Sociálne inžinierstvo (Phishing, Vishing, Smishing)
Vašich vybraných zamestnancov oslovíme podvodnými e-mailami alebo telefonátmi, prípadne sa priamo pokúsime dostať pomocou ich manipulácie do vašej budovy.
Zvýšime vašu odolnosť voči manipulácii a rozšírime vaše povedomie
Ľudský faktor je hlavným bezpečnostným rizikom pre údaje a informácie vo všetkých spoločnostiach z dôvodu nedostatočného alebo nevhodne zameraného školenia. Vzdelávanie používateľov pomocou techník sociálneho inžinierstva výrazne znižuje riziko úniku dát, pretože priama skúsenosť má mnohonásobne väčší vplyv ako hypotetické poučky známe z e-learningových školení. Pri testoch sociálneho inžinierstva vám prispôsobíme plán školenia na mieru.)
Vykonáme test vrátane:
Vykonáme test vrátane:
- zhromažďovanie informácií,
- phishing,
- vishing,
- spear-phishing,
- fyzické vniknutie.
Phishing
Ide o jeden z najznámejších útokov sociálneho inžinierstva. Ciele phishingu z pohľadu útočníka možno rozdeliť na doručenie škodlivých dát, ktoré poskytujú prístup vzdialeným útočníkom, zhromažďovanie prihlasovacích údajov a zhromažďovanie ďalších informácií užitočných na ďalšie útoky.
Z pohľadu zamestnanca alebo používateľa je cieľom simulovaného phishingu vybudovanie návyku urobiť správne rozhodnutie v okamihu otvorenia správy, rozpoznať potenciálne škodlivý e-mail, ktorý predstiera, že pochádza z dôveryhodných zdrojov.
Cieľom phishingu ako služby je preto vzdelávať zamestnancov pomocou simulácie útoku. Rozosielame e-mail, ktorý detekuje správanie používateľa hneď po jeho doručení. Výsledkom sú štatistiky, ktoré ukazujú, do akej miery sú zamestnanci náchylní na vektor phishingového útoku a kde bude potrebné ďalšie školenie. Výstupom sú dva reporty. Prvý, priebežný, ktorý informuje o akciách vykonaných používateľmi a obsahuje aj namerané metriky. Druhý, formálny, obsahuje opis scenára, zozbierané dáta, opis správania používateľov, odporúčania a porovnanie s predchádzajúcimi kampaňami.
Z pohľadu zamestnanca alebo používateľa je cieľom simulovaného phishingu vybudovanie návyku urobiť správne rozhodnutie v okamihu otvorenia správy, rozpoznať potenciálne škodlivý e-mail, ktorý predstiera, že pochádza z dôveryhodných zdrojov.
Cieľom phishingu ako služby je preto vzdelávať zamestnancov pomocou simulácie útoku. Rozosielame e-mail, ktorý detekuje správanie používateľa hneď po jeho doručení. Výsledkom sú štatistiky, ktoré ukazujú, do akej miery sú zamestnanci náchylní na vektor phishingového útoku a kde bude potrebné ďalšie školenie. Výstupom sú dva reporty. Prvý, priebežný, ktorý informuje o akciách vykonaných používateľmi a obsahuje aj namerané metriky. Druhý, formálny, obsahuje opis scenára, zozbierané dáta, opis správania používateľov, odporúčania a porovnanie s predchádzajúcimi kampaňami.
Vishing
Vishing možno definovať ako telefonický Phishing. Počas podvodného telefonátu útočník používa metódy sociálneho inžinierstva, aby obeť prinútil zdieľať informácie alebo vykonať určitú akciu.
Vishing ako služba má však aj vzdelávací charakter. Ide o telefonické hovory s plne ľudsky kontrolovaným prístupom. Službu vykonáva tím sociálnych inžinierov, ktorí používajú dynamické zámienky na priebežné získavanie kritických dát od zamestnancov. Pri internom penetračnom teste používame technológiu VoIP, pomocou ktorej zamieňame ID volajúceho za dôverný zdroj (tzv. spoofing), a pri externom teste prichádzajú hovory z telefónnych čísel mimo organizácie. Scenáre hovorov prispôsobujeme a jednotlivé hovory nahrávame na vzdelávacie účely. Výstupom je formálna správa, ktorá obsahuje podrobný opis scenárov, merané metriky, akcie používateľov, porovnanie s predchádzajúcimi kampaňami a odporúčania.
Vishing ako služba má však aj vzdelávací charakter. Ide o telefonické hovory s plne ľudsky kontrolovaným prístupom. Službu vykonáva tím sociálnych inžinierov, ktorí používajú dynamické zámienky na priebežné získavanie kritických dát od zamestnancov. Pri internom penetračnom teste používame technológiu VoIP, pomocou ktorej zamieňame ID volajúceho za dôverný zdroj (tzv. spoofing), a pri externom teste prichádzajú hovory z telefónnych čísel mimo organizácie. Scenáre hovorov prispôsobujeme a jednotlivé hovory nahrávame na vzdelávacie účely. Výstupom je formálna správa, ktorá obsahuje podrobný opis scenárov, merané metriky, akcie používateľov, porovnanie s predchádzajúcimi kampaňami a odporúčania.
Penetračný test pomocou sociálneho inžinierstva
V tomto komplexnom teste používame kombináciu phishingu, vishingu a fyzickej infiltrácie. Na začiatku testu spoločnosť identifikuje svoje kritické aktíva. Náš tím sociálnych inžinierov potom vykoná prieskum informácií na internete a darknete so zameraním na kritické aktíva spoločnosti.
Na základe získaných informácií vypracujeme potenciálne scenáre útoku. Potom nasleduje skutočné vykonanie penetračného testu na overenie existujúceho procesu alebo politiky voči definovaným aktívam. Výstupom je podrobná správa s opisom scenárov, popisom správania používateľov a odporúčaniami.
Na základe získaných informácií vypracujeme potenciálne scenáre útoku. Potom nasleduje skutočné vykonanie penetračného testu na overenie existujúceho procesu alebo politiky voči definovaným aktívam. Výstupom je podrobná správa s opisom scenárov, popisom správania používateľov a odporúčaniami.
KnowBe4
Ponúkame platformu, ktorá vám umožní vykonávať simulované phishingové útoky priamo vo vašej organizácii. Tréningy a simulované phishingové útoky si môžete nastaviť sami podľa potrieb vašej organizácie. KnowBe4 ponúka používateľsky prívetivé prostredie a obsahuje tisíce šablón s neobmedzeným použitím, ako aj najväčšiu knižnicu školení o bezpečnostnom povedomí.
Obsahuje aj celý rad interaktívnych modulov, videí, hier, plagátov a bulletinov. KnowBe4 umožňuje spúšťať automatizované školiace kampane s plánovanými e-mailovými pripomienkami. Výsledné správy sú potom vytvorené z phishingových testov a školení.
Viac informácií o sociálnom inžinierstve nájdete aj na webovej lokalite nášho produktu: www.socialing.cz.
Obsahuje aj celý rad interaktívnych modulov, videí, hier, plagátov a bulletinov. KnowBe4 umožňuje spúšťať automatizované školiace kampane s plánovanými e-mailovými pripomienkami. Výsledné správy sú potom vytvorené z phishingových testov a školení.
Viac informácií o sociálnom inžinierstve nájdete aj na webovej lokalite nášho produktu: www.socialing.cz.
Benefity
- Preveríme bezpečnostné povedomie členov vašej organizácie
- Odhalíme zraniteľnosti a nahlásime vám ich
- Po dokončení testu znížite pravdepodobnosť úniku údajov
- Máme viac ako 10 rokov skúseností v oblasti sociálneho inžinierstva
- Náš tím tvoria špecialisti so skúsenosťami zo stoviek čiastkových projektov
- Sme držiteľmi certifikátov eMAPT, CISSP, OSCP, OSCE, CEH a množstva ďalších certifikátov
-
Realizácia penetračných testov na zvýšenie bezpečnosti spoločnosti ING -
V spoločnosti T-Mobile sme vykonali bezpečnostné testy a audity -
V spoločnosti Deutsche Telekom (T-Systems) pokrývame oblasť kybernetickej bezpečnosti -
Bezpečnosť klientov a zamestnancov ČSOB sme zvýšili nielen vďaka penetračným testom -
Pre Škoda Auto sme vykonali audity a sofistikované penetračné testy na identifikáciu zraniteľností
NEVÁHAJTE NÁS
KONTAKTOVAŤ
Máte záujem o ďalšie informácie alebo ponuku pre vašu konkrétnu situáciu?