Môžu vaši zamestnanci
Rozpoznať cielený phishing? podvodné hovory? sociálne inžinierstvo? vysadený USB? falošné faktúry?
BOIT – Bezpečnosť a ochrana IT #doingbusinesssafer
Phishing má mnoho tvárí. Nie je to len e-mail.
Phishing už nie je len o podvodných e-mailoch. Útočníci dnes zneužívajú širokú škálu komunikačných kanálov – od SMS a WhatsApp po Teams/Slack/Discord, sociálne siete, QR kódy alebo dokonca falošné pozvánky do kalendára. Čoraz častejšie sa používajú aj pokročilé techniky, ako sú deepfake hlasové správy alebo videá, ktoré imitujú nadriadených alebo kolegov, čo zvyšuje dôveryhodnosť útoku.
Cieľ je vždy rovnaký: prinútiť používateľa kliknúť, zadať prihlasovacie údaje alebo spustiť škodlivý kód. Práve rôznorodosť týchto kanálov zvyšuje riziko, že sa necháte prichytiť, aj keď je niekto voči klasickému e-mailovému phishingu dlhodobo imúnny.
Preto pri našich simulovaných útokoch nesledujeme len e-maily. Môžeme simulovať phishing prostredníctvom SMS, správ Teams, falošných webových stránok, QR kódov na plagátoch a scenárov deepfake. Zamestnanci si tak môžu vyskúšať, ako vyzerá phishing v rôznych podobách, a naučiť sa ho rozpoznať aj tam, kde by ho nečakali. Cieľom nie je chytiť, ale pripraviť sa – a čím realistickejšie scenáre, tým lepšia prevencia.
Naše kampane sú profesionálne. Pozrite si ich.
V našej virtuálnej schránke si môžete otestovať svoj postreh. Začnite kliknutím na svoj e-mail.
Nepoužívame simulátory – pracujeme ako skutočný útočník
Scenár phishingu vždy prispôsobíme vašim potrebám a požiadavkám.
Nebudete tu vidieť žiadne neupraviteľné šablóny v angličtine.
Ako funguje phishingový test?
Počas celého obdobia testovania budete v kontakte s našimi odborníkmi na phishingové kampane. Od úvodnej konzultácie o znení phishingovej správy a simulovanej cieľovej lokality (OWA, SharePoint, intranet, …) až po doručenie záverečnej správy a domény použitej pri testovaní. Po spustení každej kampane od nás dostanete priebežné výsledky, aby ste mali k dispozícii reálne čísla pre manažment. Poradíme vám tiež, ako reagovať na otázky a podozrenia, ktoré vznesú používatelia.
Výber scenára
Na úspešný útok je potrebné zvoliť správny scenár - teda príbeh, ktorý motivuje zamestnanca k činnosti, ktorú útočníci chcú, aby vykonal.
Spoločne vyberieme realistické scenáre a definujeme cieľové skupiny, na ktoré sa má simulovaný útok zamerať.
Scenáre vždy prispôsobíme zákazníkovi alebo pre vás vytvoríme jedinečný scenár v akomkoľvek jazyku.
Nastavenie výnimiek
Môžeme tiež vytvoriť textový blackbox, v ktorom budeme monitorovať odozvu vašich bezpečnostných systémov, ale je lepšie nastaviť výnimky.
Simulujeme najhorší možný scenár, keď všetko zlyhá a do spoločnosti sa dostanú phisheri. Vtedy môžeme merať úspešnosť kampaní bez zaujatosti.
Nastavenie výnimiekZačiatok testovania
Prvý phishing zvyčajne zverejňujeme do troch týždňov od podania žiadosti.
Priemerný čas na zhromaždenie relevantných výsledkov je jeden týždeň. Priebežne vás informujeme o tom, ako kampaň prebieha a či všetko ide podľa plánu.
Jasné hodnotenie
Meriame úspešnosť kampane - koľko používateľov otvorilo správu, koľko kliklo na podvodný odkaz, v akom čase a na akom zariadení.
Uvidíme tiež, koľko zamestnancov sa vôbec prihlásilo na falošný portál.
Vyhodnotenie môže byť veľmi podrobné, pričom môžeme vidieť, ktorý používateľ a na akej pozícii zadal do napadnutého systému aké heslo, kedy a odkiaľ.
Ukážka záverečnej správyOverenie získaných vedomostí
Opakovanie je matka múdrosti, preto nie je prekvapujúce, že test odporúčame opakovať po 3 až 6 mesiacoch.
S viacerými klientmi máme dlhodobé zmluvy a zamestnancov testujeme v náhodných intervaloch počas celého roka.
Po vyhodnotení kampane môžeme zamestnancom zaslať aj vzdelávací bulletin a nadviazať naň vzdelávaním s cieľom zvýšiť povedomie o bezpečnosti.
Požiadajte o informácie naNIS2 nie je strašiak. A útočníci nečakajú. Prečo by ste mali vy?
Smernica NIS2 nie je strašiakom, ale príležitosťou na zvýšenie odolnosti podnikov. Jedným z jej pilierov je práca s ľudským faktorom, t. j. školenie a testovanie zamestnancov proti hrozbám, ako je phishing. A práve simulované útoky sú najúčinnejším spôsobom merania a zmierňovania týchto rizík.
Rozhodovanie o tom, či testovať, už nie je možné. Útočníci nečakajú na legislatívu ani na rozpočty – skúšajú to každý deň, rôznymi kanálmi a sú čoraz inteligentnejší. Pomôžeme vám otestovať zamestnancov skôr, ako to útočník urobí naozaj.
Máte záujem o ďalšie informácie?
Pavel Matějíček hovoril o aspektoch simulovaných phishingových kampaní pre magazín O2 CyberNews.
Komplexne testujeme bezpečnostné povedomie zamestnancov
Test phishingu odporúčame doplniť o nasledujúce techniky sociálneho inžinierstva. Získate tak komplexný prehľad o správaní zamestnancov, ktorý vám pomôže identifikovať slabé miesta vo vašej kybernetickej bezpečnosti.
Vábenie
Taktiež skontrolujeme, či vaši zamestnanci nemajú nastražené pamäťové médiá v perimetri spoločnosti, a to pomocou návnady – nastražených USB diskov na pracovisku a v jeho okolí.
Vishing
Tajné nakupovanie v oblasti bezpečnosti. Zistíme, či nám vaši zamestnanci zveria interné informácie.
Quishing
Kódy QR môže útočník zneužiť, napríklad na faktúrach. Otestujte svoje účtovníctvo a procesy.
Chcete sa dozvedieť viac? Zanechajte nám kontakt…
Máte záujem o test phishingu zamestnancov?
Zanechajte nám svoje kontaktné údaje. Ozveme sa vám s nezáväznou cenovou ponukou.