Phishingový test zaměstnanců

Phishing je jeden z nejčastějších způsobů průniku do firem. Díky simulovanému phishingovému testu získáte představu o tom, jak by Vaše organizace dopadla v případě, že by se na ni zaměřili hackeři.

Poznáte, který z těchto obrázků je originál a který patří phishingové stránce?

Phishingový test spočívá v tom, že pošleme várku podvržených e-mailových zpráv tak, aby vypadaly, že jsou to zprávy korektní.

Může se jednat o lákavou nabídku produktu, nabídku pracovního místa, firemní benefity nebo mail který se tváří jako od interního IT a vyzývá uživatele k nějaké akci.

Test Vám vždy upravíme na míru, dle Vašich potřeb a požadavků. Žádných neupravitelných šablon v angličtině se u nás nedočkáte.

Vishing

Nově nabízíme také test zaměstnanců pomocí vishingu – podívejte se na samostatnou stránku pro více informací.

Vyhodnocení testu

Měříme, jak byla kampaň úspěšná – zjistíme kolik uživatelů zprávu otevřelo, kolik jich kliknulo na podvodný odkaz, v kolik hodin a na kterém zařízení.

Také uvidíme, kolik zaměstnanců se dokonce přihlásilo do falešného portálu.

Vyhodnocení může být velmi detailní, kdy uvidíme který uživatel, na jaké pozici,  zadal jaké heslo do kompromitovaného systému, kdy a odkud. Nebo mohou být výsledky zcela anonymní, za což bývají zaměstnanci vděční. Preferujeme anonymní variantu, kdy dostanete vyhodnocení kampaně formou grafů a statistik, bez konkrétních jmen.

Je dobrou praxí odměnit ty uživatele, kteří nenaletěli, zásadně však ty, jež neprošli, netrestáme.

Výsledná zpráva a doporučení

Výsledky shrneme do výsledného hodnocení, které obsahuje přehledné statistiky i seznam doporučení, co vylepšit.

Pokud nebude phishingový test na Vaše přání anonymní, předáme Vám veškerá naměřená data pro možnosti budoucí analýzy či porovnání v případě opakování testu. Samozřejmostí je smlouva o mlčenlivosti (NDA).

Prezentaci managementu provedeme my, nebo Vaše IT oddělení, dle Vašeho přání.

Podívejte se na vzor vyhodnocení

Klidnutím na obrázek stáhnete vzorové PDF.

Rezervujte si nezávaznou schůzku on-line

Zavolejte phisherovi

Pavel Matějíček

Aby byly výsledky phishingu nezkreslené, je třeba nastavit výjimky z antiSPAMové a antivirové kontroly. Jejich přehled je v tomto průvodci.

Výjimky v antiSPAMu by měly být tyto:

Doména mailserveru: mail.privacyfreak.net

IP mailserveru je: 37.205.13.44

 

A na odesílatele:

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

+ další dle dohodnutých scénářů

 

URL:

 

Pokud má mailserver i antivirový modul, přidejte prosím domény i do něj se znakem „*“ před i za doménou. ( *ceskapocta.cz*, *doména_dle_scénáře*,…)

V momentě kdy nastavíte výjimky na Exchange/mailserveru, přijde e-mail normálně do doručené pošty. Je nezbytně nutné nastavit výjimky a přidat domény na whitelist / do bezpečných odesílatelů.

Nastavení v MS Exchange

V případě phishingové simulace je pravděpodobné, že některé z těchto emailů jsou identifikovány jako spam/phishing a přesunuty do složky Nevyžádaná pošta v aplikaci MS Outlook. Je tedy třeba je přidat na whitelist – seznam povolených domén, kdy takto označené domény obcházejí spamový/phishingový filtr.

Byť většinou je uživatelské rozhraní v angličtině, stejně jako přiložené screenshoty, textový návod uvádíme pro ty co preferují mateřský jazyk v češtině.

V prostředí Office 365 – Exchange online je třeba provést přidání pravidla pro příchozí poštu pomocí Centra pro správu Exchange. V položce tok pošty – pravidla zvolte nové pravidlo s názvem Vynechat filtrování spamu….

 

 

Nové pravidlo si nazvěte dle potřeby, například „VirusLab whitelist“ a v sekci podmínek zvolte možnost Odesílatel – doména je .

V seznamu domén, sepište seznam požadovaných domén (viz. výše) do whitelistu a po uložení je hotovo.

V antiviru (na koncových stanicích) prosím nastavte v modulech HTTP skenování a AntiPhishing modulu tyto adresy – i se znakem * aby došlo k vyloučení subdomén a dalších částí URL. Toto nastavení provádějte prosím v centrální konzoli, tak aby došlo k propsání výjimek na všechny koncové stanice.

Standardní domény které používáme:

*nase-benefity.cz*

*maildelivery.cz*

*mailingserver.eu*

*ceskapocta.cz*

*mlcrosoft365.cz *

Konkrétní domény závisí vždy na dohodnutém scénáři.

Toto zabrání detekci na koncových stanicích a umožní načtení obsahu e-mailů a přesměrování na stránky v případě ,že by antimalware řešení lokálně rozpoznalo phishing a dalo to vědět ostatním stanicím v síti.

ESET

 

Výjimku lze přidat v rozšířeném nastavení (Vyvoláte stiskem F5) a pak v sekci Web a mail – Ochrana přístupu na web – Správa URL adres klikněte na Změnit u Seznamu adres. Zde přidejte *maildelivery.cz* (včetně hvězdiček!) do Seznamu adres vyloučených z kontroly obsahu.

Současně vypněte také samostatný Anti-Phishing modul který se nachází v sekci Anti-Phishingová ochrana

Ukázka je na koncové stanici, nicméně změny provádějte ideálně z konzole ESET Protect pomocí politiky, kterou aplikujte na všechny stanice, na které bude phishingový test probíhat.

Aby uživatelům ESET nehlásil, že je modul Antiphishing vypnutý (GUI pak svítí červeně), nastavte politikou vypnutí tohoto Stavu aplikace.

Bitdefender

Řešení Bitedefenderu spolupracuje s Exchange, takže výjimky v AntiSPAMu stačí mít nastavené tam. Nicméně je možné je nakonfigurovat i přímo v GravityZone: Configuration (bitdefender.com) 

Co se týče blokace anti-phishing modulem, tak jeho nastavení je popsáno zde: Configuration (bitdefender.com) 

Pokud filtrujete odchozí komunikaci, povolte prosím port 444

Tuto funkci řídí Windows Defender a pokud je zapnutá, prohlížeč může detekovat stránky reportované Microsoftem.

Using Microsoft Edge

If you specifically want to turn off SmartScreen for sites in Microsoft Edge, you can also switch off SmartScreen directly through the browser.

In Edge, click the three-dotted menu icon at the top-right corner -> Settings -> Privacy, search and services.

How To Turn Off Windows Defender Smartscreen Edge 1

Scroll down to Security, then switch the “Microsoft Defender SmartScreen” button to the Off position.

Using Group Policy Editor

Apart from the above methods, we will also explore some system or network administrator methods for alternative access to the Windows Defender SmartScreen. 

For system or network administrators, Windows has a specific policy setting within the Group Policy editor to quickly disable the SmartScreen filter in Windows 10.

1. Open Group Policy Editor by searching for “gpedit.msc” in the Start menu. In the Policy Editor, go to “Computer Configuration -> Administrative Templates -> Windows Components -> File Explorer.”

2. Find and double-click the “Configure Windows Defender SmartScreen” policy.

3. In the policy settings window, configure it as follows:

  • To disable the SmartScreen filter, select the radio option “Disabled.”
  • To enable the SmartScreen filter, select “Enabled” and either select “Warn” or “Warn and prevent bypass” under the Options section.
smartscreen-win10-policy-settings

To make the changes take effect, restart your system or execute the gpupdate /force command as admin.

Tuto funkci řídí prohlížeč Google Chrome ale lze ji vypnout i pomocí GPO.

Tutorial GPO – Enable safe browsing on Google Chrome

On the domain controller, download the latest version of the Google Chrome template.

GPO - Google Chrome policy template

Extract the ZIP file named POLICY_TEMPLATES.

In our example, all files were placed on the root of a directory named DOWNLOADS.

Gpo - Google Chrome template

Access the directory named WINDOWS and copy the ADMX files to the Policy definitions directory.

Copy to Clipboard

Access the correct language subdirectory.

Copy the ADML files to the correct language directory inside the Policy definitions.

Copy to Clipboard

On the domain controller, open the group policy management tool.

Windows 2012 - Group Policy Management

Create a new group policy.

Windows 2012 - Group Policy Objects

Enter a name for the new group policy.

Windows - Add GPO

In our example, the new GPO was named: MY-GPO.

On the Group Policy Management screen, expand the folder named Group Policy Objects.

Right-click your new Group Policy Object and select the Edit option.

Windows - Edit GPO

On the group policy editor screen, expand the User configuration folder and locate the following item.

Copy to Clipboard

Here are the Google Chrome configuration options.

GPO - Google Chrome

Access the folder named Safe browsing settings.

GPO - Google chrome safe browsing

Enable the item named Safe browsing protection level.

Select the option Safe browsing is active in enhanced mode.

GPO - Google chrome Safe browsing enhanced mode

In our example, we enabled the enhanced model of the safe browsing feature.

To save the group policy configuration, you need to close the Group Policy editor.

Congratulations! You have finished the GPO creation.

 

Tutorial GPO – Enhanced protection on Google Chrome

On the Group policy management screen, you need to right-click the Organizational Unit desired and select the option to link an existent GPO.

Windows-2012-Applocker application

In our example, we are going to link the group policy named MY-GPO to the root of the domain.

GPO- tutorial linking

After applying the GPO you need to wait for 10 or 20 minutes.

During this time the GPO will be replicated to other domain controllers.

On a remote computer, access the Google Chrome settings.

Copy to Clipboard

The enhanced protection will be enabled.

GPO - Google chrome enhanced protection

In our example, we enabled the enhanced protection for safe browsing on Google chrome.

Při phishingové kampani přijdeme do styku zejména s těmito informacemi:

 

  • E-mailová adresa
  • Jméno a příjmení zaměstnance / lze rozklíčovat z e-mailu
  • IP adresa lokality ve které zaměstnanec otevře podvodnou web stránku
  • Název lokality kde se nachází/je registrována IP adresa
  • Verzi webového prohlížeče
  • Typ a verzi operačního systému
  • Datum a čas kdy e-mail otevřeli
  • Datum a čas kdy došlo k prokliku na podvodný web

 

Pokud bude chtít zadavatel zachytávat přihlašovací údaje, například na falešné přihlašovací stránce (jméno, nebo kombinace jména + heslo), budou tyto údaje přenášeny šifrovaně (HTTPS) na server v ČR. Případná hesla jsou v databázi zaznamenávána v nešifrované podobě, jejich zachytávání proto standardně nedoporučujeme a zaznamenáváme je pouze na přímou a smluvně doloženou žádost zákazníka! Veškerá nashromážděná data můžeme ve strojově čitelné podobě (CSV) předat zákazníkovi, pokud si to přeje.

Máme vlastní právně ověřené NDA a mlčenlivost je u nás i bez smlouvy samozřejmostí. Žádné zjištěné informace nikdy nepředáváme třetím stranám.

error: Kopírování, vkládání a pravé myšítko je zakázáno.