Sociální inženýrství

Testujeme a vzděláváme organizace proti rizikům napadení systému prostřednictvím sociálního inženýrství. V rámci testů podrobujeme předem vytipované pracovníky technikám sociálního inženýrství za účelem získat přístup k zaměstnaneckým účtům, citlivým datům a informacím. Zkoušky provádíme anonymně, zaměstnanci netuší, že jde o testování a můžeme tak analyzovat jejich reakce a chování v kritických situacích.

Certifikáty

Naši bezpečnostní experti jsou držiteli prestižních průmyslových certifikací v oblasti kybernetické bezpečnosti.

Certifikáty EO SECURITY

  • Certified ISMS Manager & Auditor (ISO 27001) TÜV AUSTRIA
  • Offensive Security Certified Professional OSCP
  • Offensive Security Wireless Professional OSWP
  • Certified Ethical Hacker CEH

Testování sociálního inženýrství provádíme na základě předem definovaných scénářů, které si společně schválíme. Dbáme na to, abychom nepoškodili integritu systému a nenarušili jeho hladký chod. Při testování se chováme profesionálně a splýváme s běžným provozem organizace.

Specializujeme se na individualizaci malware na míru testování vaší organizace. Testováním tak zaměstnance podrobíme skutečné zkoušce, jako by chtěl systém napadnout reálný útočník.

Důležitost testování sociálního inženýrství

Váš zaměstnanec nemusí být nutně v holportu s hackerem, přístup do systému může udělit bezděky, nevědomě. Útočník totiž v tomto případě využívá důmyslné techniky sociálního inženýrství. Těmto metodám pak těžko odolá i takový systém, o kterém jste si mysleli, že je neprolomitelný. Mezi klasické techniky patří:

  • E-maily s falešnými fakturami nebo se žádostí o potvrzení vyúčtování mzdy
  • “Odložené USB” – volně položený flash disk v prostorách organizace
  • Malware doručený fyzickou poštou jako dárek
  • Telefonické přesvědčování falešnou autoritou

Ve výsledku jde o psychologickou manipulaci oprávněné osoby. Připravte své zaměstnance na tyto případy pomocí preventivního skrytého testování technik sociálního inženýrství. Otestujte své zaměstnance a budete připraveni čelit hrozbám napadení systému touto cestou.

Průběh testování, kampaně a výstupy

Informace zjišťujeme pomocí techniky OSINT. V ideálním případě testujeme zaměstnance bez dalších detailů a zkušeností ze strany klienta. Potřebné informace zjistíme sami z různých míst a způsobů:

  • Veřejné databáze
  • Clear net a deep net výsledky vyhledávání, sociální sítě
  • Vlastní skripty
  • Phishing
  • Vishing
  • Fyzické sledování

Náročnost, šíře a hloubka použitých OSINT technik se odvíjí od společné diskuze před samotnou realizací testovací kampaně.

Výstupem je podrobná zpráva o provedeném útoku, statistikách reakcí testovaných osob, průběhu akce a doporučení, jak zlepšit odolnost celé organizace proti podobným útokům.

Po skončení celé akce zaškolíme vaše zaměstnance pro zlepšení odolnosti proti technikám sociálního inženýrství. Ukážeme si průběh testů, reakce a prevenci komunikačních selhání. Demonstrujeme, jak se zachovat při kritických situacích, a celkově zlepšíme schopnost firemního ekosystému bránit se proti úniku dat a informací.

Phishing kampaň

Otestujeme reakce vašich pracovníků na techniky získání přístupu do systému prostřednictvím e-mailové komunikace.

Navrhneme několik scénářů, které si předem společně autorizujeme, například:

  • Imitace podnikové události, která vyžaduje nalogování uživatele do podvržené služby nebo kliknutí na odkaz v mailu
  • Komunikace (anonymní/imitující konkrétní osobu) s cílem získat informace nebo data

Mail odešleme předem vybraným zaměstnancům v daný okamžik.

Phishingové kampaně můžeme simulovat více agresivně (s cílem co nejdříve získat přístup/data) nebo méně nápadně, abychom zjistili míru odolnosti zaměstnanců proti potenciálním útokům.

Spear-phishing kampaň

Při spear-phishing testování jde o stejný princip jako u klasického phishingu s tím rozdílem, že e-maily koncipujeme na míru každému zaměstnanci. Obsah sdělení reflektuje osobnost a zájmy pracovníka, a je tak větší šance, že této útočné technice podlehne.

V této kampani rozesíláme e-maily s optimalizovaným malwarem, který není rozpoznatelný antimalwarovým programem organizace. Testovaný pracovník je tak odkázán pouze sám na sebe, musí se rozhodovat sám.

USB-dropping

V prostorách organizace volně položíme flash disky tak, aby to vypadalo, že je někdo zapomněl nebo jde o volně použitelné zařízení pro zaměstnance. Disky umisťujeme na místech s různou mírou zabezpečení vstupu, například recepce a kanceláře, abychom zjistili míru obezřetnosti zaměstnanců. Jakmile zaměstnanec USB aktivuje ve svém zařízení, dojde k odeslání dat směrem k útočníkovi.

Doručení malware poštou

Sestavíme vhodný scénář na míru vaší organizace – může jít například o falešný dárkový software od stávajících dodavatelů nebo aktualizaci přes USB disk. Jakmile zaměstnanec nainstaluje software (nebo použije USB), dojde k odeslání dat útočníkovi. Nejčastěji se tato technika používá v předvánočním období, kdy jsou zaměstnanci méně pozorní vzhledem k pracovnímu nasazení a shonu.

Vishing

Vybranému pracovníkovi pošleme e-mail a následně mu zavoláme na telefon. Tato technika využívá časové tísně a nátlaku falešné autority. Zaměstnanec nemá čas na dlouhé přemýšlení a pod nátlakem může snadno podlehnout příkazům ze strany volajícího. Můžeme se vydávat například za dodavatele softwaru, externí účetní kancelář nebo administrátora technického řešení. Cílem útočníka je, aby zaměstnanec otevřel dokument z mailu, ve kterém je malware.

Fyzický přístup

Otestujeme spolehlivost a úroveň zabezpečení organizace proti fyzickému vniknutí, odcizení dat a získání přístupů do systému. Scénářem může být například získání přístupu k PC administrátora a infiltrace pomocí keyloggeru, otevření dveří přes lockpick nebo testování zabezpečení dveří přes RFID čipy.

Rogue Access Point

Do prostor organizace nasadíme nový Access Point (AP), abychom otestovali, jak jsou vaši zaměstnanci obezřetní a preventivně chráněni proti přihlášení k neznámé, resp. nové Wi-Fi síti. Access Point se zobrazí v seznamu síťových připojení, zaměstnanci tak uvidí novou možnost připojení k internetu.

Jednou formou selhání zabezpečení je automatické přihlášení k nové Wi-Fi se stejným SSID jako má legitimní firemní Wi-Fi. Druhou možností selhání je, pokud se zaměstnanec sám přihlásí k podstrčené Wi-Fi. Při selhání osoby nebo systému může dojít k infikaci malware a úniku firemních dat.

Máte zájem o testování sociálního inženýrství?

V případě zájmu o testování sociálního inženýrství nás kontaktujte na telefonu +420 774 429 006 nebo e-mailu office@eo-security.com.

Uveďte prosím:

  • Jméno a pozici ve firmě
  • Telefonní kontakt
  • Název firmy
  • Stručný popis toho, co poptáváte

Další služby

Penetrační testování

Skan zranitelností

Skenování zranitelností

Testování Wi-Fi sítí

Testování Wi-Fi sítí

Šifrovaný telefon

Rušičky odposlechů

Šifrovaný disk

Vyhledávání odposlechů

Menu