Kohdeyrityksen phishing-testaus
Siikamäki, Tuomas (2020)
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020060517426
https://urn.fi/URN:NBN:fi:amk-2020060517426
Tiivistelmä
Opinnäytteessä tehtiin tietojenkalastelustestaus anonyymille suomalaiselle IT-alan yritykselle. Tietojenkalastelu on tapa ohittaa tekniset suojamekanismit hyväksikäyttäen ihmisen heikkouksia, hyödyntäen psykologisia ja teknisiä keinoja. Tehtävänä oli selvittää yrityksen organisaatio, henkilöstö ja verkossa olevat laitteet hyödyntäen avoimia lähteitä. Selvityksessä paljastuneiden tietojen perusteella yritykseen tehtäisiin mahdollisimman realistinen tietojenkalastelu-testaus. Rajoituksiksi sovittiin kalasteluviestien lähettäminen työntekijäksi esittäytymällä, ei oikeita haittaohjelmia, luvan kysyminen ennen toimia, eikä ketään tulisi nolata.
Tutkimus avoimista lähteistä ja tekninen valmistelu kesti noin kuukauden ja itse tietojenkalastelu toteutettiin kolmella sähköpostilla, jotka lähetettiin noin viikon sisällä. Sähköpostit lähetettiin toimitusjohtajan ja tietoturvapäällikön nimissä, lähes oikeita vastaavista sähköpostiosoitteista.
Toimitusjohtajan nimissä lähetetyissä kahdessa sähköpostissa liitetiedoston avaamisella kuvattiin haitallista liitetiedostoa, jonka avaaminen saastuttaisi tietojärjestelmät. Tietoturvapäällikön nimissä lähetetyssä viestissä kohteita pyydettiin kirjautumaan linkin takaa löytyvälle kalastelusivustolle, joka tallensi käyttäjänimen ja IP-osoitteen. Avaamisista ja tietojenkalastelusta eteenpäin raportoinnista kerättiin statistiikkaa lokitiedoista ja kyselyllä.
Viestit jäivät aluksi kiinni yrityksen tietoturvatuotteisiin, mutta testausta jatkettiin henkilöstöön ja viestit sallittiin. Testauksesta saadut tulokset noudattelivat julkisia testaustuloksia. >60 % viestin vastaajista avasi sähköpostissa olleen liitetiedoston ja 9 % yritti kirjautua kalastelusivustolle. Tehokkain tapa estää tietojenkalastelu on koulutus.
Tutkimus avoimista lähteistä ja tekninen valmistelu kesti noin kuukauden ja itse tietojenkalastelu toteutettiin kolmella sähköpostilla, jotka lähetettiin noin viikon sisällä. Sähköpostit lähetettiin toimitusjohtajan ja tietoturvapäällikön nimissä, lähes oikeita vastaavista sähköpostiosoitteista.
Toimitusjohtajan nimissä lähetetyissä kahdessa sähköpostissa liitetiedoston avaamisella kuvattiin haitallista liitetiedostoa, jonka avaaminen saastuttaisi tietojärjestelmät. Tietoturvapäällikön nimissä lähetetyssä viestissä kohteita pyydettiin kirjautumaan linkin takaa löytyvälle kalastelusivustolle, joka tallensi käyttäjänimen ja IP-osoitteen. Avaamisista ja tietojenkalastelusta eteenpäin raportoinnista kerättiin statistiikkaa lokitiedoista ja kyselyllä.
Viestit jäivät aluksi kiinni yrityksen tietoturvatuotteisiin, mutta testausta jatkettiin henkilöstöön ja viestit sallittiin. Testauksesta saadut tulokset noudattelivat julkisia testaustuloksia. >60 % viestin vastaajista avasi sähköpostissa olleen liitetiedoston ja 9 % yritti kirjautua kalastelusivustolle. Tehokkain tapa estää tietojenkalastelu on koulutus.