Přejít k obsahu | Přejít k hlavnímu menu

Objednání phishing kampaně

Na této stránce představujeme podrobnosti a možnost objednání cvičné phishingové kampaně cílené na zaměstnance Masarykovy univerzity. Kampaně jsou poskytovány jako bezplatná služba univerzitě. 

Phishing je typ kybernetického útoku pomocí technik sociálního inženýrství, kdy se útočník snaží získat důvěrná data oběti nebo spustit na zařízení oběti škodlivý kód. Nejčastěji probíhá phishingový útok pomocí podvodného e-mailu s žádostí o informace k naší platební kartě nebo přihlašovací údaje do našeho internetového bankovnictví.

Proč by někdo útočil právě na univerzitu? Univerzity představují pro útočníka poměrně atraktivní cíl. Zásadní totiž je, že každá univerzita uchovává nejen finanční prostředky, ale i značné množství dat a informací. Především se jedná o data spojená s vědou, výzkumem nebo např. samotnou výukou. Pokud útočník tato data získá, snadno je může zneužít ve prospěch svůj i někoho jiného.

Nejen z těchto důvodů je tedy zapotřebí pravidelně cvičit, testovat a školit zaměstnance. Vhodným nástrojem jsou právě cvičné phishingové kampaně. 

Proč phishingové kampaně?

Cvičné kampaně jsou iniciovány ze tří hlavních důvodů:

  1. Legislativní požadavky: Masarykova univerzita spadá jakožto instituce do rozsahu působnosti zákona o kybernetické bezpečnosti. V praxi to znamená, že má povinnost zajistit pravidelná teoretická a praktická školení svých zaměstnanců (§9, vyhlášky o kybernetické bezpečnosti). Konkrétním příkladem těchto školení jsou právě cvičné phishingové kampaně spojené se vzdělávacím obsahem.

  2. Realistická simulace: Phishingové kampaně simulují reálné podmínky útoků, což umožňuje praktické procvičení a zlepšení schopnosti uživatelů rozpoznat a reagovat na útoky. Na rozdíl od teoretických kurzů poskytují tréninkové kampaně autentické zkušenosti bez rizika kompromitace účtů a krádeže osobních údajů.

  3. Nárůst phishingových útoků: Rostoucí počet a sofistikovanost phishingových útoků činí uživatele náchylnějšími k jejich rozpoznání. I přes pokročilá technická opatření (e-mailové filtry, ověřovací protokoly SPF, DKIM, DMARC) a aktivní blokaci podezřelých adres nejsou tyto metody stoprocentně účinné. V roce 2022 Masarykova univerzita zaznamenala 196 000 pokusů o kybernetický útok, z nichž 1 642 vyžadovalo manuální zásah, přičemž nejrozšířenější byly právě phishingové e-maily.

Bez popisku

Jejich cílem je mimo jiné také zavedení technických (např. vícefaktorová autentizace, správce hesel) a procesních opatření (proškolení uživatelů), která mohou pomoci snížit dopady daných útoků. V rámci naší nabídky máte možnost vybrat si ze dvou typů phishingových e-mailů pro testování vašich zaměstnanců.

Varianty phishingové kampaně

Nabízíme dvě varianty phishingových útoků, které se liší v obtížnosti jejich rozpoznání – phishing zasílaný útočníkem se znalostí prostředí organizace:

Níže uvedené příklady jsou pouze ilustrativní. Skutečná podoba bude domluvena na osobní konzultaci.

Externí útočník

První z variant, kterou vám dokážeme nabídnout je phishing, jenž se vyznačuje:

  • obecným textovým obsahem a urgentními výzvami k akci;
  • možnou přítomností gramatických a pravopisných chyb;
  • odkazy vedoucími na podvržené webové stránky. 

Předmět: Dojde k vypr4sni platnosti X.509 certifikátu

Dobrý den,

chceme Vás inform3vat, že platnost X.509 certifikátu pro učo@officei.cz vyprší 1. dubna 2022.

Po vypršení platnosti certifikátu dojde k omezení možnosti šifrování a podepisování Vámi odesílaných e-mailů.

Pro obnoveně certifikátu prosím vyplňte formulář přístupný na následujícím odkazu.

S pozdravem

-- Vývojový tým IS MU

Interní útočník

Druhou variantou služby, kterou nabízíme, je phishing, jenž se vyznačuje: 

  • personalizovaným obsahem, cíleným na konkrétní cíl;
  • textem bez gramatických a pravopisných chyb;
  • odkazy, které vedou na podvržené stránky.

Předmět: Nebezpečná phishingová kampaň

Vážení kolegové,

zachytili jsme velmi závažnou phishingovou kampaň v prostředí univerzity. E-maily se tváří jako běžná upozorní na zadání dovolené z INETu, pod odkazem se je podvržený formulář. Útočníci dokázali také obejít dvou faktorové ověření, proto je situace velmi závažná.

Pokud vám takový email přijde, tak jej prosím obratem nahlašte našemu týmu na csirt@muni.cz

Pokud si nejste jistí, zda jste už podvodu nepodlehli, tak doporučuji co nejdříve změnit heslo na tomto odkazu

Jan Mysliveček

Průběh phishingové kampaně

Na řádcích níže můžete naleznout souhrnný plán námi připravované phishingové kampaně. 

  • Krok 0: Objednání kampaně

    Vyplněním formuláře níže a výběrem termínu pro úvodní online konzultaci nám poskytnete základní informace pro realizaci cvičné phishingové kampaně na vašem pracovišti.

  • Krok 1: Domluva parametrů kampaně

    Na online konzultaci se nejprve domluvíme na klíčových parametrech kampaně:

    • Jaká varianta phishingu bude zvolena?
    • Na jaká pracoviště/zaměstnance má být phishing rozeslán?
    • Kdy bude phishing rozesílán?
    • Koho máme na vašem pracovišti o konání kampaně informovat?
    • Jaké budou další související procesy (např. důvody pro předčasné ukončení kampaně)?
  • Krok 2: Proškolení uživatelů (volitelné)

    V případě zájmu můžeme v období cca 2-4 týdnů před začátkem kampaně proškolit uživatele formou prezenčního či online workshopu.

  • Krok 3: Informování klíčových osob a technické podpory

    Pár dní před rozesláním phishingu informujeme o termínu kampaně

    • správce systémů IS a INET a IT podpory univerzity;
    • (volitelně) vybraných osob z cílového pracoviště;
    • vedení ÚVT MU.
  • Krok 4: Realizace cvičné phishingové kampaně phishingu

    V domluvený den dojde k rozeslání phishingového e-mailu. Na konci dne či den následující rozesíláme informační e-mail o uskutečně kampani všem, na které kampaň cílila. Součástí e-mailu je i odkaz na online školení a vzdělávací materiály, které se ke kampani vztahují.

  • Krok 5: Vyhodnocení kampaně

    Do týdne od konání kampaně vám zašleme souhrnný report, který bude obsahovat analýzu získaných dat a vyhodnocení úspěšnosti cvičné phishingové kampaně. V případě vašeho zájmu můžeme report projít společně v krátkém online videohovoru, kde vám případně odpovíme na vaše další otázky.

Objednání kampaně

Máte zájem o objednání cvičné phishingové kampaně? Neváhejte se nám ozvat! 

Chci objednat realizaci phishingové kampaně!

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info