Testy socjotechniczne i próby phishingowe

Badanie podatności pracowników na ataki socjotechniczne

Testy socjotechniczne mają na celu ustalenie w jakim stopniu pracownicy organizacji podatni są na ataki z wykorzystaniem t.zw. socjotechnik. W trakcie audytu stosowane są kontrolowane próby pozyskania od użytkowników poufnych informacji lub nakłonienia ich do wykonania określonych czynności mogących mieć wpływ na bezpieczeństwo firmy. Audyt ma na celu zbadanie poziomu świadomości użytkowników i ich odporności na zagrożenia takie jak np. phishing. W trakcie audytu wykorzystywane są specjalnie na tę potrzebę przygotowane i spersonalizowane w oparciu o rekonesans informacyjny serwisy www, formularze logowania, domeny, certyfikaty. Zakres testów socjotechnicznych:

  • Rekonesans informacyjny (OSINT) dotyczący firmy i pracowników
  • Kontakt mailowy z próbami pozyskania danych logowania (phishing, spear phishing)
  • Kontakt mailowy z próbami aktywowania złośliwych linków
  • Kontakt mailowy z próbami aktywowania złośliwych załączników
  • Próby podszycia się pod znaną osobę lub instytucję (spoofing)  w celu nakłonienia do określonych działań zagrażających bezpieczeństwu.

Wszystkie prace prowadzone są w sposób kontrolowany, gwarantujący poufność danych oraz bezpieczeństwo środowiska pracy. W przypadku udanych prób pozyskania poufnych danych (np. danych uwierzytelniających) osoba wyznaczona do kontaktu po stronie klienta jest natychmiast informowana o konieczności ich zmiany. O wszelkich testach i ich scenariuszach osoby zlecające audyt są informowane z wyprzedzeniem w celu ułatwienia identyfikacji i rozróżnienia trwających testów socjotechnicznych od ewentualnych realnych zagrożeń.

testy socjotechniczne
Testy socjotechniczne – przykład scenariusza z wykorzystaniem zainfekowanych urządzeń dostarczonych przesyłką kurierską.

Testy phishingowe

Jak wynika z raportów CERT Polska za ostatnie lata, kampanie phishingowe stanowią najczęstszą formę oszustw komputerowych i odpowiadają za prawie połowę wszystkich incydentów bezpieczeństwa. Nie bez powodu intruzi najchętniej wybierają tę formę działania. Phishing jest bowiem prosty do przeprowadzenia, nie wymaga zaawansowanej wiedzy technicznej ani zasobów. A co najważniejsze, jest najbardziej skuteczną formą ataku na organizację.

Prowadzone przez nas testy phishingowe dowodzą, iż skuteczność kampanii typu spear phishing może wynosić nawet pomiędzy 30 a 50 procent. Oznacza to, że blisko połowa pracowników firmy jest w stanie ujawnić swoje dane logowania lub poufne informacje w ramach dobrze przygotowanego ataku. Niekiedy wystarczy wysłanie zaledwie 10 maili aby uzyskać dostęp do kilku skrzynek pocztowych lub kont pracowników.

Nasze podejście

W testach socjotechnicznych nie wykorzystujemy gotowych narzędzi służących do kampanii phishingowych. Produkty tego typu bazują na powtarzalnych i znanych już na rynku scenariuszach, jak np. nieopłacona faktura, wezwanie do zapłaty itp. Badają więc one odporność na zagrożenia, z którymi pracownicy mogli się już zetknąć. Nasze podejście do testów jest zbliżone do podejścia stosowanego przez intruzów w realnych atakach. Przygotowanie do testów poprzedzamy rekonesansem informacyjnym. Na tej podstawie opracowujemy scenariusze ataków, które mają największą szansę powodzenia. Wykorzystujemy w tym celu przygotowane indywidualnie pod każdego klienta domeny, serwisy www, certyfikaty. Korzystamy z własnych narzędzi i serwerów, co zapewnia 100% kontrolę nad przebiegiem testów i bezpieczeństwem danych zleceniodawcy.

Wartość dodana

Na podstawie wyników przeprowadzonych testów przygotowujemy materiały edukacyjne, które mogą być wykorzystane do przeszkolenia pracowników organizacji z zakresu security awareness. W fazie rekonesansu poprzedzającej testy socjotechniczne zwracamy też uwagę na zagrożenia mogące wynikać z dostępności pewnych informacji o środowisku klienta w Internecie. Sugestie na temat możliwych usprawnień i wskazówki dotyczące zalecanych działań dołączamy do raportu z testów socjotechnicznych.

Jeżeli jesteś zainteresowany naszą ofertą na przeprowadzenie testów w Twoim środowisku, skorzystaj z zakładki kontakt.