Když jde o ochranu vaší společnosti před moderními kybernetickými hrozbami, stojí zaměstnanci a jejich vzdělávání v první obranné linii. Běžná školení kybernetické bezpečnosti a hromadně rozesílané vzdělávací e-maily však často nedokážou vaše sdělení zaměstnancům účinně předat. Poutavější jsou školení na bázi simulací, jak na ně?
Bez ohledu na to, jak robustní je vaše softwarová ochrana, nemůže zabránit odhodlanému útočníkovi, aby využil lidské psychologie k získání neoprávněného přístupu do vaší společnosti. Pokrokové firmy si to uvědomují a přijímají proaktivní opatření, aby své zaměstnance připravily na techniky sociálního inženýrství.
Jednou z metod, kterou mohou použít, je provedení simulačního cvičení. O simulaci útoku pomocí QR kódu jsme již psali. Tentokrát se podíváme na test v reálném čase, který prokáže, jak moc může být váš tým připraven čelit hlasovým phishingovým útokům neboli vishingu.
Co je to vishing? Vishing, zkráceně „voice phishing“, je technika, při které útočník manipuluje jednotlivce prostřednictvím telefonního hovoru, aby mu prozradil citlivé informace nebo převedl peníze. Na rozdíl od tradičního phishingu založeného na e-mailu využívá vishing bezprostřednost a osobní povahu hlasové komunikace. |
Výsledky realného testování zaměstnanců
Odolnost vůči vishingu byla testována na zaměstnancích nejmenované technologické společnosti.
Během testu se zaměstnanci setkali s útočníkem, který na sebe vzal tři různé role:
- Podpora finančního oddělení: V tomto scénáři se útočník vydával za pracovníka podpory finančního oddělení a trval na potvrzení osobních údajů zaslaných e-mailem. Pro přístup k údajně kritickému souboru, kde bylo třeba údaje potvrdit, byly přitom vyžadovány přihlašovací údaje.
- Externí auditor: Útočník se vydával za zástupce falešné auditorské firmy a žádal IT správce o vyplnění online formuláře. Přístup k formuláři však závisel na poskytnutí jejich přihlašovacích údajů.
- Kolega na dovolené: Ve třetím scénáři se útočník vydával za kolegu bez přístupu k počítači a žádal o naléhavou pomoc. Vyřešení problému znamenalo přihlášení do externí aplikace.
Pozoruhodné je, že účastníci tohoto testu zůstali v klidu a účinně odráželi útočníkovy pokusy. Žádný z nich se nestal obětí pokusů o vishing. To podtrhuje význam neustálého vzdělávání v oblasti kybernetické bezpečnosti, neboť se jedná o zaměstnance společnosti s robustním programem vzdělávání v oblasti kyberbezpečnosti, včetně pravidelných školení v různých formách.
Tváří v tvář potenciálně sporné situaci si obratně vzpomněli na dříve osvojené preventivní zásady a použili je, čímž ochránili svou společnost před možnými důsledky útoku sociálního inženýrství.
Jak se nestát obětí vishingu?
1. Mějte na paměti potenciální nebezpečí
Buďte ostražití, kdykoli obdržíte nečekaný telefonát od jakékoli "autority", například banky, státní instituce nebo technické podpory. I když volající může být tím, za koho se vydává, je vždy dobré znát možná rizika a postupovat obezřetně.
2. Ověřte si totožnost volajícího
Zaměstnanci, kteří se účastnili výše uvedené simulace, se vždy snažili ověřit totožnost volajícího - a vy byste měli udělat totéž. Při přijetí podezřelého hovoru si vyžádejte celé jméno volajícího, kontaktní údaje a informace o organizaci. Neváhejte tyto údaje porovnat s oficiálními zdroji, jako jsou webové stránky organizace nebo předchozí komunikace.
3. Pokládejte záludné otázky
Znejistěte potenciální útočníky tím, že jim budete klást otázky, na které nedokážou snadno odpovědět. V závislosti na kontextu se ptejte na předchozí interakce, nadřízené nebo společné známé. Hlubší ponoření do konverzace může odhalit nesrovnalosti a odhalit jejich skutečnou povahu.
4. Pozor na naléhavé požadavky
Vishingoví útočníci často předstírají naléhavost svého požadavku, aby své cíle ovlivnili. Buďte ostražití a pečlivě zkoumejte každou žádost, která na vás tlačí k rychlému jednání. Nenechte se zatlačit do kouta a nerozhodujte se unáhleně.
5. Ověřte a nahlaste
V případě pochybností ukončete hovor a kontaktujte oficiálního zástupce dané instituce. Nahlášení podezřelých hovorů je zásadní, protože přispívá ke kolektivnímu úsilí o zlepšování úrovně kybernetické bezpečnosti.
6. Vzdělávejte a šiřte povědomí o kyberbezpečnosti
Sdílejte tyto poznatky napříč celou organizací. Terčem vishingového útoku se může stát kdokoli. Budujte kyberbezpečnostní kulturu a udržujte si zdravou míru skepse.
6 kroků pro úspěšný vishingový test
Prováděním simulací vishingu pomůžete svému týmu, aby takovou hrozbu rozpoznal a dokázal jí čelit. Cílem testu není ukázat prstem nebo potrestat zaměstnance, kteří klopýtnou, ale zvýšit jejich povědomí o kybernetických hrozbách. Každou simulaci berte jako příležitost k přípravě kolegů na reálnou konfrontaci s kybernetickými útočníky a efektivní odražení taktik sociálního inženýrství.
Krok 1: Definujte cíle a rozsah
Začněte stanovením jasných cílů simulace vishingu. Je vaším cílem posoudit reakce zaměstnanců na podezřelé telefonáty nebo vyhodnotit účinnost programu bezpečnostního školení vaší organizace? Určete rozsah simulace, včetně oddělení, zaměstnanců nebo konkrétních rolí, na které se hodláte zaměřit.
Krok 2: Získejte souhlas vedení
Vysvětlete vedení společnosti účel, přínosy a potenciální výstupy vishingového cvičení. Řešte případné obavy a zdůrazněte, jak tento proaktivní přístup může pomoci identifikovat zranitelná místa a snížit riziko skutečného narušení bezpečnosti.
Krok 3: Vypracujte scénáře
Vytvořte realistické scénáře vishingu, které napodobují potenciální hrozby, s nimiž se mohou vaši zaměstnanci setkat. Zvažte scénáře zahrnující volající, kteří se vydávají za techniky IT podpory, poskytovatele služeb nebo dokonce interní zaměstnance, kteří chtějí získat citlivé informace. Vypracujte přesvědčivý a věrohodný scénář a zajistěte, aby obsahoval znaky typické pro vishing, jako je naléhavost, zastrašování a žádosti o důvěrná data.
Krok 4: Informujte a proškolte zaměstnance
Před testováním zaměstnancům připomeňte důležitost povědomí o kybernetických hrozbách a vyzvěte je, aby při řešení podezřelých hovorů dodržovali zavedené postupy. V případě potřeby proveďte opakovací školení.
Krok 5: Vyhodnocení výsledků
Po simulaci shromážděte a analyzujte posbíraná data. Identifikujte trendy, vzorce a oblasti, které je třeba zlepšit. Uspořádejte schůzku, na které vysvětlíte účel simulace, její výsledky a získané poznatky. Poskytněte konstruktivní zpětnou vazbu a použijte příklady z reálného světa, abyste zdůraznili význam odhalení vishingového útoku.
Krok 6: Neustále se zlepšujte
Využijte poznatky získané ze simulace vishingu k vylepšení bezpečnostních školicích programů, směrnic a postupů vaší společnosti. Zvažte pravidelné provádění podobných simulací, abyste udrželi vysokou úroveň připravenosti zaměstnanců a jejich přizpůsobivosti novým hrozbám.
Jste připraveni otestovat připravenost svého týmu? Při správné přípravě může simulace vishingu posílit kybernetickou bezpečnost vaší společnosti.