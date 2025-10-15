„Ćwiczeniami „PhishEx” chcemy pomóc pracownikom rozwijać krytyczne myślenie i wyrobić nawyk natychmiastowego zgłaszania podejrzanych e-maili do działu IT lub specjalistów ds. cyberbezpieczeństwa. Regularnie przeprowadzane ćwiczenia pomagają nie tylko lepiej zrozumieć metody inżynierii społecznej, ale także zwiększają gotowość organizacji do przeciwdziałania zagrożeniom cybernetycznym” – powiedział dyrektor Narodowego Centrum Cyberbezpieczeństwa (NKSC), Antanas Aleknavičius.

Wszyscy uczestnicy ćwiczeń mieli możliwość zastosowania trzech scenariuszy oszustw, które symulowały prawdziwe ataki, umożliwiające ocenę poziomu odporności organizacji. Łącznie wysłano ponad 120 tys. e-maili, opartych na metodach inżynierii społecznej, dostosowanych do informacji przekazanych przez przedstawicieli organizacji w celu zwiększenia ich wiarygodności.

Scenariusz „Microsoft” przekonał 8,5% pracowników do podania swoich danych logowania. W tym scenariuszu pracownicy otrzymali fałszywy e-mail od swojego „bezpośredniego przełożonego” z zaproszeniem do obejrzenia wspólnego dokumentu na platformie chmurowej „Office 365”. Klikając w link, wyświetlał się fałszywy ekran logowania „Microsoft”, proszący o podanie hasła. Po wpisaniu danych użytkownik był przekierowywany na wspólną stronę „Word”. Ten scenariusz był najtrudniejszy do rozpoznania – zgłosiło go tylko 3,9% pracowników.

Scenariusz „SignDoks” symulował usługę podpisywania dokumentów za pomocą podpisu elektronicznego. W e-mailu, podszywając się pod nieistniejącą platformę „SignDoks”, oszuści zachęcali pracowników do zalogowania się i potwierdzenia tożsamości – wprowadzenia numeru telefonu oraz ostatnich czterech cyfr numeru PESEL. Na ekranie pojawiał się komunikat, że wysłano kod potwierdzający. Ponieważ kod się nie pojawiał, platforma „SignDoks” wzbudzała podejrzenia, co spowodowało, że ten scenariusz miał jeden z najniższych wskaźników podania danych logowania – 6%, a 11,8% pracowników zgłosiło podejrzany e-mail.

Po raz pierwszy w ćwiczeniach wykorzystano scenariusz szantażu. Pracownikom organizacji, które wybrały ten scenariusz, pokazano ostrzeżenie, że ich pliki zostały zaszyfrowane, a następnie zażądano wprowadzenia hasła, z obietnicą (być może) ich odszyfrowania. Jeśli nie nastąpiła reakcja w ciągu minuty, uruchamiano animację fikcyjnego ponownego uruchamiania urządzenia „Windows”, po której pojawiał się fałszywy ekran logowania – kolejna okazja dla oszustów do zbierania danych. Tylko 1% pracowników organizacji, które wybrały scenariusz szantażu, podało dane logowania. Większość rozpoznała zagrożenie i zareagowała prawidłowo – nie podała danych i zgłosiła incydent do swoich kolegów z działu cyberbezpieczeństwa.

Choć zagrożenia związane z inżynierią społeczną są lepiej rozpoznawane, wiarygodne e-maile oszustów wciąż stanowią zagrożenie. Szczególnie niebezpieczne są przypadki, gdy wykorzystuje się rozpoznawalne platformy lub fałszywe wiadomości wysyłane w imieniu autorytatywnych osób, takich jak szefowie firm.

NKSC przypomina, że stała edukacja pracowników i rozwijanie czujności to kluczowe czynniki zapewniające cyberbezpieczeństwo organizacji. Do regularnie organizowanych ćwiczeń „PhishEx” NKSC zaprasza wszystkie organizacje, które są wpisane na listę podmiotów zajmujących się cyberbezpieczeństwem i dołączyły do systemu informacyjnego cyberbezpieczeństwa (KSIS).