Dokážou vaši zaměstnanci
poznat cílený phishing? podvodné hovory? sociální inženýrství? nastražená USB? falešné faktury?
BOIT – Bezpečnost a Ochrana IT
#dělámečeskobezpečnější
Phishing má mnoho tváří. Není to jen o e-mailu.
Phishing už dávno není jen o podvodných e-mailech. Útočníci dnes zneužívají širokou škálu komunikačních kanálů – od SMS a WhatsAppu přes Teams/Slack/Discord až po sociální sítě, QR kódy nebo dokonce falešné kalendářové pozvánky. Stále častěji se objevují i pokročilé techniky jako deepfake hlasové zprávy nebo videa, které napodobují nadřízené či kolegy a zvyšují důvěryhodnost útoku.
Cíl je vždy stejný: přimět uživatele kliknout, zadat přihlašovací údaje nebo spustit škodlivý kód. Právě rozmanitost těchto kanálů zvyšuje riziko, že se někdo nechá nachytat, i když je na klasický e-mailový phishing už dávno imunní.
V našich simulovaných útocích proto nejdeme jen po e-mailech. Dokážeme nasimulovat phishing přes SMS, zprávy v Teams, falešné weby nebo třeba QR kódy na plakátech i scénáře s deepfake prvky. Díky tomu si zaměstnanci vyzkouší, jak vypadá phishing v různých podobách, a naučí se ho rozpoznat i tam, kde by ho nečekali. Cílem není nachytat, ale připravit – a čím realističtější scénáře, tím lepší prevence.
Naše kampaně jsou profi. Podívejte se.
V naší virtuální poštovní schránce si můžete vyzkoušet svůj postřeh. Začněte kliknutím na e-mail.
Nepoužíváme simulátory –
pracujeme jako reálný útočník
Phishingový scénář Vám vždy upravíme na míru, dle Vašich potřeb a požadavků.
Žádných neupravitelných šablon v angličtině se u nás nedočkáte.
Jak phishingový test probíhá?
Po celou dobu testování budete s našimi experty na phishingové kampaně ve spojení. Od úvodní konzultace nad zněním podvodné zprávy a simulované cílové stránky (OWA, SharePoint, intranet, …) až po předání závěrečné zprávy a využité domény při testování. Po zahájení každé kampaně od nás obdržíte průběžné výsledky, abyste měli k dispozici reálná čísla pro management. Poradíme vám též, jak reagovat na vzniklé dotazy a podezření ze strany uživatelů.
Výběr scénáře
Pro úspěšný útok je potřeba zvolit správný scénář - tedy příběh, který zaměstnance namotivuje aby provedl akci, kterou po něm útočníci chtějí.
Společně vybereme realistické scénáře a definujeme cílové skupiny na které simulovaný útok zacílíme.
Scénáře vždy upravujeme na míru zákazníkovi nebo vytvoříme unikátní scénář přímo pro Vás a to v libovolné jazykové mutaci.
Nastavení výjimek
Můžeme udělat i blacbox text, kdy budeme sledovat reakci vašich security systémů, lepší je ale nastavit výjimky.
Simulujeme tak rovnou tu nejhorší situaci, kdy vše selže a phishingy do firmy projdou. Můžeme pak nezkresleně měřit úspěšnost kampaní.
Nastavit výjimkyZahájení testování
Obvykle vypouštíme první phishingy do tří týdnů od poptávky.
Průměrná doba nasbírání relevantních výsledků je jeden týden. Průběžně informujeme o tom jak kampaň probíhá a zda jde vše podle plánu.
Přehledné vyhodnocení
Měříme, jak byla kampaň úspěšná – zjistíme kolik uživatelů zprávu otevřelo, kolik jich kliknulo na podvodný odkaz, v kolik hodin a na kterém zařízení.
Také uvidíme, kolik zaměstnanců se dokonce přihlásilo do falešného portálu.
Vyhodnocení může být velmi detailní, kdy uvidíme, který uživatel, a na jaké pozici, zadal jaké heslo do kompromitovaného systému, kdy a odkud.
Ukázka závěrečné zprávyOvěření nabytých znalostí
Opakování je matka moudrosti a tak vás nepřekvapí, že doporučujeme po 3 až 6 měsících test zopakovat.
S několika klienty máme kontrakt na dlouhodobou spolupráci a zaměstnance testujeme v náhodných intervalech po celý rok.
Také můžeme po vyhodnocení kampaně zaměstnancům poslat edukační newsletter, a navázat tak vzděláváním, aby došlo ke zvýšení bezpečnostního povědomí.
PoptatNIS2 není strašák. A útočníci nečekají. Proč byste měli vy?
Směrnice NIS2 není o strašení, ale o příležitosti zvýšit odolnost firmy. Jedním z jejích pilířů je práce s lidským faktorem — tedy školení a testování zaměstnanců proti hrozbám jako phishing. A právě simulované útoky jsou nejefektivnějším způsobem, jak tato rizika měřit a snižovat.
Rozhodování, zda testovat, už dnes není na místě. Útočníci nečekají na legislativu ani na rozpočet — zkoušejí to denně, různými kanály a stále chytřeji. My vám pomůžeme otestovat zaměstnance dřív, než to udělá útočník naostro.
Zajímá vás více?
Pavel Matějíček se o aspektech simulovaných phishingových kampaní rozpovídal pro magazín O2 CyberNews.
Bezpečnostní povědomí zaměstnanců
testujeme komplexně
Phishingový test doporučujeme doplnit o následující techniky sociálního inženýrství. Získáte tak ucelený pohled na chování zaměstnanců, což vám pomůže identifikovat slabiny v kybernetické bezpečnosti.
Chcete vědět více? Zanechte nám na sebe kontakt…
Máte zájem o phishingový test zaměstnanců?
Zanechte nám na sebe kontakt. My se vám ozveme společně s nezávaznou cenovou nabídkou.