Phishingový test zaměstnanců

Phishing je jeden z nejčastějších způsobů průniku do firem. Díky simulovanému phishingovému testu získáte představu o tom, jak by Vaše organizace dopadla v případě, že by se na ni zaměřili hackeři.

Co vám simulovaný phishingový útok přinese?

Bez dopadu na chod společnosti a negativní publicity získáte mnoho cenných poznatků a dat, nejen o chování uživatelů:

  • Získáte vhled na reálné chování zaměstnanců při takovém bezpečnostním incidentu (kyberútoku)
  • Ověříte, zda máte, a správně, nastavené procesy pro podobné incidenty
  • Analyzujete odkud, a z jakých zařízení, uživatelé přistupují k firemní poště
  • Prověříte erudovanost uživatelů – zda si dokáží svépomocí změnit heslo k poštovní schránce, …

V čem phishing spočívá?

Pošleme várku podvržených e-mailových zpráv tak, aby vypadaly, že jsou to zprávy korektní.

Může se jednat o lákavou nabídku produktu, nabídku pracovního místa, firemní benefity nebo mail který se tváří jako od interního IT a vyzývá uživatele k nějaké akci.

Phishingový scénář Vám vždy upravíme na míru, dle Vašich potřeb a požadavků. Žádných neupravitelných šablon v angličtině se u nás nedočkáte. V kampaních reflektujeme nejen roční období.

Dokážete rozpoznat phishing?

V naší virtuální poštovní schránce si můžete vyzkoušet svůj postřeh. Začněte kliknutím na e-mail.

Otestujte se

Jak phishingový test probíhá?

Výběr scénáře

Společně vybereme realistické scénáře a definujeme cílové skupiny

Zahájení testování

Průměrná doba na získání relevantních výsledků je jeden týden

Přehledné vyhodnocení

Obdržíte od nás výsledky společně se sadou doporučení

Zvýšení bezpečnostního povědomí

Po ukončení testu seznamte zaměstnance s výsledky a přoškolte je

Ověření nabytých znalostí

Po 3 až 6 měsících je vhodné test zopakovat

Po celou dobu testování budete s našimi experty na phishingové kampaně ve spojení. Od úvodní konzultace nad zněním podvodné zprávy a simulované cílové stránky (OWA, SharePoint, intranet, …) až po předání závěrečné zprávy a využité domény při testování. Po zahájení každé kampaně od nás obdržíte průběžné výsledky, abyste měli k dispozici reálná čísla pro management. Poradíme vám též, jak reagovat na vzniklé dotazy a podezření ze strany uživatelů.

Vyhodnocení testu

Měříme, jak byla kampaň úspěšná – zjistíme kolik uživatelů zprávu otevřelo, kolik jich kliknulo na podvodný odkaz, v kolik hodin a na kterém zařízení.

Také uvidíme, kolik zaměstnanců se dokonce přihlásilo do falešného portálu.

Vyhodnocení může být velmi detailní, kdy uvidíme, který uživatel, a na jaké pozici, zadal jaké heslo do kompromitovaného systému, kdy a odkud. Nebo mohou být výsledky zcela anonymní, za což bývají zaměstnanci vděční. Preferujeme anonymní variantu, kdy dostanete vyhodnocení kampaně formou grafů a statistik, bez konkrétních jmen.

Je dobrou praxí odměnit ty uživatele, kteří nenaletěli, zásadně však ty, jež neprošli, netrestáme.

Bezpečnostní povědomí zaměstnanců testujeme komplexně

Phishigový test doporučujeme doplnit o následující techniky sociálního inženýrství. Získáte tak ucelený pohled na chování zaměstnanců, což vám pomůže identifikovat slabiny v kybernetické bezpečnosti.

Baiting

Nastražená paměťová média v perimetru firmy

Vaše zaměstnance prověříme i pomocí baitingu - nastražených USB disků na pracovišti a v jeho okolí.
mám zájem

Vishing

Bezpečnostní mystery shopping

Zjistíme, zda nám vaši zaměstnanci svěří interní informace.
více informací

Výsledná zpráva a doporučení

Výsledky shrneme do výsledného hodnocení, které zahrnuje přehledné statistiky i seznam doporučení, co vylepšit.

Pokud nebude phishingový test na Vaše přání anonymní, předáme Vám veškerá naměřená data pro možnosti budoucí analýzy či porovnání v případě opakování testu. Samozřejmostí je smlouva o mlčenlivosti (NDA).

Prezentaci managementu provedeme my, nebo Vaše IT oddělení, dle Vašeho přání.

Stáhnout vzorovou závěrečnou zprávu

Máte zájem o phishingový test zaměstnanců?

Zanechte nám na sebe kontakt. My se vám ozveme společně s nezávaznou cenovou nabídkou.
    Návod na nastavení výjimek

    Aby byly výsledky phishingu nezkreslené, je třeba nastavit výjimky z antiSPAMové a antivirové kontroly. Jejich přehled je v tomto průvodci.

    Výjimky v antiSPAMu by měly být tyto:

    Doména mailserveru: mail.privacyfreak.net

    IP mailserveru je: 37.205.13.44

     

    A na odesílatele:

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    + další dle dohodnutých scénářů

     

    URL:

     

    Pokud má mailserver i antivirový modul, přidejte prosím domény i do něj se znakem „*“ před i za doménou. ( *ceskapocta.cz*, *doména_dle_scénáře*,…)

    V momentě kdy nastavíte výjimky na Exchange/mailserveru, přijde e-mail normálně do doručené pošty. Je nezbytně nutné nastavit výjimky a přidat domény na whitelist / do bezpečných odesílatelů.

    Nastavení v MS Exchange

    V případě phishingové simulace je pravděpodobné, že některé z těchto emailů jsou identifikovány jako spam/phishing a přesunuty do složky Nevyžádaná pošta v aplikaci MS Outlook. Je tedy třeba je přidat na whitelist – seznam povolených domén, kdy takto označené domény obcházejí spamový/phishingový filtr.

    Byť většinou je uživatelské rozhraní v angličtině, stejně jako přiložené screenshoty, textový návod uvádíme pro ty co preferují mateřský jazyk v češtině.

    V prostředí Office 365 – Exchange online je třeba provést přidání pravidla pro příchozí poštu pomocí Centra pro správu Exchange. V položce tok pošty – pravidla zvolte nové pravidlo s názvem Vynechat filtrování spamu….

     

     

    Nové pravidlo si nazvěte dle potřeby, například „VirusLab whitelist“ a v sekci podmínek zvolte možnost Odesílatel – doména je .

    V seznamu domén, sepište seznam požadovaných domén (viz. výše) do whitelistu a po uložení je hotovo.

    V antiviru (na koncových stanicích) prosím nastavte v modulech HTTP skenování a AntiPhishing modulu tyto adresy – i se znakem * aby došlo k vyloučení subdomén a dalších částí URL. Toto nastavení provádějte prosím v centrální konzoli, tak aby došlo k propsání výjimek na všechny koncové stanice.

    Standardní domény které používáme:

    *nase-benefity.cz*

    *maildelivery.cz*

    *mailingserver.eu*

    *ceskapocta.cz*

    *mlcrosoft365.cz *

    Konkrétní domény závisí vždy na dohodnutém scénáři.

    Toto zabrání detekci na koncových stanicích a umožní načtení obsahu e-mailů a přesměrování na stránky v případě ,že by antimalware řešení lokálně rozpoznalo phishing a dalo to vědět ostatním stanicím v síti.

    ESET

     

    Výjimku lze přidat v rozšířeném nastavení (Vyvoláte stiskem F5) a pak v sekci Web a mail – Ochrana přístupu na web – Správa URL adres klikněte na Změnit u Seznamu adres. Zde přidejte *maildelivery.cz* (včetně hvězdiček!) do Seznamu adres vyloučených z kontroly obsahu.

    Současně vypněte také samostatný Anti-Phishing modul který se nachází v sekci Anti-Phishingová ochrana

    Ukázka je na koncové stanici, nicméně změny provádějte ideálně z konzole ESET Protect pomocí politiky, kterou aplikujte na všechny stanice, na které bude phishingový test probíhat.

    Aby uživatelům ESET nehlásil, že je modul Antiphishing vypnutý (GUI pak svítí červeně), nastavte politikou vypnutí tohoto Stavu aplikace.

    Bitdefender

    Řešení Bitedefenderu spolupracuje s Exchange, takže výjimky v AntiSPAMu stačí mít nastavené tam. Nicméně je možné je nakonfigurovat i přímo v GravityZone: Configuration (bitdefender.com) 

    Co se týče blokace anti-phishing modulem, tak jeho nastavení je popsáno zde: Configuration (bitdefender.com) 

    Pokud filtrujete odchozí komunikaci, povolte prosím port 444

    Tuto funkci řídí Windows Defender a pokud je zapnutá, prohlížeč může detekovat stránky reportované Microsoftem.

    Using Microsoft Edge

    If you specifically want to turn off SmartScreen for sites in Microsoft Edge, you can also switch off SmartScreen directly through the browser.

    In Edge, click the three-dotted menu icon at the top-right corner -> Settings -> Privacy, search and services.

    How To Turn Off Windows Defender Smartscreen Edge 1

    Scroll down to Security, then switch the “Microsoft Defender SmartScreen” button to the Off position.

    Using Group Policy Editor

    Apart from the above methods, we will also explore some system or network administrator methods for alternative access to the Windows Defender SmartScreen. 

    For system or network administrators, Windows has a specific policy setting within the Group Policy editor to quickly disable the SmartScreen filter in Windows 10.

    1. Open Group Policy Editor by searching for “gpedit.msc” in the Start menu. In the Policy Editor, go to “Computer Configuration -> Administrative Templates -> Windows Components -> File Explorer.”

    2. Find and double-click the “Configure Windows Defender SmartScreen” policy.

    3. In the policy settings window, configure it as follows:

    • To disable the SmartScreen filter, select the radio option “Disabled.”
    • To enable the SmartScreen filter, select “Enabled” and either select “Warn” or “Warn and prevent bypass” under the Options section.
    smartscreen-win10-policy-settings

    To make the changes take effect, restart your system or execute the gpupdate /force command as admin.

    Tuto funkci řídí prohlížeč Google Chrome ale lze ji vypnout i pomocí GPO.

    Tutorial GPO – Enable safe browsing on Google Chrome

    On the domain controller, download the latest version of the Google Chrome template.

    GPO - Google Chrome policy template

    Extract the ZIP file named POLICY_TEMPLATES.

    In our example, all files were placed on the root of a directory named DOWNLOADS.

    Gpo - Google Chrome template

    Access the directory named WINDOWS and copy the ADMX files to the Policy definitions directory.

    Copy to Clipboard

    Access the correct language subdirectory.

    Copy the ADML files to the correct language directory inside the Policy definitions.

    Copy to Clipboard

    On the domain controller, open the group policy management tool.

    Windows 2012 - Group Policy Management

    Create a new group policy.

    Windows 2012 - Group Policy Objects

    Enter a name for the new group policy.

    Windows - Add GPO

    In our example, the new GPO was named: MY-GPO.

    On the Group Policy Management screen, expand the folder named Group Policy Objects.

    Right-click your new Group Policy Object and select the Edit option.

    Windows - Edit GPO

    On the group policy editor screen, expand the User configuration folder and locate the following item.

    Copy to Clipboard

    Here are the Google Chrome configuration options.

    GPO - Google Chrome

    Access the folder named Safe browsing settings.

    GPO - Google chrome safe browsing

    Enable the item named Safe browsing protection level.

    Select the option Safe browsing is active in enhanced mode.

    GPO - Google chrome Safe browsing enhanced mode

    In our example, we enabled the enhanced model of the safe browsing feature.

    To save the group policy configuration, you need to close the Group Policy editor.

    Congratulations! You have finished the GPO creation.

     

    Tutorial GPO – Enhanced protection on Google Chrome

    On the Group policy management screen, you need to right-click the Organizational Unit desired and select the option to link an existent GPO.

    Windows-2012-Applocker application

    In our example, we are going to link the group policy named MY-GPO to the root of the domain.

    GPO- tutorial linking

    After applying the GPO you need to wait for 10 or 20 minutes.

    During this time the GPO will be replicated to other domain controllers.

    On a remote computer, access the Google Chrome settings.

    Copy to Clipboard

    The enhanced protection will be enabled.

    GPO - Google chrome enhanced protection

    In our example, we enabled the enhanced protection for safe browsing on Google chrome.

    Při phishingové kampani přijdeme do styku zejména s těmito informacemi:

     

    • E-mailová adresa
    • Jméno a příjmení zaměstnance / lze rozklíčovat z e-mailu
    • IP adresa lokality ve které zaměstnanec otevře podvodnou web stránku
    • Název lokality kde se nachází/je registrována IP adresa
    • Verzi webového prohlížeče
    • Typ a verzi operačního systému
    • Datum a čas kdy e-mail otevřeli
    • Datum a čas kdy došlo k prokliku na podvodný web

     

    Pokud bude chtít zadavatel zachytávat přihlašovací údaje, například na falešné přihlašovací stránce (jméno, nebo kombinace jména + heslo), budou tyto údaje přenášeny šifrovaně (HTTPS) na server v ČR. Případná hesla jsou v databázi zaznamenávána v nešifrované podobě, jejich zachytávání proto standardně nedoporučujeme a zaznamenáváme je pouze na přímou a smluvně doloženou žádost zákazníka! Veškerá nashromážděná data můžeme ve strojově čitelné podobě (CSV) předat zákazníkovi, pokud si to přeje.

    Máme vlastní právně ověřené NDA a mlčenlivost je u nás i bez smlouvy samozřejmostí. Žádné zjištěné informace nikdy nepředáváme třetím stranám.

    BOIT Cyber Security s.r.o.
    Korunní 2569/108,
    Praha 10, 101 00

    +420 702 029 676
    [email protected]

    Zásady ochrany osobních údajů

    Do obchodního rejstříku zapsána u Městského soudu v Praze dne 6. října 2022, oddíl C, vložka vložka 373905.

    IČ: 17614261
    DIČ: CZ17614261
    Jsme plátci DPH

    Datová schránka: fy932e6
    Číslo účtu: 8556174002/5500

    © 2020 – 2023 BOIT.cz