Векторы атак
Phishing
рассылка писем, сообщений в мессенджерах и корпоративных чатах с использованием фишинговых сайтов и/или вложений с полезной нагрузкой для получения доступа к ИС и данных для авторизации;
Vishing
социальная инженерия с использованием телефонных звонков;
Impersonation
«злоумышленник» выдает себя за другую персону (админ, доставщик, охранник, аудитор,) с целью разведать информацию; получить доступ к ИС, СКУД и пр.; доставить программные и/или аппаратные закладки;
Smishing
фишинг с использованием смс и возможной подменой номера.
Методы тестирования

Социальная инженерия может быть использована как часть внешнего/внутреннего тестирования на проникновение (данные, полученные в результате тестов, могут быть использованы в рамках внешнего/внутреннего теста на проникновение). Этот метод подразумевает проработку легенды, выбор оптимальных каналов проведения атаки на усмотрение Исполнителя исходя из данных, полученных на различных этапах теста на проникновение (перед началом работ план согласуется с Заказчиком). При этом цель социального тестирования в получении данных для проникновения к целевым системам заказчика.

Социальная инженерия используется только как метод оценки осведомленности сотрудников в вопросах информационной безопасности, в этом случае будут собраны статистические данные о реакции сотрудников на различные сценарии атак (развитие атаки при этом не осуществляется). Метод подразумевает проведение социотехнического исследования, с целью определения реакции сотрудников заказчика на те или иные методы воздействия со стороны потенциального злоумышленника.

Этапы проекта
1 Этап

Согласование списка адресов
С заказчиком согласуем списки адресов объектов атаки, Ф.И.О. и должности сотрудников.

2 Этап

Проработка легенды
На основе информации, полученной на этапах «Внешний\внутренний тест на проникновение» формируем перечень наиболее оптимальных каналов проведения атаки:
 ― email-рассылка писем с имитирующими вредоносное ПО вложениями (word, exe-файлы, pdf-файлы);
 ― email-рассылка писем со ссылкой на фишинговый веб-сайт;
 Создаем web-ресурсы, имитирующие ресурсы заказчика (DNS-имя, SSL-сертификаты, контент сайта), готовим файлы, имитирующие вредоносное ПО.

3 Этап

Проведения тестов
Проводим атаки на сотрудников на основе данных предыдущего этапа.

Результаты проекта

Полученную информацию вносим в отчет о тесте на проникновение. В результате Заказчик получает информацию о пользователях, которые перешли на фишинговый сайт и ввели данные.

Напишите нам, чтобы получить консультацию по вопросам социальной инженерии
и мы свяжемся с вами в течение 30 мин
Оставьте заявку
Заполните форму
и наш специалист свяжется с вами


    Thanks
    Your application has been accepted, we will contact you within 30 minutes