Wiecie, czym jest phishing? To hasło, odmieniane przez każdy przypadek, weszło chyba na stałe do naszego codziennego słownika. Z mailami, czy SMS-ami, mającymi przekonać nas do kliknięcia w link i/lub wpisania w dziwne miejsce naszych wrażliwych, miał do czynienia niemal każdy. A co, gdy Wam powiem, że phishing może być czymś... dobrym?
Czasami zdarza mi się prowadzić szkolenia, czy prelekcje, dotyczące sieciowych zagrożeń. Nierzadko prezentując wektory ataku, argumentuję - dając za przykład Orange Polska - że po to, by zrobić nam krzywdę, nie trzeba dostać się do komputera prezesa Juliena. Wystarczy przekonać do przekazania atakującemu loginu i hasła dowolnego z kilkunastu tysięcy pracowników naszej firmy! Co zatem zrobić, by nikt nie popełnił błędu?
Nauczyć kogo się da
Niestety zarówno statystyki, jak i fakty, dowodzą, że nawet w niewielkiej grupie testowej znajdzie się przynajmniej jedna osoba, która "rozpędzi" się. I poniewczasie dotrze do niej, że jednak w to miejsce nie trzeba było klikać. Po raz kolejny niestety - nie wierzę w to, że grupę "niefrasobliwych" da się zmniejszyć do zera. Można jednak raz na jakiś czas próbować... oszukać wszystkich. Wymarzony efekt będzie tak, że większość nauczy się zasady ograniczonego zaufania. A ci - hmmm - oporni? Pozostaje liczyć, że do nich phishing akurat nie dotrze (albo nauczą się następnym razem).
Przyznacie, że jeśli ktoś ma nas oszukać, to najlepiej, by byli to ludzie z firmowego bezpieczeństwa? Rola "bezpieczniaka" to nie tylko polowanie na phishingi, analiza malware, czy testowanie urządzeń (np. modemów), które trafiają do sieci sprzedaży firmy (to tylko kilka przykładów z tego, co robią moi koledzy z CERT Orange Polska i również ja). Są wśród nas też tacy, którzy patrzą na świat cyber-zagrożeń okiem przestępców. Jedni zapuszczają korzenie w darknecie. Monitorują podejrzane aktywności i szukają, czy ktoś nie chce zrobić krzywdy naszej firmie. Inni kombinują nad pomysłem socjotechnicznej sztuczki tak dobrej, by oszukać jak najwięcej kolegów i koleżanek z pracy.
Phishing pod kontrolą
Dlaczego akurat przyszedł mi do głowy pomysł na taki tekst? Bo u nas taka akcja miała miejsce w ostatni poniedziałek. Tym razem temat związany był z nadchodzącymi świętami Wielkiej Nocy. Jeden z poprzednich kontrolowanych phishingów był np. oparty o motyw sezonu urlopowego (zgadnijcie, kiedy był wysyłany? ;) ). Wyniki? Mogę się podzielić jednym. Znaleźli się tacy, którzy się złapali.
Czy to znaczy, że coś jest z nimi "nie tak"? Absolutnie nie. Z kolegami z CERT Orange Polska wychodzimy z założenia, że jeśli ktoś dał się złapać na phishing, to dlatego, że nie zdołaliśmy go wyedukować. Jeszcze nie zdołaliśmy! Dlatego nikt nie zna dnia ani godziny, gdy znów dostanie maila. W całej naszej idei kontrolowanych phishingów ważne z punktu widzenia ofiary jest jednak to, że jedyną osobą, która dowie się o "wpadce" jest ona sama. Zdarzy się, że poda dane logowania? Przejdzie na stronę wyjaśniającą, że padła ofiarą phishingu, dostanie informację o obowiązku zmiany hasła i sugestię zapisania się na szkolenie. Jeśli ktoś ma zawstydzić niefrasobliwą osobę, będzie to co najwyżej ona sama. I nie ukrywam, że taką mam nadzieję, że ci, którym tym razem się nie udało, postawią sobie za punkt honoru, by przy następnej próbie już się nie dać oszukać.
Im więcej potu na ćwiczeniach...
...tym mniej krwi w boju. Powiedzenie Seal Team DevGru najlepiej opisuje sens tego typu ćwiczeń i oczekiwane efekty. Liczenie na to, że przestępcy odpuszczą, byłoby skrajną naiwnością. Wiara w to, że jeśli kogoś zaatakują to innych, nie nas - podobnie. Choć czy to efekt ataku (i fakt, że daliśmy się oszukać), czy też socjotechniczna sztuczka, użyta w konkretnej kampanii, mogą nas frustrować, irytować - nie ma co się wkurzać. Złodziej nie będzie etyczny, nie będzie się zastanawiał, czy jest wystarczająco empatyczny, a motyw, którego użyje, nie sprawi nam przykrości. Mówimy o ludziach, którzy potrafią bez mrugnięcia okiem dla okupu zaszyfrować systemy informatyczne szpitali!
Jeśli zdarzy Ci się, że Twoja firma, lub wynajęci przez nią zewnętrzni eksperci, przeprowadzą taki atak, a Ty dasz się oszukać - nie obrażaj się. Wyciągnij wnioski i następnym razem po prostu się nie daj.
Komentarze