Do napisania tego artykułu skłoniła mnie dyskusja, która zainicjowana została w naszej branży po upublicznieniu na kilku popularnych profilach społecznościowych wpisów, których dwa przykłady zamieszczam poniżej:
Testy socjotechniczne – phishing na premię 
Testy socjotechniczne – phishing na kupon do Amazona Część osób potraktowała to z uśmiechem, większość niezwiązana z branżą IT uznała pewnie autora testów za szkodnika przeszkadzającego w pracy, a specjaliści od cyberbezpieczeństwa… tutaj zaskoczenie – podeszli do tematu różnie.
Co na to branża?
We wpisie na LinkedIn podzieliłem się opinią, iż do autora tych testów w tym roku nie przyjdzie chyba św. Mikołaj. W komentarzach do mojego wpisu pojawiły się jednak głosy, iż przecież to były bardzo dobre testy. Argumentacja kolegów była taka, iż przecież typowy przestępca nie miałby skrupułów i właśnie takie scenariusze testów socjotechnicznych najlepiej się sprawdzają, ponieważ pokazują skuteczność phishingu (i w domyśle dają nauczkę użytkownikom).
Ok, jest w tym trochę racji. Jednak testy socjotechniczne tym się różnią od realnego ataku, iż mają być przeprowadzane w bezpiecznym i kontrolowanym środowisku. A bezpieczne środowisko nie oznacza tylko zabezpieczeń technicznych, ale wymaga również wzięcia pod uwagę aspektów prawnych, moralnych, wizerunkowych i wszystkich wynikających z nich konsekwencji.
Trochę przerysowana analogia – robiąc audyt bezpieczeństwa nie podpalamy serwerowni żeby przekonać się czy firma posiadała aktualne kopie zapasowe wyniesione do zewnętrznej lokalizacji. Robimy to dużo delikatniej. I ta delikatność jest wymagana również w przypadku testów socjotechnicznych. Nie wyklucza to wbrew pozorom stosowania scenariuszy, które pozwolą zachować wysoki poziom podobieństwa do realnego ataku.
Socjotechniki i ich konsekwencje
Ataki socjotechniczne są tak skuteczne ponieważ przestępcy manipulują w nich naszymi emocjami. Wykonując testy socjotechniczne, takie jak np. kampanie phishingowe, musimy z jednej strony upodobnić się do przestępców i wpłynąć na emocje pracowników, ale z drugiej strony zachować dużą ostrożność. Przestępca ma tylko jeden cel – przeprowadzić skuteczny atak. My jednak wykonując testy musimy dodatkowo zadbać o to by nie wywołać niepotrzebnych kontrowersji, nie zakłócić działania procesów biznesowych, nie wpłynąć negatywnie na morale pracowników lub wizerunek firmy. I nie jest to rzecz łatwa.
Testy socjotechniczne – to nie takie proste
Wydawać by się mogło, iż przeprowadzenie testów phishingowych to prosta rzecz – wystarczy zarejestrować domenę, przygotować prosty formularz logowania, rozesłać maile i czekać na wyniki. Ale tak niestety nie jest. Testy socjotechniczne to zadanie z pogranicza informatyki, prawa, etyki i zarządzania. Wykonując je bez odpowiedniego przygotowania i konsultacji możemy strzelić sobie w stopę. Przygotowując się do testów socjotechnicznych powinniśmy rozważyć m.in. takie aspekty, jak:
- Naruszenie praw autorskich (np. wykorzystanie wizerunku firmy, loga, nazwy domeny lub grafiki)
- Konsekwencje prawne (znam przypadek, w którym główny księgowy firmy skończył z zarzutami o próbę wyłudzenia po tym jak dla testu podesłał swoim podwładnym do zapłaty fałszywą fakturę)
- Popsucie wewnętrznych relacji w firmie. Nie chcemy by dział IT / bezpieczeństwa był traktowany przez resztę kadry jako szkodnicy ukazujący innym ich niekompetencje – dużo więcej zyskamy mając zgrany zespół grający do jednej bramki przeciwko cyberprzestępcom. Pracownik, który odbierze źle przygotowane testy jako próbę upokorzenia go może chcieć się odegrać i ukazać niekompetencje działu IT np. ściągając i uruchamiając jakieś złośliwe oprogramowanie.
- Popsucie morale. Tutaj posłużę się przykładem, który podsunął w dyskusji mój znajomy – jak będzie się czuła np. matka samotnie wychowująca dzieci, próbująca przed świętami związać koniec z końcem gdy dostanie od pracodawcy maila z informacją o premii świątecznej, która okaże się testem phishingowym?
- Popsucie wizerunku. Co o firmie pomyślą klienci i kontrahenci widząc jak jej pracownicy skarżą się publicznie w Internecie na nieprofesjonalnie przeprowadzone testy socjotechniczne?
- Bezpieczeństwo. Czy jesteśmy pewni, iż komunikacja ze stroną phishingową będzie zawsze szyfrowana? Czy serwer jest odpowiednio zabezpieczony i zaktualizowany? Czy formularz phishingowy nie zawiera podatności technicznych a wszystkie komponenty, na których budujemy środowisko testowe są aktualne?
Wnioski
Przywołane na wstępie artykułu testy socjotechniczne były więc może skuteczne, ale zdecydowanie nieprzemyślane i mało profesjonalne. Nie sądzę by były konsultowane chociażby z zarządem, a jeżeli były i zostały zatwierdzone, to był to zarząd mało świadomy potencjalnych konsekwencji. Ciekaw jestem czy taki zarząd zgodziłby się np. na scenariusz, w którym treść maila byłaby następująca:
„O k..wa, zobaczcie, czy to nie nasz prezes z sekretarką na poniższym nagraniu:
[tutaj link do pobrania]”.
Jak myślicie?
Mam nadzieję, iż tym krótkim tekstem chociaż trochę udało mi się odwieść Was od wykonywania nieprzemyślanych testów socjotechnicznych.
