Sociální inženýrství (Phishing, Vishing, Smishing)
Vaše vybrané zaměstnance oslovíme pomocí podvodných e-mailů či telefonátů, nebo se přímo pokusíme dostat pomocí jejich manipulace k vám do budovy.
Zvýšíme vaše povědomí a naučíme vás předcházet riziku manipulace
Lidský faktor je kvůli nedostatečnému nebo nevhodně cílenému vzdělávání primárním bezpečnostním rizikem pro data a informace napříč všemi společnostmi. Vzdělávání uživatelů pomocí technik sociálního inženýrství rizika úniků dat výrazně snižuje, protože zážitek na vlastní kůži má mnohonásobně větší účinek než hypotetické poučky známé z e-learningových školení. Při testech sociálním inženýrstvím vám vzdělávací plán přizpůsobíme na míru.
Provedeme test zahrnující:
Provedeme test zahrnující:
- shromažďování informací,
- phishing,
- vishing,
- spear-phishing,
- fyzické vniknutí.
Phishing
Představuje jeden z nejznámějších útoků pomocí sociálního inženýrství. Cíle phishingu z pohledu útočníka můžeme rozdělit na doručení škodlivých dat, která poskytují přístup vzdáleným útočníkům, shromažďování přihlašovacích údajů a shromažďování jiných informací využitelných pro další útoky.
Z pohledu zaměstnance nebo uživatele je cílem simulovaného phishingu vybudovat si návyk správně se rozhodnout v momentě otevření zprávy, rozpoznat potenciálně škodlivý e-mail, který se tváří, že pochází z důvěryhodných zdrojů.
Cílem phishingu jako služby je tedy vzdělávání zaměstnanců pomocí simulace útoku. Rozesíláme e-mail, který detekuje chování uživatele hned po jeho doručení. Výsledkem jsou statistiky, které ukazují, v jaké míře jsou zaměstnanci náchylní k vektoru útoku phishingu a kde bude potřebné další vzdělávání. Výstupem jsou dva reporty. První, průběžný, který informuje o provedených akcích uživatelů a rovněž obsahuje měřené metriky. Druhý, formální, obsahuje popis scénáře, získaných dat, popis chování uživatelů, doporučení a poměření s předchozími kampaněmi.
Z pohledu zaměstnance nebo uživatele je cílem simulovaného phishingu vybudovat si návyk správně se rozhodnout v momentě otevření zprávy, rozpoznat potenciálně škodlivý e-mail, který se tváří, že pochází z důvěryhodných zdrojů.
Cílem phishingu jako služby je tedy vzdělávání zaměstnanců pomocí simulace útoku. Rozesíláme e-mail, který detekuje chování uživatele hned po jeho doručení. Výsledkem jsou statistiky, které ukazují, v jaké míře jsou zaměstnanci náchylní k vektoru útoku phishingu a kde bude potřebné další vzdělávání. Výstupem jsou dva reporty. První, průběžný, který informuje o provedených akcích uživatelů a rovněž obsahuje měřené metriky. Druhý, formální, obsahuje popis scénáře, získaných dat, popis chování uživatelů, doporučení a poměření s předchozími kampaněmi.
Vishing
Vishing můžeme definovat jako telefonický Phishing. Během podvodného telefonátu využívá útočník metody sociálního inženýrství, aby donutil oběť sdílet informace, nebo vykonat určitou akci.
Vishing jako služba ale také vzdělávací charakter. Jde o telefonáty s plně řízeným lidským přístupem. Službu vykonává tým sociálních inženýrů, kteří využívají dynamické záminky k nepřetržitému získávání kritických dat od zaměstnanců. Při interním penetračním testu využíváme technologii VoIP, se kterou zaměňujeme ID volajícího za důvěrný zdroj (tzv. spoofing), při externím testu pak přicházejí hovory z telefonních čísel mimo organizaci. Scénáře hovorů upravujeme na míru a jednotlivé hovory z edukačních důvodů nahráváme. Výstupem je formální zpráva, která obsahuje detailní popis scénářů, měřené metriky, akce uživatelů, poměření s předchozími kampaněmi a doporučení.
Vishing jako služba ale také vzdělávací charakter. Jde o telefonáty s plně řízeným lidským přístupem. Službu vykonává tým sociálních inženýrů, kteří využívají dynamické záminky k nepřetržitému získávání kritických dat od zaměstnanců. Při interním penetračním testu využíváme technologii VoIP, se kterou zaměňujeme ID volajícího za důvěrný zdroj (tzv. spoofing), při externím testu pak přicházejí hovory z telefonních čísel mimo organizaci. Scénáře hovorů upravujeme na míru a jednotlivé hovory z edukačních důvodů nahráváme. Výstupem je formální zpráva, která obsahuje detailní popis scénářů, měřené metriky, akce uživatelů, poměření s předchozími kampaněmi a doporučení.
Penetrační test využívající sociální inženýrství
V tomto komplexním testu využíváme kombinaci phishingu, vishingu a fyzické infiltrace. Na začátku testu společnost určí svoje kritická aktiva. Náš tým sociálních inženýrů pak vykoná průzkum informací napříč internetem i darknetem, přičemž důraz klademe na kritická aktiva společnosti.
Na základě získaných informací vypracujeme potenciální scénáře útoku. Následuje samotné provedení penetračního testu, který ověří existující proces nebo politiku v návaznosti na definovaná aktiva. Výstupem je detailní zpráva s popisem scénářů, popis chování uživatelů a doporučení.
Na základě získaných informací vypracujeme potenciální scénáře útoku. Následuje samotné provedení penetračního testu, který ověří existující proces nebo politiku v návaznosti na definovaná aktiva. Výstupem je detailní zpráva s popisem scénářů, popis chování uživatelů a doporučení.
KnowBe4
Nabízíme platformu, která umožní provádět simulované phishingové útoky přímo uvnitř vaší organizace. Tréninky a simulované phishingové útoky si můžete nastavovat sami dle potřeb vaší organizace. KnowBe4 obsahuje uživatelsky přívětivé prostředí a obsahuje tisíce šablon s neomezeným použitím a také největší knihovnu školení s cílem zvyšovat povědomí o bezpečnosti.
Obsahuje také řadu interaktivních modulů, videí, her, plakátů a zpravodajů. KnowBe4 vám umožní provádět automatizované tréninkové kampaně s naplánovanými upomínkovými e-maily. Výsledné zprávy jsou pak tvořeny z phishingových testů a školení.
Další informace o socialním inženýrství najdete i na našem produktovém webu: www.socialing.cz
Obsahuje také řadu interaktivních modulů, videí, her, plakátů a zpravodajů. KnowBe4 vám umožní provádět automatizované tréninkové kampaně s naplánovanými upomínkovými e-maily. Výsledné zprávy jsou pak tvořeny z phishingových testů a školení.
Další informace o socialním inženýrství najdete i na našem produktovém webu: www.socialing.cz
Přínosy
- Prověříme bezpečnostní povědomí u členů vaší organizace.
- Odhalíme slabá místa, která vám nahlásíme.
- Po skončení testu snížite pravděpodobnost úniku dat.
- Máme více než 10 let zkušeností v oblasti sociálního inženýrství.
- Náš tým tvoří specialisté se zkušenostmi ze stovek dílčích projektů.
- Jsme držiteli certifikací eMAPT, CISSP, OSCP, OSCE, CEH a celé řady dalších.
-
Realizace penetračních testů pro zdokonalení bezpečnosti společnosti ING -
Pro Škoda Auto jsme provedli audity a sofistikované penetrační testy k identifikaci zranitelnosti -
Bezpečnost klientů i zaměstnanců ČSOB jsme zdokonalili nejen díky penetračním testům -
Služby vzdělávání v oblasti kybernetické bezpečnosti pro desítky zaměstnanců společnosti OTE -
V T-Mobile jsme provedli bezpečnostní testy a audity -
Školeními zvyšujeme povědomí o kybernetické bezpečnosti zaměstnancům společnosti Broker Consulting -
V Deutsche Telekom (T-Systems) pokrýváme oblasti kybernetické bezpečnosti. -
Díky penetračním testům v Konica Minolta jsme efektivně identifikovali a opravili zranitelnost firmy -
Realizace bezpečnostních auditů a penetračních testů pro společnost ČEZ -
Zvýšení kybernetické bezpečnosti ve Fakultní nemocnici Hradec Králové
-
Umělá inteligence jako zbraň v rukou útočníků. Naučme se je odhalit.
-
Jak oživit bezpečnostní školení a udělat čtení dokumentů zábavnějším?
-
Školením uživatelů eliminujme novou taktiku kybernetických útoků. Jako ve fotbale.
-
Co zatím dokáží AI jazykové modely?
-
Nebezpečná rychlost
-
O.MG USB kabely a jejich použití v praxi, máme se čeho bát?
-
Vlna vishingu
-
Zachytili jsme novou plošnou phishing-malware kampaň
-
Juice Jacking
-
Masivní nárůst cílených útoků, deepfake i hacktivismus
-
Smítko
-
Ponaučení z jednoho předvánočního pokusu o podvod
-
Neusnadňujte hackerům přístup ke své peněžence
-
Dělám phishing
-
Pozor na Janet Jackson
-
Jak se bránit phishingu?
-
Našich softwarových security specialistů si IBM opravdu váží
-
Jak to chodí v ransomware gangu
-
Preventivní doporučení týkající se bezpečnostních hrozeb
-
Nechovejme se jako hackeři
-
Potvrdili jsme zabezpečení digitálních očkovacích certifikátů
NEVÁHEJTE, KONTAKTUJTE NÁS.
Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?