Sociální inženýrství (Phishing, Vishing, Smishing)

Lidský faktor je kvůli nedostatečnému nebo nevhodně cílenému vzdělávání primárním bezpečnostním rizikem pro data a informace napříč všemi společnostmi. Vzdělávání uživatelů pomocí technik sociálního inženýrství rizika úniků dat výrazně snižuje, protože zážitek na vlastní kůži má mnohonásobně větší účinek než hypotetické poučky známé z e-learningových školení. Při testech sociálním inženýrstvím vám vzdělávací plán přizpůsobíme na míru.

Provedeme test zahrnující:

• shromažďování informací,
• phishing,
• vishing,
• spear-phishing,
• fyzické vniknutí.

Výsledky prezentujeme ve zprávě, která identifikuje úroveň povědomí o vašich uživatelích a zranitelností vaší organizace. Představíme vám konkrétní opatření, která byste měli přijmout a která jsou přizpůsobena tak, aby se zvýšila vaše ochrana před hrozbami – ať už interními, nebo externími.

Představuje jeden z nejznámějších útoků pomocí sociálního inženýrství. Cíle phishingu z pohledu útočníka můžeme rozdělit na doručení škodlivých dat, která poskytují přístup vzdáleným útočníkům, shromažďování přihlašovacích údajů a shromažďování jiných informací využitelných pro další útoky.

Z pohledu zaměstnance nebo uživatele je cílem simulovaného phishingu vybudovat si návyk správně se rozhodnout v momentě otevření zprávy, rozpoznat potenciálně škodlivý e-mail, který se tváří, že pochází z důvěryhodných zdrojů.

Cílem phishingu jako služby je tedy vzdělávání zaměstnanců pomocí simulace útoku. Rozesíláme e-mail, který detekuje chování uživatele hned po jeho doručení. Výsledkem jsou statistiky, které ukazují, v jaké míře jsou zaměstnanci náchylní k vektoru útoku phishingu a kde bude potřebné další vzdělávání. Výstupem jsou dva reporty. První, průběžný, který informuje o provedených akcích uživatelů a rovněž obsahuje měřené metriky. Druhý, formální, obsahuje popis scénáře, získaných dat, popis chování uživatelů, doporučení a poměření s předchozími kampaněmi.

Vishing můžeme definovat jako telefonický Phishing. Během podvodného telefonátu využívá útočník metody sociálního inženýrství, aby donutil oběť sdílet informace, nebo vykonat určitou akci.

Vishing jako služba ale také vzdělávací charakter. Jde o telefonáty s plně řízeným lidským přístupem. Službu vykonává tým sociálních inženýrů, kteří využívají dynamické záminky k nepřetržitému získávání kritických dat od zaměstnanců. Při interním penetračním testu využíváme technologii VoIP, se kterou zaměňujeme ID volajícího za důvěrný zdroj (tzv. spoofing), při externím testu pak přicházejí hovory z telefonních čísel mimo organizaci. Scénáře hovorů upravujeme na míru a jednotlivé hovory z edukačních důvodů nahráváme. Výstupem je formální zpráva, která obsahuje detailní popis scénářů, měřené metriky, akce uživatelů, poměření s předchozími kampaněmi a doporučení.

V tomto komplexním testu využíváme kombinaci phishingu, vishingu a fyzické infiltrace. Na začátku testu společnost určí svoje kritická aktiva. Náš tým sociálních inženýrů pak vykoná průzkum informací napříč internetem i darknetem, přičemž důraz klademe na kritická aktiva společnosti.

Na základě získaných informací vypracujeme potenciální scénáře útoku. Následuje samotné provedení penetračního testu, který ověří existující proces nebo politiku v návaznosti na definovaná aktiva. Výstupem je detailní zpráva s popisem scénářů, popis chování uživatelů a doporučení.

Nabízíme platformu, která umožní provádět simulované phishingové útoky přímo uvnitř vaší organizace. Tréninky a simulované phishingové útoky si můžete nastavovat sami dle potřeb vaší organizace. KnowBe4 obsahuje uživatelsky přívětivé prostředí a obsahuje tisíce šablon s neomezeným použitím a také největší knihovnu školení s cílem zvyšovat povědomí o bezpečnosti.

Obsahuje také řadu interaktivních modulů, videí, her, plakátů a zpravodajů. KnowBe4 vám umožní provádět automatizované tréninkové kampaně s naplánovanými upomínkovými e-maily. Výsledné zprávy jsou pak tvořeny z phishingových testů a školení.

Další informace o socialním inženýrství najdete i na našem produktovém webu: www.socialing.cz