pokaže že s samo izvedbo testa. Če tej izvedbi dodamo javno obravnavo posameznih uporabnikov, je ta korist izničena.

    Test je tehnično izveden na način, da minimizira zbiranje konkretnih podatkov. V primeru testa z lažnim portalom ne beležimo, kaj uporabniki vpisujejo kot svoja uporabniška imena in gesla, ampak zgolj beležimo aktivnost – ali uporabnik sploh kaj vpiše, ali ne.

    Dodatno kot izvajalec zagotavljamo, da:

    • Do podatkov, ki se vseeno nanašajo na konkretne uporabnike, nimajo dostopa nepooblaščene osebe, ampak zgolj direktni izvajalci na testu.
    • Vsi izvajalci na testu delujejo v skladu z varovanjem podatkov in so k temu moralno in pisno zavezani.
    • Podatki o posameznih uporabnikih se po izvedbi testa trajno pobrišejo, poročila in podobni dokumenti pa se hranijo v ustrezno varovanih okoljih.
  • Kdaj je najprimernejši čas za izvedbo testa?

    Najprimernejši čas za izvedbo je TAKOJ SEDAJ. Dejansko je potreba po varnostnem osveščanju uporabnikov stalna, tako da ni posebnih časov, ki bi bili manj primerni.

    Na primernost oz. neprimernost časa lahko vpliva naslednje:

    • V času kolektivnih dopustov oz. v času, ko je večina uporabnikov na dopustu izvedba testa ni primerna.
    • Smiselno je test izvesti v času vpeljave novih pravil in politik.

    Smiselno je test izvesti pred raznimi skupinskimi srečanji ali izobraževanji v podjetju, kjer lahko potem še sveže rezultate pokažete uporabnikom in se z njimi o rezultatih pogovorite.

  • Kako pogosto naj takšen test izvajam?

    Ena izmed pozitivnih posledic testa je neposreden dvig osveščenosti uporabnikov. Uporabniki bodo po izvedbi testa bistveno bolj pazljivo spremljali dogajanje in pravilneje odreagirali na podobne napade oz. teste. V tem pogledu je seveda smiselno teste potemtakem ponavljati čim pogosteje.

    Po drugi strani pa različni zunanji dejavniki (ostali projekti, finančni vložek ipd.) preprečujejo podjetju nenehno izvajanje testov.

    Praksa kaže, da je smiselno teste izvajati vsaj na 6 mesecev ali pa najmanj na 12 mesecev. Pri ponovitvah je smiselno teste delno prilagoditi. Prvič zato, da uporabniki ne ugotovijo, da so zopet del testiranja, drugič pa zato, da se lahko preverijo različni vidiki osveščenosti.

    Pomembna pa je tudi primerjava med testi. Podjetja po testih izvajajo določene aktivnosti za dvig varnostne osveščenosti (notranja izobraževanja, dodatni varnostni mehanizmi, dodatni pravilniki in varnostna politika ipd.). Periodična primerjava rezultatov testov daje naročniku vpogled v uspešnost oz. neuspešnost izvedbe vseh dodatnih aktivnosti.

  • Kako pogosto naj takšen test izvajam?

    »Social-engineering« napad je način napada, kjer napadalec z različnimi tehnikami pretenta uporabnika informacijskega sistema, da mu pomaga pridobiti dostop do informacijskega sistema.

    Načini za izvedbo napada so različni, ko tudi načini, ko uporabnik hote ali nehote »pomaga« napadalcu.

    Načine napada lahko razdelimo v dve skupini:

    • Napadalec prepriča uporabnika, da mu izda geslo ali drug podoben pomemben podatek za dostop do sistema.
    • Napadalec prepriča uporabnika, da zažene neko zlonamerno datoteko, ki prevzame nadzor nad njegovo delovno postajo, ali brez vednosti uporabnika izvede različne zlonamerne aktivnosti.
  • Kako lahko napadalec prepriča uporabnika, da mu izda geslo ali drug podoben pomemben podatek?

    Obstajajo tri tehnike tovrstnega napada:

    • Napadalec »v živo« (telefonski klic oz. podoben osebni kontakt) prepriča uporabnika, da je ustrezno pooblaščena oseba, kateri lahko ali bolje rečeno mora povedati določen podatek.
    • Napadalec pridobi podrobne podatke o uporabniku (preko socialnih medijev, preko Internet omrežja ipd.) in tako dokaj natančno predvideva obliko uporabniškega imena in/ali gesla, s čimer lahko učinkovito izvede t.i. »brute-force« napad (napad z ugibanji uporabniškega imena/gesla).
    • Napadalec pretenta uporabnika, da svoje podatke za prijavo vpiše v t.i. lažni strežnik, ki ga postavi napadalec.

    Tretja tehnika je najpogostejša, saj napadalec lahko napad izvede na daljavo, hitro in učinkovito, brez potrebe po pravem kontaktu z uporabnikom. Ker je v tem primeru uspešnost  napada omejena na jezikovne bariere ali na pripravljenost napadalca, da se neposredno izpostavi uporabniku s telefonskim klicem.

  • Kako lahko napadalec prepriča uporabnika, da zažene zlonamerno datoteko?

    Načelno obstajata dve tehniki tovrstnega napada:

    • uporabnik mora sam zagnati datoteko,
    • uporabnik s svojim ravnanjem omogoči, da se datoteka zažene sama.

    Tipičen primer prvega napada je napad preko elektronske pošte. Napadalec pošlje uporabniku pripeto datoteko ali pa Internet link na spletno stran, kjer ga čaka pripeta datoteka. Uporabnik je zaveden v tem, ker predvideva, da je datoteka legalna in jo odpre/zažene.

    Primeri drugega napada pa so lahko različni. Najbolj znan ali pogost način je z uporabo USB ključkov. Napadalec poskrbi, da se datoteka samodejno zažene takoj, ko uporabnik USB ključek vstavi v svojo delovno postajo.

  • Zakaj je kraja uporabniških imen in gesel nevarna?

    Informacijski sistemi oz. aplikacije največkrat ločujejo pooblaščene in nepooblaščene uporabnike. Varnostni sistemi delujejo na način, da prepuščajo uporabo pooblaščenim uporabnikom in preprečujejo uporabo nepooblaščenim uporabnikom. Po navadi je meja med tema dvema skupinama zgolj uporabniško ime in geslo. Če uporabnik uporabniško ime in geslo, je dostop do storitve omogočen, sicer pa ne. Kraja gesel in uporabniških imen lahko tako neposredno vodi do nepooblaščenega dostopa do storitev, ne glede na ostale obstoječe varnostne sisteme.

  • Zakaj je zaganjanje zlonamernih datotek nevarno?

    V sklopu »social-engineering« napadov sta tipični dve posledici zaganjanja zlonamernih datotek:

    • Zlonamerna datoteka lahko vsebuje t.i. »keylogger« oz. skrivni snemalnik uporabniških imen in gesel. To je dodaten način, s katerim napadalec pridobi gesla in uporabniška imena.

    Zlonamerna datoteka izvede povratno komunikacijo z napadalčevo delovno postajo, s čimer napadalec pridobi polni dostop do delovne postaje uporabnika. S tem se napadalec znajde na notranji strani večine (ali vseh) obstoječih varnostnih mehanizmov, ki so namenjeni prav temu, da napadalcem preprečijo vstop v notranjost omrežij.

  • Zakaj so takšni napadi lahko zelo učinkoviti?

    Ti napadi so zelo učinkoviti, ker izkoriščajo nezbranost in/ali neosveščenost uporabnikov. Človeški um je nepredvidljiv in z ustrezno manipulacijo uporabnika napadalec lahko vedno doseže nekaj, kar je sicer prepovedano.

    Bolj kot je napadalec iznajdljiv, več uspešnih tehnik manipuliranja pozna, večja je možnost uspeha.

    Več kot ima napadalec informacij o uporabnikih, lažje jih bo prepričal, da naredijo nekaj, kar sicer ne bi smeli. Dobre tehnike manipuliranja so tiste, kjer napadalec izkorišča strah uporabnikov. Na primer, strah pred izgubo nečesa (uporabnik dobi obvestilo, da mora nujno zamenjati geslo, sicer ne bo imel več dostopa ipd.) ali pa strah pred nadrejenimi (ukaz šefa, da nujno odpre datoteko in prebere to in to ipd.).

    Uporabnik na lep ali ukazovalen način prejme navodilo za določeno dejanje. Del uporabnikov bo izvedlo naročeno brez pomislekov. Del uporabnikov pa tega ne bo nikoli naredilo. Še največji del uporabnikov pa je tisti, pri katerih se pojavi pomislek. Ti uporabniki v trenutku odločitve tehtajo ali naj nekaj naredijo, čeprav se jim zdi nenavadno, ali pa naj to ne naredijo in tvegajo določeno izgubo. Bolj kot je uporabnika manipuliran z izgubo, več se jih bo odločilo za napačno reakcijo.

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]