#dělámečeskobezpečnější
Phishigový test zaměstnanců
Phishing je jeden z nejčastějších způsobů průniku do firem. Díky simulovanému phishingovému testu získáte představu o tom, jak by Vaše organizace dopadla v případě, že by se na ni zaměřili hackeři.
Co vám simulovaný phishingový útok přinese?
Bez dopadu na chod společnosti a negativní publicity získáte mnoho cenných poznatků a dat, nejen o chování uživatelů:
- Získáte vhled na reálné chování zaměstnanců při takovém bezpečnostním incidentu (kyberútoku)
- Ověříte, zda máte, a správně, nastavené procesy pro podobné incidenty
- Analyzujete odkud, a z jakých zařízení, uživatelé přistupují k firemní poště
- Prověříte erudovanost uživatelů – zda si dokáží svépomocí změnit heslo k poštovní schránce, …
V čem phishing spočívá?
Pošleme várku podvržených e-mailových zpráv tak, aby vypadaly, že jsou to zprávy korektní.
Může se jednat o lákavou nabídku produktu, nabídku pracovního místa, firemní benefity nebo mail který se tváří jako od interního IT a vyzývá uživatele k nějaké akci.
Phishingový scénář Vám vždy upravíme na míru, dle Vašich potřeb a požadavků. Žádných neupravitelných šablon v angličtině se u nás nedočkáte. V kampaních reflektujeme nejen roční období.
Dokážete rozpoznat phishing?
V naší virtuální poštovní schránce si můžete vyzkoušet svůj postřeh. Začněte kliknutím na e-mail.
Jak phishingový test probíhá?
Po celou dobu testování budete s našimi experty na phishingové kampaně ve spojení. Od úvodní konzultace nad zněním podvodné zprávy a simulované cílové stránky (OWA, SharePoint, intranet, …) až po předání závěrečné zprávy a využité domény při testování. Po zahájení každé kampaně od nás obdržíte průběžné výsledky, abyste měli k dispozici reálná čísla pro management. Poradíme vám též, jak reagovat na vzniklé dotazy a podezření ze strany uživatelů.
1. Výběr scénáře
Společně vybereme realistické scénáře a definujeme cílové skupiny
2. Zahájení testování
Průměrná doba na získání relevantních výsledků je jeden týden
3. Přehledné vyhodnocení
Obdržíte od nás výsledky společně se sadou doporučení
5. Zvýšení bezpečnostního povědomí
Po ukončení testu seznamte zaměstnance s výsledky a přoškolte je
6. Ověření nabytých znalostí
Po 3 až 6 měsících je vhodné test zopakovat
Vyhodnocení testu
Měříme, jak byla kampaň úspěšná – zjistíme kolik uživatelů zprávu otevřelo, kolik jich kliknulo na podvodný odkaz, v kolik hodin a na kterém zařízení.
Také uvidíme, kolik zaměstnanců se dokonce přihlásilo do falešného portálu.
Vyhodnocení může být velmi detailní, kdy uvidíme, který uživatel, a na jaké pozici, zadal jaké heslo do kompromitovaného systému, kdy a odkud. Nebo mohou být výsledky zcela anonymní, za což bývají zaměstnanci vděční. Preferujeme anonymní variantu, kdy dostanete vyhodnocení kampaně formou grafů a statistik, bez konkrétních jmen.
Je dobrou praxí odměnit ty uživatele, kteří nenaletěli, zásadně však ty, jež neprošli, netrestáme.
Bezpečnostní povědomí zaměstnanců
testujeme komplexně
Phishigový test doporučujeme doplnit o následující techniky sociálního inženýrství. Získáte tak ucelený pohled na chování zaměstnanců, což vám pomůže identifikovat slabiny v kybernetické bezpečnosti.
Vyhodnocení testu
Výsledná zpráva a doporučení
Výsledky shrneme do výsledného hodnocení, které zahrnuje přehledné statistiky i seznam doporučení, co vylepšit.
Pokud nebude phishingový test na Vaše přání anonymní, předáme Vám veškerá naměřená data pro možnosti budoucí analýzy či porovnání v případě opakování testu. Samozřejmostí je smlouva o mlčenlivosti (NDA).
Prezentaci managementu provedeme my, nebo Vaše IT oddělení, dle Vašeho přání.
Máte zájem o phishingový test zaměstnanců?
Zanechte nám na sebe kontakt. My se vám ozveme společně s nezávaznou cenovou nabídkou.
Aby byly výsledky phishingu nezkreslené, je třeba nastavit výjimky z antiSPAMové a antivirové kontroly. Jejich přehled je v tomto průvodci.
Výjimky v antiSPAMu by měly být tyto:
Doména mailserveru: mail.privacyfreak.net
IP mailserveru je: 37.205.13.44
A na odesílatele:
+ další dle dohodnutých scénářů
URL:
Pokud má mailserver i antivirový modul, přidejte prosím domény i do něj se znakem „*“ před i za doménou. ( *ceskapocta.cz*, *doména_dle_scénáře*,…)
V momentě kdy nastavíte výjimky na Exchange/mailserveru, přijde e-mail normálně do doručené pošty. Je nezbytně nutné nastavit výjimky a přidat domény na whitelist / do bezpečných odesílatelů.
Nastavení v MS Exchange
V případě phishingové simulace je pravděpodobné, že některé z těchto emailů jsou identifikovány jako spam/phishing a přesunuty do složky Nevyžádaná pošta v aplikaci MS Outlook. Je tedy třeba je přidat na whitelist – seznam povolených domén, kdy takto označené domény obcházejí spamový/phishingový filtr.
Byť většinou je uživatelské rozhraní v angličtině, stejně jako přiložené screenshoty, textový návod uvádíme pro ty co preferují mateřský jazyk v češtině.
V prostředí Office 365 – Exchange online je třeba provést přidání pravidla pro příchozí poštu pomocí Centra pro správu Exchange. V položce tok pošty – pravidla zvolte nové pravidlo s názvem Vynechat filtrování spamu….
Nové pravidlo si nazvěte dle potřeby, například „VirusLab whitelist“ a v sekci podmínek zvolte možnost Odesílatel – doména je .
V seznamu domén, sepište seznam požadovaných domén (viz. výše) do whitelistu a po uložení je hotovo.
V antiviru (na koncových stanicích) prosím nastavte v modulech HTTP skenování a AntiPhishing modulu tyto adresy – i se znakem * aby došlo k vyloučení subdomén a dalších částí URL. Toto nastavení provádějte prosím v centrální konzoli, tak aby došlo k propsání výjimek na všechny koncové stanice.
Standardní domény které používáme:
*nase-benefity.cz*
*maildelivery.cz*
*mailingserver.eu*
*ceskapocta.cz*
*mlcrosoft365.cz *
Konkrétní domény závisí vždy na dohodnutém scénáři.
Toto zabrání detekci na koncových stanicích a umožní načtení obsahu e-mailů a přesměrování na stránky v případě ,že by antimalware řešení lokálně rozpoznalo phishing a dalo to vědět ostatním stanicím v síti.
ESET
Výjimku lze přidat v rozšířeném nastavení (Vyvoláte stiskem F5) a pak v sekci Web a mail – Ochrana přístupu na web – Správa URL adres klikněte na Změnit u Seznamu adres. Zde přidejte *maildelivery.cz* (včetně hvězdiček!) do Seznamu adres vyloučených z kontroly obsahu.
Současně vypněte také samostatný Anti-Phishing modul který se nachází v sekci Anti-Phishingová ochrana.
Ukázka je na koncové stanici, nicméně změny provádějte ideálně z konzole ESET Protect pomocí politiky, kterou aplikujte na všechny stanice, na které bude phishingový test probíhat.
Aby uživatelům ESET nehlásil, že je modul Antiphishing vypnutý (GUI pak svítí červeně), nastavte politikou vypnutí tohoto Stavu aplikace.
Bitdefender
Řešení Bitedefenderu spolupracuje s Exchange, takže výjimky v AntiSPAMu stačí mít nastavené tam. Nicméně je možné je nakonfigurovat i přímo v GravityZone: Configuration (bitdefender.com)
Co se týče blokace anti-phishing modulem, tak jeho nastavení je popsáno zde: Configuration (bitdefender.com)
Pokud filtrujete odchozí komunikaci, povolte prosím port 444.
Tuto funkci řídí Windows Defender a pokud je zapnutá, prohlížeč může detekovat stránky reportované Microsoftem.
Using Microsoft Edge
If you specifically want to turn off SmartScreen for sites in Microsoft Edge, you can also switch off SmartScreen directly through the browser.
In Edge, click the three-dotted menu icon at the top-right corner -> Settings -> Privacy, search and services.
Scroll down to Security, then switch the “Microsoft Defender SmartScreen” button to the Off position.
Using Group Policy Editor
Apart from the above methods, we will also explore some system or network administrator methods for alternative access to the Windows Defender SmartScreen.
For system or network administrators, Windows has a specific policy setting within the Group Policy editor to quickly disable the SmartScreen filter in Windows 10.
1. Open Group Policy Editor by searching for “gpedit.msc” in the Start menu. In the Policy Editor, go to “Computer Configuration -> Administrative Templates -> Windows Components -> File Explorer.”
2. Find and double-click the “Configure Windows Defender SmartScreen” policy.
3. In the policy settings window, configure it as follows:
- To disable the SmartScreen filter, select the radio option “Disabled.”
- To enable the SmartScreen filter, select “Enabled” and either select “Warn” or “Warn and prevent bypass” under the Options section.
To make the changes take effect, restart your system or execute the gpupdate /force command as admin.
Tuto funkci řídí prohlížeč Google Chrome ale lze ji vypnout i pomocí GPO.
Tutorial GPO – Enable safe browsing on Google Chrome
On the domain controller, download the latest version of the Google Chrome template.
Extract the ZIP file named POLICY_TEMPLATES.
In our example, all files were placed on the root of a directory named DOWNLOADS.
Access the directory named WINDOWS and copy the ADMX files to the Policy definitions directory.
Access the correct language subdirectory.
Copy the ADML files to the correct language directory inside the Policy definitions.
On the domain controller, open the group policy management tool.
Create a new group policy.
Enter a name for the new group policy.
In our example, the new GPO was named: MY-GPO.
On the Group Policy Management screen, expand the folder named Group Policy Objects.
Right-click your new Group Policy Object and select the Edit option.
On the group policy editor screen, expand the User configuration folder and locate the following item.
Here are the Google Chrome configuration options.
Access the folder named Safe browsing settings.
Enable the item named Safe browsing protection level.
Select the option Safe browsing is active in enhanced mode.
In our example, we enabled the enhanced model of the safe browsing feature.
To save the group policy configuration, you need to close the Group Policy editor.
Congratulations! You have finished the GPO creation.
Tutorial GPO – Enhanced protection on Google Chrome
On the Group policy management screen, you need to right-click the Organizational Unit desired and select the option to link an existent GPO.
In our example, we are going to link the group policy named MY-GPO to the root of the domain.
After applying the GPO you need to wait for 10 or 20 minutes.
During this time the GPO will be replicated to other domain controllers.
On a remote computer, access the Google Chrome settings.
The enhanced protection will be enabled.
In our example, we enabled the enhanced protection for safe browsing on Google chrome.
Při phishingové kampani přijdeme do styku zejména s těmito informacemi:
- E-mailová adresa
- Jméno a příjmení zaměstnance / lze rozklíčovat z e-mailu
- IP adresa lokality ve které zaměstnanec otevře podvodnou web stránku
- Název lokality kde se nachází/je registrována IP adresa
- Verzi webového prohlížeče
- Typ a verzi operačního systému
- Datum a čas kdy e-mail otevřeli
- Datum a čas kdy došlo k prokliku na podvodný web
Pokud bude chtít zadavatel zachytávat přihlašovací údaje, například na falešné přihlašovací stránce (jméno, nebo kombinace jména + heslo), budou tyto údaje přenášeny šifrovaně (HTTPS) na server v ČR. Případná hesla jsou v databázi zaznamenávána v nešifrované podobě, jejich zachytávání proto standardně nedoporučujeme a zaznamenáváme je pouze na přímou a smluvně doloženou žádost zákazníka! Veškerá nashromážděná data můžeme ve strojově čitelné podobě (CSV) předat zákazníkovi, pokud si to přeje.
Máme vlastní právně ověřené NDA a mlčenlivost je u nás i bez smlouvy samozřejmostí. Žádné zjištěné informace nikdy nepředáváme třetím stranám.
BOIT