Testy socjotechniczne2024-12-18T22:54:20+01:00

Testy socjotechniczne

Zakres testów socjotechnicznych obejmuje:

  1. Rodzaje testów socjotechnicznych:
    • Phishing: Próby pozyskania poufnych informacji (np. loginów, haseł) za pomocą fałszywych wiadomości e-mail, stron internetowych lub wiadomości SMS.
    • Vishing: Socjotechniczne testy poprzez rozmowy telefoniczne, w których testujący podszywają się pod zaufane osoby lub instytucje.
    • Pretexting: Budowanie wiarygodnej historii w celu nakłonienia pracowników do ujawnienia informacji lub wykonania określonych działań.
    • Physical Penetration Testing: Próby fizycznego uzyskania dostępu do pomieszczeń organizacji przy wykorzystaniu socjotechnicznych metod (np. podszycie się pod pracownika lub serwisanta).
    • Spear-phishing: Testy skierowane na konkretne osoby lub grupy, z wykorzystaniem spersonalizowanych wiadomości.
    • Watering Hole Attacks: Próby zainfekowania często odwiedzanych przez pracowników stron internetowych.
  1. Co jest testowane:
    • Czujność pracowników: Ocena świadomości pracowników w zakresie zagrożeń socjotechnicznych.
    • Procedury bezpieczeństwa: Sprawdzenie skuteczności wdrożonych polityk bezpieczeństwa, np. zgłaszania incydentów.
    • Reakcje na incydenty: Testowanie, jak pracownicy i organizacja reagują na próbę oszustwa lub naruszenia.
    • Obieg informacji: Identyfikacja potencjalnych słabych punktów w przepływie informacji w organizacji.
    • Skuteczność szkoleń: Weryfikacja, czy dotychczasowe szkolenia z zakresu cyberbezpieczeństwa są skuteczne.

Cel testów: Zidentyfikowanie luk w świadomości i procedurach bezpieczeństwa, które mogą być wykorzystywane przez osoby stosujące socjotechnikę, oraz wzmocnienie ochrony przed tego typu zagrożeniami.

Jak przeprowadzany jest socjotechniczny test phishingowy?

Przeprowadzenie testu phishingowego składa się z kilku kluczowych etapów:

1. Planowanie i przygotowanie

  • Cel testu: Ustalany jest cel testu, np. sprawdzenie świadomości pracowników na temat phishingu lub przetestowanie skuteczności procedur zgłaszania podejrzanych wiadomości.
  • Zakres: Określa się, które grupy pracowników będą objęte testem, jakie dane lub działania będą próbą testowania (np. wyłudzenie loginów, kliknięcie w link).
  • Scenariusz: Przygotowuje się realistyczny scenariusz oszustwa. Może to być:
    • Powiadomienie z „działu IT” o konieczności zmiany hasła.
    • E-mail od „firmowego partnera” z prośbą o sprawdzenie załącznika.
    • Wiadomość o „wygranej” lub „pilnym zadaniu” wymagającym kliknięcia w link.

2. Przygotowanie techniczne

  • Fałszywe e-maile: Tworzone są fałszywe wiadomości e-mail, które naśladują styl komunikacji używany w organizacji lub przez zaufanych partnerów.
  • Fałszywe strony internetowe: Jeśli scenariusz wymaga, przygotowuje się strony internetowe, które wyglądają jak oryginalne (np. strona logowania do systemu firmowego).
  • Śledzenie działań: Implementuje się mechanizmy pozwalające monitorować reakcje użytkowników, np. kto otworzył e-mail, kliknął link lub podał dane.

3. Wdrożenie testu

  • Rozesłanie wiadomości: Fałszywe e-maile są wysyłane do wcześniej określonej grupy użytkowników.
  • Monitorowanie reakcji: Obserwuje się, jakie działania podejmują użytkownicy:
    • Czy otworzyli wiadomość?
    • Czy kliknęli link?
    • Czy wprowadzili dane logowania?
  • Zbieranie zgłoszeń: Sprawdza się, ile osób zgłosiło podejrzaną wiadomość do działu IT lub zgodnie z obowiązującymi procedurami.

4. Analiza wyników

  • Skuteczność phishingu: Analizuje się, jaki odsetek użytkowników podjął działania, które mogłyby narazić organizację na ryzyko.
  • Czas reakcji: Ocena, jak szybko pracownicy zidentyfikowali phishing i zgłosili incydent.
  • Identyfikacja luk: Wskazanie najczęstszych błędów pracowników, np. brak weryfikacji adresu e-mail nadawcy, klikanie w podejrzane linki.

5. Raportowanie i szkolenie

  • Raport: Przygotowywany jest raport podsumowujący wyniki testu, z wyodrębnieniem:
    • Ogólnego poziomu świadomości.
    • Najczęściej popełnianych błędów.
    • Potencjalnych konsekwencji w realnym ataku.
  • Rekomendacje: Zaproponowanie działań naprawczych, takich jak dodatkowe szkolenia, zmiana procedur, czy wzmocnienie polityki bezpieczeństwa.
  • Feedback: Pracownicy są informowani o przeprowadzonym teście i jego wynikach, aby zrozumieli ryzyko związane z phishingiem i nauczyli się właściwego postępowania.

6. Poprawa zabezpieczeń

Wyniki testu są wykorzystywane do poprawy procedur bezpieczeństwa, wprowadzenia nowych narzędzi (np. filtry antyphishingowe) i dalszego doskonalenia świadomości pracowników.

Celem testu nie jest karanie pracowników, lecz identyfikacja luk w świadomości i procedurach, aby wzmocnić ochronę organizacji przed realnymi zagrożeniami.

Pomysł na test socjotechniczny z użyciem baitingu

Scenariusz: „Zagubiony pendrive z ważnymi plikami”

1. Cel testu

Celem testu jest sprawdzenie, jak pracownicy organizacji reagują na odnalezienie nośnika danych (np. pendrive’a) w miejscu publicznym oraz czy przestrzegają zasad bezpieczeństwa dotyczących obcych urządzeń.

 

2. Przygotowanie testu

  • Pendrive’y z pozornymi danymi:
    • Przygotowuje się kilka pendrive’ów, na których znajdują się pliki imitujące ważne dokumenty, np. „Hasła.xlsx”, „Umowa.pdf”, „Katalog klientów.docx”.
    • Pliki są bezpieczne, lecz zawierają elementy monitorujące, np. niewidoczny skrypt rejestrujący próbę otwarcia lub plik z instrukcją „Przeczytaj mnie”, który zawiera link do fałszywej strony.
  • Etykiety zwiększające atrakcyjność:
    • Pendrive’y mogą być oznaczone naklejkami, np. „Prywatne”, „Klucz do systemu”, „Wynagrodzenia 2024”.
    • Można dodać elementy personalizujące, jak logo firmy lub odręczne notatki typu „Pilne!”.
  • Rozmieszczenie:
    • Pendrive’y są rozmieszczane w strategicznych miejscach w biurze lub jego otoczeniu, np. przy recepcji, w kuchni, na parkingu, w sali konferencyjnej.

 

3. Przebieg testu

  • Faza pierwsza – Znalezienie pendrive’a:
    • Pracownicy, którzy znajdą pendrive, mogą:
      • Zgłosić odnalezienie do działu IT lub administracji (prawidłowe zachowanie).
      • Włożyć pendrive do swojego komputera, aby sprawdzić zawartość (nieprawidłowe zachowanie).
  • Faza druga – Reakcja po podłączeniu:
    • Po włożeniu pendrive’a uruchamia się plik lub strona imitująca zagrożenie, np. komunikat „Twoje dane są teraz zagrożone, skontaktuj się z działem IT”.
    • System monitoruje, czy i jakie pliki zostały otwarte.

 

4. Analiza wyników

  • Zachowania pracowników:
    • Ilu pracowników podłączyło pendrive do komputera?
    • Ilu próbowało otworzyć pliki?
    • Ilu prawidłowo zgłosiło odnalezienie do odpowiedniego działu?
  • Czas reakcji działu IT: Jeśli testowany jest także system zgłaszania incydentów, mierzy się, jak szybko dział IT podjął odpowiednie działania po zgłoszeniu.

 

5. Podsumowanie i edukacja

  • Raport: Opracowanie raportu z wynikami, wskazanie dobrych praktyk i najczęściej popełnianych błędów.
  • Szkolenie: Przeprowadzenie warsztatów na temat zagrożeń związanych z baitingiem oraz procedur bezpiecznego postępowania z obcymi urządzeniami.
  • Dodatkowe kroki: Wdrożenie środków zapobiegawczych, np. polityki blokowania nieautoryzowanych urządzeń USB w firmowych komputerach.

 

Dlaczego test jest ciekawy?

  • Naturalność scenariusza: Użycie pendrive’a odzwierciedla rzeczywiste metody ataków stosowanych przez cyberprzestępców.
  • Psychologia ciekawości: Test wykorzystuje ludzką skłonność do ciekawości i chęć pomocy (np. sprawdzenie, czy pendrive zawiera dane właściciela).
  • Praktyczny wymiar: Wyniki dostarczają cennych informacji o świadomości i procedurach organizacji, pomagając w skutecznym ograniczeniu zagrożeń.
Przejdź do góry