Przejęliśmy kontrolę w firmie w 16 minut – Case Study

Kontekst: Twierdza z otwartą bramą

Wyobraź sobie firmę produkcyjną średniej wielkości (FMCG). Stabilna pozycja na rynku, nowoczesne biuro, około 120 osób pracujących hybrydowo. Z punktu widzenia IT – twierdza. Dwuetapowe uwierzytelnianie (MFA), zaawansowane filtry pocztowe, regularne szkolenia z cyberbezpieczeństwa.

Teoretycznie, haker nie miał tu czego szukać. Firma była przekonana, że jej cyfrowy mur jest nie do przebicia.

Założenie organizacji było proste: Skoro mamy drogie systemy i ludzi po szkoleniach, to nikt nie nabierze się na „nigeryjskiego księcia” czy proste oszustwo. Ryzyko skutecznego phishingu uznano za marginalne.

My mieliśmy sprawdzić, czy ta pewność siebie jest uzasadniona.

Cel: Bezpieczny atak na psychikę

Nie chcieliśmy włamywać się przez serwery. Naszym celem było sprawdzenie „ludzkiego firewalla”. Chcieliśmy zweryfikować, jak pracownicy zareagują na realistyczny scenariusz socjotechniczny – taki, który nie straszy komornikiem, ale wykorzystuje zwykły, biurowy kontekst. Bez technicznych sztuczek, bez złośliwego oprogramowania. Czysta psychologia.

Scenariusz: Piątek, godzina 14:00

Atakujący wiedzą, że najsłabszym ogniwem bezpieczeństwa jest zmęczenie i rutyna. Dlatego uderzyliśmy tuż przed weekendem.

Przygotowaliśmy dwa wektory ataku, które idealnie wtapiały się w życie firmy:

1. E-mail “Lista płac”: Wykorzystaliśmy ludzką ciekawość. Kto nie chciałby sprawdzić, ile zarabiają współpracownicy?

2. E-mail “Spotkanie zarządu”: Wykorzystaliśmy autorytet. Nagranie ze spotkania zarządu brzmiało jak coś, co nie powinno się pojawić w skrzynce zwykłego pracownika.

3. Telefon od “IT”: Wisienka na torcie. Zadzwoniliśmy jako wsparcie techniczne z informacją o pilnej aktualizacji systemu ERP, którą trzeba wykonać „teraz, bo nie zamkniemy miesiąca”.

Komunikaty były perfekcyjne. Zero błędów ortograficznych, stopki zgodne z firmowym standardem, ton uprzejmy i profesjonalny.

Wyniki: Zaskakująca skuteczność ataku

To, co wydarzyło się później, zaskoczyło nawet nas. Spodziewaliśmy się kilku kliknięć. Otrzymaliśmy autostradę do danych firmy.

• Prawie 100% skuteczności otwarcia: Praktycznie każdy pracownik, do którego trafił mail testowy, otworzył go. Tytuły były tak dobrane, że ciekawość wygrywała z ostrożnością za każdym razem.

• 35% podanych danych: Ponad jedna trzecia załogi nie tylko kliknęła w link, ale na fałszywej stronie logowania Microsoft 365 wpisała swój login. Co więcej, gdy strona wyrzucała błąd (część scenariusza), próbowali ponownie – średnio 3 do 5 razy, upewniając się, że atakujący na pewno przechwyci poprawne dane.

• 16 minut: Tyle czasu minęło od wybrania numeru telefonu do momentu, w którym pracownik podyktował nam hasło dostępu do kluczowego systemu ERP. Presja czasu (“to pilna aktualizacja”) całkowicie wyłączyła procedury bezpieczeństwa.

Wnioski? W niecałą godzinę, bez łamania ani jednego zabezpieczenia technicznego, mielibyśmy kontrolę nad kontami pracowników. Realny atakujący w tym momencie szyfrowałby dyski ransomwarem.

Dlaczego to zadziałało? (Obserwacje)

Dlaczego przeszkoleni ludzie tak łatwo oddali klucze do królestwa?

1. Brak „czerwonej lampki”: Scenariusz był zbyt normalny. Nie było presji, gróźb ani błędów językowych. Pracownicy nie szukali ataku w codziennej korespondencji.

2. Magia autorytetu: Kiedy dzwoni IT i prosi o pomoc w aktualizacji, chęć bycia pomocnym wygrywa z procedurami. Nikt nie rozłączył się, by zweryfikować tożsamość dzwoniącego.

3. Iluzja bezpiecznego nadawcy: Adresy mailowe wyglądały na wewnętrzne. Dla pracownika to wystarczający dowód zaufania.

Czy Twój zespół zdałby ten test?

Jeśli chcesz sprawdzić, czy Twoja organizacja jest gotowa na realne zagrożenie, nie pytaj pracowników, czy znają zasady. Sprawdź, jak zachowają się w praktyce.