Phishing-testaus selvittää työntekijöiden tietoturvaosaamisen
Phishing eli tuttavallisemmin tietojenkalastelu on yksi yleisimmistä verkossa käytettävistä hyökkäysmenetelmistä. Hyökkäykset kohdistuvat yleensä yrityksen henkilöstöön, jolloin hyökkäyksen tavoitteena on hankkia henkilön salasanoja tai muuta arkaluonteista tietoa. Saatuja tietoja voidaan hyödyntää myöhemmin rikollisiin tarkoituksiin pahimmillaan suurtakin haittaa aiheuttaen. Tietojenkalasteluviesti voi olla erittäin hyvin toteutettu sähköpostiviesti, ja se voi näyttää täysin jonkin suuren palveluntarjoajan lähettämältä viestiltä.
TNNetin phising-testi
Me TNNetillä voimme testata asiakasyrityksen henkilökunnan tietoturvaosaamisen tasoa tietojenkalastelusimulaatiolla. Simulaatio toteutetaan Sophoksen tietoturvaratkaisuja käyttäen. Phising-simulaatiossa lähetämme yrityksen asiakkaille kasan tekaistuja sähköpostiviestejä, joissa koitetaan kalastella asiakkaan tunnuksia yrityksen käytössä olevien ohjelmistojen tai palveluiden osalta. Tässä esimerkkinä erään yritysasiakkaamme tietojenkalastelutestin tulokset:
Testi numero 1 – Microsoftin tunnuksen salasanan vaihto
Lähetimme asiakkaallemme tietojenkalasteluviestin, jossa pyydettiin vaihtamaan salasana Microsoftin palveluihin. Asiakkaamme työntekijöistä 50 % lankesi huijaukseen ja klikkasi viestissä ollutta linkkiä. Luku on melko huolestuttava, sillä aidossa tilanteessa 50 % yrityksen työntekijöistä olisi ollut vaarassa menettää tunnuksensa hakkereiden käsiin.
Kävimme huolestuttavaa tulosta testin jälkeen läpi asiakkaan yhteyshenkilön kanssa, ja asiakkaamme piti pienimuotoisen tietoturvakoulutuksen yrityksen sisällä.
Testi numero 2 – LinkedIn–kaveripyyntö
LinkedIn on yksi suosituimmista sosiaalisen median välineistä yrityskentässä, ja arvelimme, että testi LinkedIniä hyödyntäen voisi olla tehokas. Toisena testinä lähetimme siis asiakasyrityksen työntekijöille LinkedIn-kaveripyynnön, jossa käytimme heidän asiakkaansa yhteyshenkilöä. Tämän viestin saajista 30 % lankesi kalasteluyritykseen.
Teimme asiakkaan henkilökunnalle tämän jälkeen tietoturvakoulutuksen, jossa kävimme läpi eri vaihtoehdot, kuinka kalasteluyrityksiä suoritetaan. Huomasimme myös, että jo pienikin keskustelu tietoturvasta tuottaa tulosta henkilökunnan keskuudessa.
Testi numero 3 – Sosiaalisen median salasanan muutos
Viimeisenä testinä teimme asiakkaalle salasanan muutoksen sosiaalisen median palveluun. Halusimme tällä testata asiakkaan henkilökunnan oppimista tietoturvakoulutuksen jälkeen, ja saimme hyviä tuloksia. Ainoastaan alle 1% henkilökunnasta lankesi huijaukseen, mutta moni henkilö lähti spekuloimaan viestin aitoutta ja otti yhteyttä yrityksen IT-asioista vastaavaan henkilöön.
Yhteenveto testistä
Yleisesti suurimmat tietoturvauhat ovat käyttäjät, jotka tekevät ajattelemattomia päätöksiä hektisen työskentelyn lomassa. Tietoturvakoulutus tuotti kuitenkin selvästi tulosta ja kasvatti tietoturvan tasoa yrityksen sisällä. Testauksen jälkeen jatkoimme sovitusti tietoturvakoulutusta asiakkaallemme ja toimitimme heille uudet Sophoksen tietoturvaratkaisut tarjoamaan vaadittavaa laadullista tasoa vanhojen ohjelmistojen tilalle.
Kiinnostuitko tietoturvatestauksesta?
Olisiko tietojenkalastelutestaus tarpeellinen myös teillä? Tarjoamme uusille tietoturva-asiakkaillemme tietojenkalastelutestauksen nyt erikoishintaan.
Lisäksi jos yrityksen henkilökunta läpäisee tietojenkalastelutestauksen ilman ainuttakaan tietoturvavuotoa, lupaamme palauttaa rahat takaisin.