Klient, firma z branży medycznej dostarcza aparaturę i rozwiązania umożliwiające identyfikację i prowadzenie badań tysięcy substancji, określając ich skład, budowę, właściwości fizyczne, chemiczne i biologiczne, analizę komórkową oraz analizę DNA i RNA.
Dostarczany przez naszego klienta sprzęt pracuje w laboratoriach naukowo-badawczych wyższych uczelni, instytutów naukowych. Jest również wykorzystywany kontroli jakości związanej z ochroną środowiska, badaniem żywności, przemysłem petrochemicznym, chemicznym, kosmetycznym, farmaceutycznym i spożywczym.
“Kontrolowany atak” phisingowy
Klient chciał zweryfikować odporność organizacji na ataki socjotechniczne, stanowiące potencjalne zagrożenia dla danych firmy. W szczególności klient oczekiwał testu phishingowego skierowanego do wybranej grupy pracowników. Kluczowe dla sukcesu takiego testu jest dobrze opracowany scenariusz oraz timing. Inaczej projektowi grozi szybka dekonspiracja.
Symulacja ataku phisingowego
Przygotowane rozwiązanie, scenariusz testu, był wynikiem ustaleń pomiędzy szefem IT a zespołem IT Challenge. Rozmowy były prowadzone w poufności, aby informacja o planowanym audycie nie wyciekła do firmy. Jako cel testu phishingowego wybrano kliknięcie w link z emaila i wejście na stronę witryny. Na temat testu zostały wybrane szczepienia przeciwko COVID-19. Przygotowaliśmy stronę Internetową, podszywająca się pod firmę Diagnostyka. Do wybranej grupy pracowników został wysłany specjalnie przygotowany email z informacją o puli szczepień dla sektora medycznego z linkiem odsyłającym na fałszywa stronę Diagnostyki.
“Ponad 20% audytowanych użytkowników kliknęło w podejrzany link i weszło na fałszywą stronę.“
Wynik testu IT Challenge
Test wykazał, że ponad 20% audytowanych użytkowników kliknęło w podejrzany link i weszło na fałszywą stronę. Najważniejsze jest to co wydarzyło się później.
Szkolenie pracowników, chroniące przed atakiem phisingowym
Podczas szkolenia omówiony został zarówno przeprowadzony test jak i metody wykorzystywane przez atakujących to przejęcia danych. Szkolenie uzupełnione został przez porcje dobrych praktyk zachowywania się w Internecie. W ten sposób Klient uzyskał najważniejszą korzyść z przeprowadzenia audytu socjotechnicznego, to znaczy budowę świadomości zagrożeń jakie niesie ze sobą Internet.