Sociální inženýrství

Otestuje, jak by vaši zaměstnanci reagovali na skutečný útok.

Služba sociálního inženýrství

Sociální inženýrství je jednou z nejčastějších metod útoků, které zločinci používají k tomu, aby přiměli zaměstnance ke stažení malwaru nebo k vyplnění jeho přístupových údajů.

Naši sociální inženýři red teamu jsou schopni fyzicky kompromitovat společnosti v 99 % všech případů. Zjistěte, zda by vaši zaměstnanci nebo vedoucí pracovníci podlehli pokročilému útoku sociálního inženýrství, jako je spear phishing.

Se získanými přístupovými údaji se může útočník dostat do interní sítě firmy, např. přes VPN, či k interním aplikacím a jejich datům. Vzhledem k oblibě Single-Sign-On řešení se tak útočník dostává k celé řadě aplikací a datům.

Hlavní testované oblasti

Další testované oblasti: USB flash disky, fyzické vniknutí

Nejčastější nálezy

Při prvním testování podlehne mnohdy i více než 40% uživatelů na potenciálně nebezpečný e-mail.
Ve větších společnostech vystupujeme např. za IT Helpdesk a požadujeme pod záminkou doménové heslo. (15-20% úspěšnost).
Vysoce úspěšné útoky spear phishing na konkrétní uživatele - účetní / recepční apod.

Jak probíhá simulovaný phishingový útok?

1 Analýza

Podíváme se, jaké aplikace, či služby Vaše firma využívá. Může se jednat např. o Office 365, či jinou firemní aplikaci.

Zjistíme, jaké domény Vaše firma používá a zaregistrujeme si podobnou. Místo firma.cz můžeme použít firma.net nebo firna.cz. Překlep v doméně často uživatelé nepostřehnou.

2 Příprava

Vytvoříme stránku, která vypadá podobně jako reálná stránka aplikace. Jako příklad můžeme použít stránku pro změnu hesla firemního Microsoft účtu.

3 Akce

Stránku umístíme na registrovanou doménu a rozešleme uživatelům email, který je bude nabádat, aby si změnili heslo. Takový email může vypadat např. takto:

4 Průběh

Po spuštění phishingové kampaně vidíme, jak jednotliví uživatele reagují. Pokud společnost své zaměstnance pravidelně nevzdělává, tak obvykle do několika minut po spuštění získáváme přístupové údaje prvního zaměstnance. Při simulaci útoku hesla uživatelů neukládáme, nicméně pokud by test proběhl v rámci většího penetračního testu vaší firmy, pak bychom je využili stejným způsobem jako reálný útočník pro průnik do interní sítě.

5 Závěr

Kampaň necháme několik dní spuštěnou. Po jejím ukončení informujeme management firmy o výsledcích testů.

Výsledky testu obsahují souhrn, jak firma v testu obstála a dále detaily, jak jednotliví uživatelé reagovali.

Jak se phishingovým útokům bránit?

Po vyplnění hesla se uživateli může objevit edukativní stránka, která obsahuje informace, jak by se měl uživatel zachovat a co by neměl dělat.

Je vhodné uživatele vzdělávat pravidelně. Pro tento účel doporučujeme nasazení nástroje Proofpoint, který zajistí pro Vaše uživatele pravidelné vzdělávání formou e-learning kurzů, v kombinaci se simulací phishingových útoků. Na základě simulovaných útoků poznáte, v čem jednotliví uživatelé chybují a můžete jim vytvořit individuální výukový plán.

Mimo pravidelné vzdělávání uživatelů může reálnému útoku částečně zabránit i dvoufaktorová autentizace. Pokud útočník získá heslo uživatele, bude potřebovat k přístupu do aplikace / interní sítě i druhý faktor – např. kód z autentizační aplikace.

Pokud však útočník donutí uživatele spustit na jeho PC škodlivý kód – např. otevřením přílohy, stažením a spouštěním programu útočníka, pak ani tato ochrana nepomůže.

Chci test sociálního inženýrství

Rádi s vámi zkonzultujeme vaši situaci a připravíme nezávaznou nabídku.

Můžeme Vám zaslat i ukázku naší práce – vzorový report z testu.

Najde nás také v našich kancelářích v Praze, Brně nebo v Bratislavě