A PR-AUDIT Kft. 2020-ban is több – természetesen etikus – phishing támadás jellegű social engineering vizsgálatot hajtott végre a magyar pénzügyi és informatikai piac szereplőinél, amelyek megközelítéstől függetlenül minden alkalommal sikerrel jártak. Tapasztalatainkat 2 vállalat reprezentatív példáján keresztül szeretnénk bemutatni. Tekintettel az első mondat „etikus” kifejezésére, nevezzük őket Répa Zrt.-nek és Bot Zrt.-nek az egyes e-mail kampányok alkalmazott módszerei után.
A Répa Zrt. munkatársainak vállalati mobil adatcsomag bővítést ígértünk a Szervezet informatikai egységének nevében. Ehhez csak annyit kellett tenniük, hogy a megadott oldalon bejelentkeznek a vállalati fiókjukba, és megerősítik az igényt a levél kiküldésétől számított két napon belül. A bejelentkezési és igény benyújtási felületeket a Szervezet ügyfelek számára létrehozott, publikusan elérhető portáljának képmására készítettük el, az igények megerősítése után pedig a Répa Zrt. weboldalára irányítottuk a felhasználókat. A „bejelentkezés” során naplózásra kerültek a megadott felhasználói adatok.
A Bot Zrt. felkérésére 2 kampányt is indítottunk különböző felhasználói csoportokat megcélozva. Az első esetben külső szereplőt megszemélyesítve közöltük a munkatársakkal, hogy elérhető a Szervezet által számukra regisztrált e-képzés, amelyet a megszemélyesített oktatásszervező vállalat oldalán indíthatnak el bejelentkezés után. A második kampány esetében a megtévesztés tárgya egy COVID-19 fertőzés miatti kontaktkutatás volt. A kiküldött levelekben a Szervezet emberi erőforrás osztályának adtuk ki magunkat, és arra köteleztük a felhasználókat, hogy egy általunk felépített, a Bot Zrt. profiljára szabott oldalon jelentkezzenek be, és adják meg, hogy a levél kiküldését megelőző napokban melyik irodaház mely helyiségeiben fordulhattak meg, ugyanis egyik munkatársuk fertőzöttnek bizonyult. A belépési adatokat jelen esetben is naplóztuk.
Mindkét Szervezet rendszeresen részesíti IT biztonsági képzésben és social engineering tesztekben a dolgozókat, mégis a Répa Zrt. felhasználóinak 35%-a, és a Bot Zrt. munkatársainak 32%-a esett áldozatul a phishing kampányoknak, azaz a tesztelt szervezetek közel 1/3-a adta meg a vállalati hitelesítő adatait a „kártékony” oldalainkon.
A házon belüli kommunikáció részleteit is elkértük mindkét esetben. A Répa Zrt. éber munkatársai a kampány indítását követő 20. percben jelentették a gyanús levelet, amit kiemelkedő teljesítménynek is értékelhetnénk, ha egészen idáig nem gyűjtöttünk volna össze már 27db felhasználónév-jelszó párost a kevésbé szemfülesektől. A Bot Zrt. is hasonló eredményekkel zárt, ugyanis a Szervezet álcáját viselő kampányra csak 1 fő gyanakodott.
Módszertanunk szerint minden social engineering vizsgálat előtt az Interneten, publikus forrásokból (pl. vállalati weboldal, közösségi média stb.) elérhető adatok alapján black-box célpontlistát állítunk össze, amellyel a vizsgálatot követően szemléltethető, hogy az általunk elért találati arány milyen esélyeket jelenthet egy minden tekintetben külső támadó számára. Mindkét szóban forgó vizsgálat során a végleges célpontlisták kb. 20%-át tártuk fel ilyen módon a teljességre törekedve, és mindkét esetben a teljes célpontlista 5%-a – azaz az általunk összeállított listák 25-30%-a – bizonyult sikeres találatnak. Ezzel kijelenthető, hogy a felhasználók jelenlegi biztonságtudatossági szintjén, egy támadó pusztán black-box módszerrel, az informatikai rendszerek feltörése nélkül, sikeresen juthatna hozzá a szervezetek védett adataihoz. Továbbá, mindkét támadás során megközelítőleg még egyszer annyian kattintottak a levélben küldött linkre, mint ahányan megadták a bejelentkezési adataikat, amely a kártékony kódok szervezeten belülre juttatásának kockázati szintjét jelentősen növelő tényező.
A bemutatott példákon is jól látható, hogy az emberi tényezővel járó fenyegetések minimálisra csökkentése rengeteg erőforrást igényel, mivel a felhasználók éberségének és tudatosságának folyamatos szinten tartására berendezkedett szervezetek is megküzdenek a humán biztonságért.
Véleményünk szerint a biztonságtudatos gondolkodás, mint minden eszme, kizárólag akkor sajátítható el a lehető legmagasabb szinteken, ha a felhasználókat nem csak időszakos behatásként (éves oktatás, éves phishing teszt stb.), hanem a mindennapjaik részeként érinti, ehhez pedig egy megfelelően megtervezett biztonságtudatossági kampány lehet a szervezetek segítségére, amely folyamatosan fenntartja az elérni kívánt biztonsági célokat.
Social engineering vizsgálati szolgáltatásainkról bővebb információ a https://www.praudit.hu/szolgaltatasok/social-engineering-vizsgalatok/ oldalon érhető el, szervezetre szabott biztonságtudatossági programjainkkal kapcsolatban pedig telefonon, vagy elektronikus üzeneten keresztül nyújtunk tájékoztatást.
PR-AUDIT 2021!