K čemu je phishingový test?

Phishing je jeden z nejčastějších vektorů průniku do firem. Díky phishingovému testu získáte představu o tom, jak by Vaše organizace dopadla v případě, že by se na ni zaměřili hackeři. Funguje i jako skvělý podklad  pro další vzdělávání. Lidé po tom, co jim oznámíte výsledky testů, reagují obvykle dosti překvapeně a mají mnohem větší zájem se o bezpečnosti dozvědět více.

Phishingový test spočívá v tom, že pošleme várku podvržených e-mailových zpráv tak, aby vypadaly, že jsou to zprávy korektní.

Může se jednat o lákavou nabídku produktu, nabídku pracovního místa, firemní benefity nebo mail který se tváří jako od interního IT a vyzývá uživatele k nějaké akci.

Vyhodnocení testu

Měříme, jak byla kampaň úspěšná – zjistíme kolik uživatelů zprávu otevřelo, kolik jich kliknulo na podvodný odkaz, v kolik hodin a na kterém zařízení.

Také uvidíme, kolik zaměstnanců se dokonce přihlásilo do falešného portálu.

Podvržená adresa odesílatele, odkaz, který vede jinam a falešná stránka pro přihlášení. Monitorujeme celou cestu od otevření e-mailu až po zadání přihlašovacích údajů, včetně časové osy a prodlevy mezi jednotlivými úkony.

Vyhodnocení může být velmi detailní, kdy uvidíme který uživatel, na jaké pozici,  zadal jaké heslo do kompromitovaného systému, kdy a odkud. Nebo mohou být výsledky zcela anonymní, za což bývají zaměstnanci vděční. Preferujeme anonymní variantu, kdy dostanete vyhodnocení kampaně formou grafů a statistik, bez konkrétních jmen.

Je dobrou praxí odměnit ty uživatele, kteří nenaletěli, zásadně však ty, jež neprošli, netrestáme.

  • Různé e-maily pro různá oddělení

    Pro každé oddělení či pobočku můžeme vytvořit zvláštní e-mail tak, aby byla podvodná kampaň co nejdůvěryhodnější. Nebo poslat stejný e-mail všem. Na detailech se s Vámi dohodneme a zvolíme optimální postup.

  • Čas hraje roli

    Měříme poměr mezi doručením, otevřením i proklikem z e-mailu, zaměříme se i na nejobvyklejší časy otevření podvodného e-mailu. Kampaně můžeme poslat najednou, nebo ve vlnách rozložených do delšího časového období.

  • Součinnost s IT

    Pokud nebude i Vaše interní IT předmětem testu, můžeme s ním spolupracovat a vyladit kampaň k dokonalosti a na míru Vaší organizaci.

  • OSINT

    Prozkoumáme veřejně dostupné, i když ne na první pohled viditelné informace o Vaší společnosti a Vašich zaměstnancích. Nepoužívají náhodou firemní e-mail pro soukromé účely?

  • Doporučení

    Poskládáme všechny získané informace dohromady a navrhneme Vám doporučení co zlepšit a jak pokrýt slabá místa. Komplexně.

Výsledky shrneme do výsledného hodnocení, které obsahuje přehledné statistiky i seznam doporučení, co vylepšit.

Pokud nebude phishingový test na Vaše přání anonymní, předáme Vám veškerá naměřená data pro možnosti budoucí analýzy či porovnání v případě opakování testu. Samozřejmostí je smlouva o mlčenlivosti (NDA).

Prezentaci managementu provedeme my, nebo Vaše IT oddělení, dle Vašeho přání.

Statistika

Více než 60 % uživatelů otevře podvodný e-mail
65%
Přes 50 % uživatelů zadá své přihlašovací údaje do podvodné stránky
52%
Pouze 3 % uživatelů kontaktují administrátora
Web Designer 3%

Budete lepší? Doufáme že ano!

Po vyhodnocení phishingové kampaně, je dobré navázat realizováním kurzu IT bezpečnosti, který pak již nikdo nebere na lehkou váhu.

Phishingový test je možné poslat najednou, nebo nenápadně během několika dní. Je možné testovat celou společnost, nebo jen jednotlivá oddělení – vše záleží na tom, jak se domluvíme. Vše upravíme Vašim potřebám.

Rezervujte si termín

Kontaktujte nás

error: Kopírování, vkládání a pravé myšítko je zakázáno.