Situace
Zdravotnické zařízení nás požádalo o penetrační test s důrazem na lidský faktor. Vědělo, že útočníci míří na zdravotnictví stále častěji, a chtělo zjistit, jestli jeho personál pozná cílený phishing a jak by takový útok pokračoval dál.
Všechny údaje v této referenci jsou anonymizované. Neuvádíme jméno zařízení ani žádné identifikovatelné detaily o pacientech či zaměstnancích. Žádná reálná data pacientů jsme v rámci testu nezpřístupnili ani nestáhli.
Cíl
Cílem bylo ověřit, zda dokáže útočník přes podvodný e-mail získat přihlašovací údaje a využít je ke vstupu do interních systémů. Test jsme předem ohraničili pravidly zapojení, takzvanými Rules of Engagement, které určily rozsah, povolené techniky i to, že se nesmíme dotknout zdravotnické dokumentace.
Co jsme udělali
Připravili jsme cílený phishing na míru. Z veřejných zdrojů jsme zjistili, jaký systém pro objednávky zařízení používá, a vytvořili věrnou napodobeninu jeho přihlašovací stránky. E-mail se tvářil jako výzva k obnovení hesla kvůli plánované údržbě a odkazoval na naši kontrolovanou stránku.
Zpráva prošla přes e-mailové filtry až do schránek. Během prvních hodin na odkaz kliklo několik zaměstnanců a část z nich vyplnila své přihlašovací údaje. Tyto údaje jsme bezpečně zachytili na své straně, abychom doložili úspěšnost útoku.
Se získanými údaji jsme se pokusili přihlásit do interních systémů. U jednoho účtu chybělo vícefaktorové ověření, takzvané MFA, a přihlášení prošlo. Tím jsme prokázali, že z jednoho kliknutí vede přímá cesta k přístupu do prostředí zařízení. Test jsme zde zastavili v souladu s pravidly zapojení.
Vizuální důkaz
Celý průběh jsme zdokumentovali. Přiložili jsme znění podvodného e-mailu, snímek napodobené přihlašovací stránky, anonymizovanou statistiku otevření a kliknutí a důkaz úspěšného přihlášení bez vícefaktorového ověření. Žádné citlivé údaje pacientů přitom report neobsahuje.
Obchodní dopad
Pro zdravotnické zařízení by skutečný útok tohoto typu mohl znamenat únik citlivých údajů, narušení provozu a oznamovací povinnost vůči dozorovým úřadům. Ukázali jsme, že ani dobré filtry nestačí, pokud chybí druhý faktor ověření a personál útok nepozná.
Náprava
Doporučení jsme seřadili podle závažnosti. Na prvním místě bylo plošné zapnutí vícefaktorového ověření u všech účtů s přístupem do interních systémů. Dále jsme navrhli zpřísnění e-mailových filtrů, zavedení jasného postupu pro hlášení podezřelých zpráv a praktické školení personálu na rozpoznání phishingu. Po nápravě jsme provedli kontrolní cvičný phishing, který doložil výrazně nižší míru kliknutí a žádné úspěšné přihlášení bez druhého faktoru.