Phishingove kampane a OSINT

Spear-Phishing s přípravou

Statistiky nekompromisně ukazují, že přes 80 % dnešních útoků začíná u obyčejného zaměstnance, který omylem klikne na e-mail. Ale my během kampaní nevytváříme generické a do očí bijící spamové zprávy, o kterých se píše v učebnicích. Budujeme vysoce sofistikované a cílené Spear-Phishing kampaně s důrazem na masivní přípravu. Trávíme spoustu času sběrem takzvaných OSINT dat z LinkedInu, Facebooku, Instagramu, obchodních rejstříků a úniků dat. Velmi tvrdě studujeme vaši interní firemní terminologii, nakupované dodavatele a organizační strukturu, než napíšeme jediné slovo do e-mailu.

Scénář, kterému se dá věřit

Náš e-mail nebude psaný lámanou češtinou od fiktivního nigerijského prince. Přijde z domény, která se vizuálně na pixel podobá e-mailu vámi využívaného IT dodavatele, pošleme falšovanou pozvánku k online schůzce do Microsoft Teams maskovanou za vašeho generálního ředitele, nebo upozornění od HR oddělení ohledně „urgentní úpravy platových výměrů“. Budeme exaktně měřit dvě věci: kolik uživatelů otevře škodlivý odkaz či zavirovanou přílohu, a kolik jich na podvržené fiktivní stránce reálně odevzdá své firemní (doménové) heslo v naději, že se například přihlašují do Office 365.

Analytické výstupy pro HR a Management

Smyslem našich kampaní v žádném případě není ukazovat na konkrétní lidi prstem a trestat je. Výstupem je hluboká anonymizovaná statistika rozdělená po jednotlivých odděleních (např. v reportu uvidíte, že „Účetní oddělení má 40% podíl kompromitací“). Získáte naprosto jasný a reálný přehled o tom, jak dalece funguje případné firemní technologické zabezpečení (jestli e-mailový filtr vůbec útok zachytí) a kde přesně hoří vaše vnitřní IT Security edukace zaměstnanců.