Po sukcesie naszego pierwszego wydarzenia społecznościowego w 2023 roku, nadszedł czas, aby podnieść poprzeczkę. Wraz z dostawcą usług IT, firmą Cronos Security, zorganizowaliśmy pierwszy w historii hackathon phishingowy na żywo.
Wydarzenie to koncentrowało się wyłącznie na phishingu, wymagając od uczestników zaprezentowania swoich najbardziej kreatywnych i przebiegłych taktyk w trzech wyzwaniach, z których tylko jeden okazał się zwycięzcą.
W tym poście zagłębimy się w to wydarzenie, wyróżnimy kluczowych uczestników, wyszczególnimy wyzwania i przyjrzymy się osiągniętemu wpływowi.
W pierwszym wyzwaniu Phishathonu współpracowaliśmy z Cronos Security i UZ Leuven, aby uruchomić kampanię spear-phishing. Nasi etyczni phisherzy i uczestnicy wydarzenia otrzymali briefing na temat celu wraz z przydatnymi informacjami do tworzenia wiadomości phishingowych. Uzbrojeni w te dane, uczestnicy przeprowadzili dalsze badania i uruchomili serię zróżnicowanych i ukierunkowanych wiadomości e-mail do działu IT UZ Leuven.
Kampania szybko wzbudziła aktywność, generując znaczące interakcje, a nawet pewne zgłoszenia danych, zanim e-maile zostały zgłoszone przez odbiorców.
E-maile wywołały spore zamieszanie w naszej organizacji, ale oczywiście w pozytywnym sensie. - Thomas Noppe | UZ Leuven
Najlepszy phisher roku, Michiel, wygrał to wyzwanie, wyłudzając największą liczbę kliknięć w linki w swoich wiadomościach e-mail. Jego poczta socjotechniczna, która ściśle naśladowała styl komunikacji w organizacji, okazała się zwycięską strategią.
Narzędzia sztucznej inteligencji rewolucjonizują społeczeństwo, w tym cyberbezpieczeństwo. Na tym właśnie skupiło się nasze drugie wyzwanie. Uczestnicy mieli za zadanie wygenerować odpowiednie wiadomości phishingowe skierowane do różnych branż, w tym budowlanej, morskiej i naukowej. Do tworzenia wiadomości phishingowych wykorzystali narzędzia sztucznej inteligencji, takie jak ChatGPT-4 i Gemini.
Pracując w grupach, uczestnicy mieli dziesięć minut na stworzenie swoich e-maili. Wyniki były zróżnicowane, ale nie zawsze przekonujące, podkreślając trwałe znaczenie ludzkiego podejścia w phishingu i cyberbezpieczeństwie.
Nasze eksperckie jury, w skład którego weszli Jonas Buyle z Cronos Security, Dieter Tinel z OutKept i Thomas Noppe z UZ Leuven, oceniło wszystkie zgłoszenia. Po wnikliwej analizie, nagrodę za to wyzwanie otrzymał specjalista ds. cyberbezpieczeństwa, Noa, dzięki swojej skomplikowanej wiadomości phishingowej, która skutecznie ominęła uwierzytelnianie wieloskładnikowe (MFA).
Czy kiedykolwiek dzwonił do Ciebie phisher? Ktoś podszywający się pod Twój bank, znane narzędzie lub kogoś innego? W naszym ostatnim wyzwaniu chcieliśmy podkreślić łatwość vishingu, phishingu telefonicznego i poprosić naszą społeczność o zadzwonienie do specjalnego celu.
Na podstawie tajnego dokumentu każda grupa otrzymała swój cel i miała 10 minut na przygotowanie scenariusza vishingu. Po przygotowaniu i podjęciu decyzji, w jaki sposób podejdą do połączenia, otrzymali numer telefonu celu.
Podejścia różniły się znacznie, a gdy 1. miejsce wciąż było w zasięgu ręki, wszystko było na szali. Niektóre grupy trzymały się przygotowanych strategii, podczas gdy inne improwizowały. Ostatecznie jeden zespół zatriumfował dzięki scenariuszowi phishingu dostosowanemu do branży, w której działał.
Gdy wydarzenie dobiegło końca, nasze jury musiało zdecydować o ogólnym zwycięzcy na podstawie wyników we wszystkich trzech wyzwaniach.
Sędziowie Thomas Noppe (UZ Leuven), Jonas Buyle (Cronos Security) i Dieter Tinel (OutKept) przyznali główną nagrodę etycznemu phisherowi Noa (Pixl), a Michiel (IT-Strategie) zajął drugie miejsce. Obaj uczestnicy wyróżniali się podczas całego wydarzenia, przeprowadzając skuteczne i innowacyjne kampanie phishingowe. Noa zaimponował swoimi umiejętnościami socjotechnicznymi w wyzwaniu vishingowym i zademonstrował, jak można ominąć MFA przy odpowiednim podejściu. Michiel pokazał swoje umiejętności spear-phishingu w pierwszym wyzwaniu, zdobywając znaczące interakcje i nagrody.
Noc zakończyliśmy uroczystą pizzą i drinkami, podekscytowani sukcesem naszego pierwszego Phishathonu. Wydarzenie było ogromnym sukcesem i nie możemy się doczekać, aby zobaczyć, co przyniesie przyszły rok. Wyłudziliśmy mnóstwo danych!
Ciekawi jak wyglądało wydarzenie? Obejrzyj nasz aftermovie 👇
Nasz blog to Twoje źródło informacji na temat phishingu i cyberbezpieczeństwa! Przeczytaj tutaj najnowsze wiadomości i opiniotwórcze artykuły na ten temat.
Nasza platforma symulacji phishingu to absolutna rewolucja w Twojej ofercie z zakresu cyberbezpieczeństwa, która pomoże Ci utrzymać klientów w gotowości przed ewoluującymi zagrożeniami phishingowymi.
Mając po swojej stronie całą otwartą społeczność etycznych phisherów Outkept, teraz możesz rozszerzyć symulacje phishingu na każdą organizację w swoim portfolio. Zajmij się rosnącym zapotrzebowaniem, przestań odrzucać prośby o prewencję od mniejszych organizacji, twórz możliwości dodatkowych usług, produktów lub wsparcia i bądź na bieżąco z regularnymi przeglądami wpływu.
.png){kind=logo}
