1. EXECUTIVE SUMMARY 1.1 SCOPE EN WERKWIJZE

Transcriptie

1 Phishing Test ACME

2 GEHEIMHOUDING Belangrijk: de in dit document opgenomen informatie is vertrouwelijk en dient als dusdanig behandeld te worden. Alle informatie is bijzonder gevoelig te noemen. Het is niet toegestaan dit document te kopiëren, te verspreiden, uit te lenen, als voorbeeldmateriaal in te zetten of anderszins buiten de organisatie van ACME zelf beschikbaar te stellen voor andere doeleinden dan waarvoor het document door Guardian360 B.V. ter beschikking gesteld is. 1

3 INHOUDSOPGAVE Geheimhouding Executive Summary Scope en werkwijze Resultaten Conclusie en aanbevelingen Maatregelen voor de toekomst

4 1. EXECUTIVE SUMMARY Guardian360 is gevraagd om een eenmalige phishing test voor ACME uit te voeren. De test waarvan wij in dit rapport verslag uitbrengen is tussen XX en XX uitgevoerd. 1.1 SCOPE EN WERKWIJZE Het doel van deze phishing test is het identificeren en meetbaar maken van de security awareness bij het personeel van ACME. Vervolg phishing testen kunnen in de toekomst aantonen hoe effectief security awareness maatregelen geweest zijn. Het scenario wat gebruikt is voor de phishing test is het LinkedIn -scenario. Het gaat hier om een generieke test. Dit wil zeggen dat de test geen specifieke aanval op ACME is. Het voordeel van een generiek scenario is dat het een goed algemeen beeld geeft van de security awareness van het personeel van ACME en om deze reden een goed instrument voor een nul-meeting is. De phishing e=mail was van het niveau Medium. Dit betekend dat er een aantal opzettelijke fouten aanwezig waren, waaraan de medewerkers van ACME de phishing e- mail hadden kunnen identificeren. Het LinkedIn -scenario meldt de ontvanger dat het wachtwoord gewijzigd moet worden om gebruik te kunnen blijven maken van LinkedIn. Vervolgens is er een vier stappen opsomming welke de gebruiker helpt bij het wijzigen van zijn/haar wachtwoord. Deze vier stappen bevatten twee klikbare links naar de phishing webpagina. De opzettelijke fouten in de waren: 1. Gebruik Engelse term bij het woord systeem 2. Het woord LinkedIn veranderen in Linkedim 3. De footer van de was leeg gelaten zodat er een lege grijze balk overbleef 4. De afzender van was als volgt: LinkedIn De opzettelijke fouten zijn aangegeven in Figuur 1. 3

5 Figuur 1 - LinkedIn Na het klikken op één van de links werd de gebruiker naar het domein gestuurd. Het domein is door Guardian360 geregistreerd en er is een webomgeving opgezet met een exacte kopie van de echte website lay-out. Hierdoor lijkt het alsof de werknemer op de echte site terecht komt. Het domein is, net zoals de originele LinkedIn website, uitgerust met een SSL certificaat waardoor de gebruiker een signaal van de browser krijgt dat de communicatie tussen hen en de website beveiligd is. Zie Figuur 2 voor details over het certificaat. Figuur 2 - SSL certificaat 4

6 Figuur 3 De landingpage waar de phishing naar verwijst De gebruikers krijgen een formulier te zien waar gevraagd wordt om het adres en wachtwoord in te vullen. Wanneer er op verzenden wordt geklikt, wordt door Guardian360 het e=mail adres afgevangen en geregistreerd in ons systeem. De gebruiker zal worden doorgeleid naar de echte Linkedin.nl website. Afhankelijk van de gebruikers instelling zal LinkedIn automatisch inloggen of zal een wachtwoord incorrect bericht worden weergegeven. De landingpagina is net als de phishing van het niveau Medium. Dit betekent dat er een aantal opzettelijke fouten aanwezig waren, waardoor de medewerkers van ACME de phishing pagina hadden kunnen identificeren. De opzettelijke fouten in de landingpagina waren: 1. De zin loop niet goed omdat het woord uw ontbreekt 2. Er is een extra s toegevoegd aan het woord address 3. Het woord adres staat in het Duits 4. Het woord wachtwoord staat in het Engels 5. Het wachtwoordformulier laat zien wat u typt en geeft niet zoals gewoonlijk een sterretje (*) of punt ( ) weer. Guardian360 vangt alleen gebruikersnamen/ adressen af en verwerkt de andere gegevens niet af, deze informatie komt dus ook niet in het systeem van Guardian360.. Guardian360 vangt deze informatie niet af in verband met privacy- en veiligheidsregels. 5

7 Bij de phishing test is met de volgende factoren rekening gehouden: - Hoeveelheid gebruikers die de link wel/niet aanklikken - Gebruikers die na aanklikken van de link ook nog inloggen 1.2 RESULTATEN Onderstaand is te zien dat XX personen in de vrijdag batch op de link in de mail hebben geklikt en XX personen heeft dit niet gedaan. Er is dus geklikt door ongeveer XX% van de XX aangeleverde werknemers. Personen die link aanklikten (moment x) Niet geklikt Geklikt Figuur 4 Aantal personen dat wel of niet heeft geklikt op moment x 6

8 Onderstaand is te zien dat XX personen in de maandag batch op de link in de mail hebben geklikt en XX personen heeft dit niet gedaan. Er is dus geklikt door ongeveer XX% van de XX aangeleverde werknemers. Personen die link aanklikten (moment y) 70 Niet geklikt Geklikt 145 Figuur 5 Aantal personen dat wel of niet heeft geklikt op moment y Onderstaand is te zien dat totaal XX personen op de link in de mail hebben geklikt en XX personen heeft dit niet gedaan. Er is dus geklikt door ongeveer XX% van het XX totaal aantal personeel dat is aangeleverd aan Guardian360. Personen die link aanklikten (Totaal) Niet geklikt Geklikt Figuur 6 Aantal personen dat wel of niet heeft geklikt in totaal 7

9 Van de XX personen in de vrijdag batch die op de link hebben geklikt, zijn er XX unieke gebruikers die daarna hebben geprobeerd in te loggen, oftewel XX%. Link aangeklikt en ingelogd (moment x) 72 Geklikt en niet ingelogd Geklikt en ingelogd 218 Figuur 7 Aantal personen dat na link te hebben geopend ook nog hebben ingelogd Van de XX personen in de maandag batch die op de link hebben geklikt, zijn er XX unieke gebruikers die daarna hebben geprobeerd in te loggen, oftewel XX%. Link aangeklikt en ingelogd (moment y) Geklikt en niet ingelogd Geklikt en ingelogd 8

10 Van de totaal XX personen die op de link in de mail hebben geklikt zijn er XX personen geweest die ook daadwerkelijk hebben ingelogd. Er is dus ingelogd door ongeveer XX% van het XX totaal aantal medewerkers dat is aangeleverd aan Guardian360. Personen die hebben ingelogd (Totaal) Niet Ingelogd Ingelogd Figuur 8 Aantal personen dat wel of niet heeft geklikt in totaal 9

11 Aangezien de resultaten in twee batches op verschillende dagen en tijdstippen verstuurd zijn konden we zien of het moment van versturen uitmaakte voor het klikken. Onderstaand is de tijdslijn te zien van de batch die op XX om XX is verstuurd en de tijdslijn van de batch die op XX om XX is verstuurd. Zoals is te zien maakt het moment waarop we de phishing mail versturen niet heel veel uit. Een deel van de mensen klikt altijd binnen het eerste half uur, wat voldoende zou zijn voor een succesvolle phishing aanval. Tussen XX en XX vroeg lijkt er niet heel veel geklikt te worden, wat logisch is aangezien de meeste mensen dan niet aan het werk zijn. Op XX (en elke opvolgende ochtend) lijkt het beste moment te zijn voor de phishing. Ook bij de XX batch is dan nog te zien dat er nog druk geklikt wordt op de mail. Mogelijk omdat werknemers dan pas de mail lezen. De uiteindelijke hoeveelheid mensen die klikken en/of inloggen komen bijna op dezelfde aantallen neer voor beide batches. Figuur 9 Tijdslijn moment x datum weggehaald Figuur 10 Tijdslijn moment y datum weggehaald De gele stippen zijn de mensen die klikten, de rode die de op dat moment inlogde. 10

12 De meeste personen die klikten op de link zijn werknemers die bij Afdeling D werken, namelijk XX personen. Alle afdelingen met minder dan XX personen die klikten zijn in afdeling Z ondergebracht. Op link geklikt per afdeling Afdeling A Afdeling B Afdeling C Afdeling D Afdeling E Afdeling F Afdeling Z Figuur 11 Aantal mensen per afdeling die de link hebben geopend Onderstaand ook nog een overzicht van de exacte aantallen van alle opgegeven afdelingen. Afdeling Aantal personen die hebben geklikt A 40 B 33 C 45 D 70 E 31 F 42 Z 54 Tabel 1 Aantal personen per afdeling die hebben geklikt 11

13 De meeste personen die hebben ingelogd zijn werknemers die bij Afdeling A werken, namelijk XX personen. Alle afdelingen met minder dan 10 personen die hebben ingelogd zijn in Afdeling Z ondergebracht. Ingelogd per afdeling A B 24 C D E F Z Figuur 12 Aantal mensen per afdeling die ook daadwerkelijk hebben ingelogd Onderstaand ook nog een overzicht van de exacte aantallen van alle opgegeven afdelingen. Afdeling Aantal personen die hebben ingelogd A 36 B 70 C 22 D 45 E 24 F 25 Z 12 Tabel 2 Aantal personen per afdeling die hebben geklikt 12

14 1.3 CONCLUSIE EN AANBEVELINGEN Het viel Guardian360 op dat letterlijk direct na het versturen van de phishing mails, werknemers al op de link hadden geklikt en begonnen met inloggen. We zagen zelfs zo snel resultaten dat we ons afvroegen of mensen zelfs wel naar de inhoud van de mail hebben gekeken. Aangezien ongeveer XX% van de werknemers de link heeft geopend en een zeer groot deel daarvan ook heeft ingelogd, is de situatie kritiek te noemen. Dit betekent dat de hoeveelheid mensen die de link opende of zelfs inlogde veel te hoog is. Guardian360 heeft bij het inloggen alleen de gebruikersnamen gelogd. Een kwaadwillende zou echter ook alle wachtwoorden van deze gebruikers kunnen loggen en zo mogelijk toegang kunnen krijgen tot de VPN portal of bijvoorbeeld andere gevoelige diensten zoals webmail. Een andere mogelijkheid is dat door het klikken op de link malware binnengehaald wordt op het systeem, waardoor kwaadwillenden toegang tot de PC van de gebruiker of het (interne) netwerk kunnen krijgen. Wij raden aan om het personeel op de hoogte te brengen van de gevaren bij het zomaar klikken op een link en altijd controles uit te voeren op de correctheid van een URL. Daarnaast is het belangrijk om personeel te stimuleren dit te melden bij de ICT afdeling als men (per ongeluk) een kwaadaardige link hebben. Ook is het aan te raden om het persoon te stimuleren om het te melden als men een mogelijke phishing mail heeft ontvangen. Belangrijk is dat dit niet als negatief behandeld wordt, maar wellicht juist te belonen hiervoor, anders zullen werknemers dit niet meer melden met alle gevolgen van dien. Dit heeft de volgende voordelen: - Phishing mails worden vaak naar meerdere personen gestuurd, als een persoon het al snel meldt, dan kan de mail mogelijk snel in quarantaine worden gezet voor de rest van het personeel - Mogelijke gestolen wachtwoorden kunnen snel na klikken gereset worden door systeembeheer waardoor het probleem snel gemitigeerd wordt - Indien malware binnengehaald wordt kan het getroffen systeem snel in quarantaine worden gezet - Werknemers krijgen zo meer positief gevoel bij security awareness We raden het ten zeerste aan om periodiek security awareness trainingen voor het gehele personeel te geven. Daarnaast is het aan te raden om de security awareness continu te peilen door regelmatig phishing tests uit te laten voeren. Deze phishing tests moeten uitgevoerd worden van zeer eenvoudig tot zeer moeilijk te herkennen phishing mails. Door het regelmatig uit te voeren krijgt het personeel automatisch de security awareness hierbij. 13

15 1.4 MAATREGELEN VOOR DE TOEKOMST Wij raden aan om, zodra het personeel op de hoogte is gebracht door een security awareness sessie, Guardian360 een nieuwe phishing test uit te laten voeren. U kunt dan met zekerheid vaststellen dat deze sessies inderdaad hebben gezorgd voor verbetering. Ook kan dan bepaald worden welke afdelingen nog extra aandacht nodig hebben. Phishing is de methode waarmee de meeste bedrijven succesvol worden binnengedrongen. Na het binnendringen in een organisatie zullen kwaadwillenden proberen om verder te bewegen binnen het netwerk. Guardian360 biedt als oplossing een continu scanning platform aan om kwetsbaarheden binnen uw netwerk snel te kunnen detecteren. Hierbij wordt dagelijks op betrouwbare en niet-schadelijke manier gekeken wat de staat van de beveiliging van het netwerk en de (web)applicaties is. Ook kunt u zo een auditor aantonen dat uw organisatie in control is: u bent immers voortdurend op de hoogte van actuele bedreigingen dankzij het gebruik van het platform. Onderstaande punten zijn aanvullende maatregelen die genomen kunnen worden om phishing aanvallen tegen te gaan: Maak gebruik van goede spamfilter oplossingen om zo het grootste deel van de phishing mails af te vangen voordat deze bij de werknemer binnen komen, wij hebben bijvoorbeeld goede ervaringen met Spamexperts Een antivirus programma op zowel de client PC van de gebruikers als op de file servers installeren. Wij hebben op dit moment de beste ervaring met Kaspersky en Eset. Daarnaast de rechten van de gebruikers beperken tot zo min mogelijk bestanden, zodat je ook echt alleen bij de bestanden kan waar je bij hoort te kunnen. Indien niet nodig zet ook onderdelen als Flash en Java uit en gebruik Adblockers zoals Ghostery, dit helpt enorm tegen allerlei malicious website aanvallen. Gebruik ook EMET (gratis Microsoft tool) als bescherming tegen diverse exploit aanvallen. Een andere eenvoudige oplossing is om voor gebruikers specifieke mail attachment extensies niet toe te staan, zo gebruiken sommige crypto malware aanvallers.bz2,.gz,.exe of.dmg bestanden, wat door niet technische werknemers nooit gebruikt zal worden. Tot slot kan Guardian360 periodiek een herhaalde phishingtest uitvoeren, zodat inzichtelijk wordt welk percentage van de gebruikers vatbaar is voor een phishingaanval. Dit zal de security awareness van het personeel helpen te verbeteren. 14