Kampania phishingowa dla firm

Cel projektu

Kampanie phishingowe od kilku lat są najpoważniejszym zagrożeniem wykorzystującym mechanizmy socjotechnicznym podczas przeprowadzania ataków.

Przygotowywane przez nas kampanie phishingowe mają na celu wykazać na ile podatne na ataki socjotechniczne są osoby obsługujące wybrane kluczowe skrzynki poczty elektronicznej w organizacji zlecającej kampanie. Wyniki zakończonych kampanii są szczegółowo dokumentowane w raporcie końcowym opracowanym na zakończenie projektu. Opisane wnioski mogą być wykorzystane przez klientów do zwiększenia świadomości swoich pracowników przed rzeczywistymi (wymiernymi) skutkami skutecznie przeprowadzonych ataków socjotechnicznych.

Założenia

  1. Do zrealizowania scenariuszy zostanie wykorzystana domena o łudząco podobnej nazwie jak domena klienta. Nie będzie ona wykorzystywana do innych celów niż założone cele niniejszego projektu.
  2. Do zrealizowania scenariuszy zostanie przygotowany serwis WWW z zaufanym certyfikatem SSL, powiązany z domeną, o której mowa w pkt. 1. Serwis WWW oraz certyfikat nie będą wywoływać żadnych alarmów w przeglądarce internetowej ofiary.
  3. Zostaną wykorzystane w scenariuszach znaki towarowe, logotypy lub inne charakterystyczne dla klienta motywy graficzne, aby przygotowany do scenariuszy materiał był bardzo wiarygodny. Wykorzystane mogą być tylko te materiały, które są dostępne w publicznych materiałach marki czy serwisach internetowych klienta. Klient też może takie elementy dostarczyć nam.
  4. Scenariusze nie obejmują kompromitacji lokalnej ochrony stacji (np. oprogramowania antywirusowego) oraz ochrony na poziomie bramki e-mail.
  5. Adresy e-mail z których będą realizowane ataki zostaną dodane do whitelisty w systemie klienta.
  6. Klient dostarczy przykładową służbową korespondencję (szablony), które można wykorzystać w scenariuszach. W przypadku braku takich szablonów/propozycji samodzielnie je przygotujemy i odpowiednio zmienią się poniższe scenariusze w tym zakresie.
  7. Przygotowanie platformy zliczającej odwołania pochodzące od użytkowników będących obiektem ataku.

Scenariusze

Scenariusz 1

Przygotowanie kampanii na wskazane adresy poczty elektronicznej.

Kampania będzie obejmowała:

  1. Przygotowanie wiadomości e-mail łudząco przypominającej korespondencję klienta. Zostaną wykorzystane znaki firmowe (logotypy) i inne znaki graficzne wykorzystywane na stronach internetowych klienta lub spółek partnerskich.
  2. Wykorzystanie domeny o nazwie zbliżonej do oficjalnej, publicznie wykorzystywanej domeny klienta.
  3. Przygotowanie serwisu WWW łudząco przypominającego serwis WWW klienta. Za pomocą tego serwisu będzie przeprowadzona próba wyłudzenia danych o charakterze poufnym (specyficzne dane firmowe np. dostępowe do systemów).

Scenariusz 2

Przygotowanie kampanii zawierającej wiadomość z potencjalnie niebezpiecznym załącznikiem. Nie będzie on zawierał złośliwej zawartości, a celem jest zweryfikowanie czy osoby obsługujące wskazane skrzynki (adres) uruchomią aktywną zawartość załącznika. Przygotowany załącznik będzie odzwierciedlał aktualne trendy w atakach złośliwego oprogramowania w Polsce i na świecie.

Kampania będzie obejmowała:

  1. Przygotowanie wiadomości zawierającej znaki graficzne dostawcy usług (klient przekaże nazwę dostawcy lub my sami wybierzemy jednego z popularnych dostawców usług). Może to być wiadomość podszywająca się pod dostawcę usług internetowych, dostawców przesyłek czy innego wskazanego przez klienta.
  2. Załącznik z aktywną zawartością. Aktywowanie zawartości spowoduje nawiązanie połączenia z przygotowaną wcześniej platformą.

Scenariusz 3

Przeprowadzenie kontrolowanego ataku na wskazanych pracowników klienta.

Kampania będzie obejmowała:

  1. Wykonanie prostej aplikacji mobilnej na platformę Android, której celem będzie wyłudzenie służbowych danych logowania.
  2. Wysłanie wybranym pracownikom spersonalizowanej wiadomości SMS z nadpisu alfanumerycznego, sugerującej danego pracownika na testera z możliwością pobrania aplikacji i jej instalacji (musiałby dodatkowo potwierdzić instalację z niezaufanego źródła).

Wycena indywidualna. Kontakt