Jak NIE przeprowadzać testów phishingowych na własnych pracownikach

dodał 23 lipca 2015 o 09:59 w kategorii Wpadki  z tagami:
Jak NIE przeprowadzać testów phishingowych na własnych pracownikach

(źródło: Nomadic Lass)

Choć wysyłanie emaili phishingowych do własnych pracowników jest dobrą metodą na podniesienie ich świadomości, to trzeba uważać, by takie testy phishingowe nie przerodziły się w testy obciążeniowe obsługi klienta w innej firmie.

Na początku lipca flamandzki urząd świadczący usługi IT wszystkim jednostkom rządowym postanowił sprawdzić, jak na próbę phishingu zareaguje 20 tysięcy urzędników. Do stworzenia wiarygodnej wiadomości wykorzystano logo popularnej firmy – jednak zapomniano to wcześniej z nią uzgodnić.

Całkiem przyzwoity phishing

O całej historii donosi belgijski serwis VTM Nieuws. 2 lipca 20 tysięcy belgijskich urzędników otrzymało wiadomość poczty elektronicznej z niepokojąca informacją. Wiadomość udawała pochodzącą od belgijsko – francuskiej firmy Thalys, obsługującej połączenia szybkiej kolei TGV poza Francją.

Wiadomość phishingowa

Wiadomość phishingowa

Phishing przygotowano całkiem przyzwoicie. Prawidłowy nadawca, odpowiedni nagłówek z logo firmy, dobrze dobrano także treść wiadomości. Znajdowała się w niej informacja o potwierdzeniu zakupu przejazdu na trasie Bruksela – Paryż oraz rezerwacji luksusowego hotelu w Paryżu. Według wiadomości transakcja została opłacona za pomocą karty kredytowej a całkowity koszt wyjazdu wynosi jedyne 19 750,75 euro. Istnieje także możliwość anulowania transakcji – w tym celu wystarczy otworzyć i wydrukować oraz przesłać załączony dokument Worda. Niezbędne jest także aktywowanie macro.

Druga część wiadomości

Druga część wiadomości

Drobny problem

Niestety w całej akcji zapomniano o jednym szczególe – tym, że używanie tożsamości istniejącej firmy obarczone jest pewnym ryzykiem. Jak się okazuje, część odbiorców wiadomości zareagowała bardzo przytomnie i skontaktowała się z firmą Thalys by zgłosić próbę ataku (część pewnie także by zgłosić reklamację). Inni z kolei dzwonili do banków, by blokować swoje karty kredytowe lub anulować transakcję. Co więcej, niektórzy użytkownicy zgłosili sprawę od razu organom ścigania. W reportażu brak informacji o tym, czy Thalys zamierza dochodzić od flamandzkiego urzędu odszkodowania za poniesione koszty obsługi zgłoszeń urzędników, jednak osoba odpowiedzialna za całą akcję przeprosiła już poszkodowanych a urzędnicy otrzymali informację w kolejnym emailu, że cała akcja była tylko testem. Tym razem informacja nie miała już załącznika.