Choć wysyłanie emaili phishingowych do własnych pracowników jest dobrą metodą na podniesienie ich świadomości, to trzeba uważać, by takie testy phishingowe nie przerodziły się w testy obciążeniowe obsługi klienta w innej firmie.
Na początku lipca flamandzki urząd świadczący usługi IT wszystkim jednostkom rządowym postanowił sprawdzić, jak na próbę phishingu zareaguje 20 tysięcy urzędników. Do stworzenia wiarygodnej wiadomości wykorzystano logo popularnej firmy – jednak zapomniano to wcześniej z nią uzgodnić.
Całkiem przyzwoity phishing
O całej historii donosi belgijski serwis VTM Nieuws. 2 lipca 20 tysięcy belgijskich urzędników otrzymało wiadomość poczty elektronicznej z niepokojąca informacją. Wiadomość udawała pochodzącą od belgijsko – francuskiej firmy Thalys, obsługującej połączenia szybkiej kolei TGV poza Francją.
Phishing przygotowano całkiem przyzwoicie. Prawidłowy nadawca, odpowiedni nagłówek z logo firmy, dobrze dobrano także treść wiadomości. Znajdowała się w niej informacja o potwierdzeniu zakupu przejazdu na trasie Bruksela – Paryż oraz rezerwacji luksusowego hotelu w Paryżu. Według wiadomości transakcja została opłacona za pomocą karty kredytowej a całkowity koszt wyjazdu wynosi jedyne 19 750,75 euro. Istnieje także możliwość anulowania transakcji – w tym celu wystarczy otworzyć i wydrukować oraz przesłać załączony dokument Worda. Niezbędne jest także aktywowanie macro.
Drobny problem
Niestety w całej akcji zapomniano o jednym szczególe – tym, że używanie tożsamości istniejącej firmy obarczone jest pewnym ryzykiem. Jak się okazuje, część odbiorców wiadomości zareagowała bardzo przytomnie i skontaktowała się z firmą Thalys by zgłosić próbę ataku (część pewnie także by zgłosić reklamację). Inni z kolei dzwonili do banków, by blokować swoje karty kredytowe lub anulować transakcję. Co więcej, niektórzy użytkownicy zgłosili sprawę od razu organom ścigania. W reportażu brak informacji o tym, czy Thalys zamierza dochodzić od flamandzkiego urzędu odszkodowania za poniesione koszty obsługi zgłoszeń urzędników, jednak osoba odpowiedzialna za całą akcję przeprosiła już poszkodowanych a urzędnicy otrzymali informację w kolejnym emailu, że cała akcja była tylko testem. Tym razem informacja nie miała już załącznika.
Komentarze
Heh, u nas w firmie świadomość jest nieustannie podnoszona przez rzeczywisty phishing: niezapłacona faktura w .doc/.rar, paczka czekająca w niemieckim bankomacie… :D
Czy nie łatwiej po prostu zrobić personelowi porządne szkolenie? ….
Badania mówią, że kampanie mają większą wartość edukacyjną niż szkolenia. W co osobiście wierzę.
I ja również. Szkolenia z bezpieczeństwa szarych pracowników zazwyczaj wyglądają w ten sposób:
1. Kurwa, znowu jakieś szkolenie.
2. Z czego?
1. A bo ja wiem?
2. Idziesz?
1. No przecież obiad sam się nie zje.
@rabin: nie wystarczy, poniewaz: mama mowila Ci 'nie rusz ognia bo sie poparzysz’ – poskutkowalo, czy dalej wsadzales patyk w ognisko? ;)
Jak się oparzysz to lepiej zapamiętasz co jest gorące niż z wykładu pt. „nie dotykać tej rurki obok wihajstra” ;)
W następnym tygodniu będzie kampania podnosząca świadomość fizyczną poprzez zamontowanie płonącej obręczy w głównym korytarzu. Spóźnieni w robocie wylatują ;>.
Tydzień później naleją wody i dadzą aligatory.
A za dwa tygodnie PRAWDZIWE dresy z PRAWDZIWYMI baseballami będą im podnosić świadomość o prankach… ;>
–
I to wszystko oczywiście obejmuje też bezpłatnych praktykantów… ;>