Әлеуметтік инженерия

Әлеуметтік инженерия-адам психологиясының ерекшеліктеріне негізделген шабуылдаушының ақпарат алу әдісі. Әлеуметтік инженерияның негізгі мақсаты – құпия ақпаратқа, құпия сөздерге, банктік деректерге және Тапсырыс берушінің басқа да қорғалған жүйелеріне қолжетімділік. Бұл шабуыл векторы компания қызметкерлерінің ақпараттық қауіпсіздік мәселелерінде нашар хабардар болуына байланысты өзекті болып қала береді.

Шабуыл векторлары
Phishing
Авторландыру үшін АЖ-ге және деректерге қол жеткізу үшін фишингтік сайттарды және/немесе пайдалы жүктемесі бар тіркемелерді пайдалана отырып, мессенджерлерде және корпоративтік чаттарда хаттарды, хабарламаларды жіберу;
Vishing
телефон қоңырауларын қолданатын әлеуметтік инженерия
Impersonation
ақпаратты барлау, АЖ, ДБҚЖ қол жеткізу және т.б., бағдарламалық және/немесе аппараттық құрылғыларды жеткізу мақсатында «қаскүнем» өзін басқа тұлға (әкімші, жеткізуші, күзетші, аудитор және т.б.) ретінде көрсетеді
Smishing
смс және мүмкіндігінше нөмірді ауыстыру арқылы фишинг.
Тестілеу әдістері
  1. Әлеуметтік инженерия сыртқы/ішкі пентесттің бір бөлігі ретінде пайдаланылуы мүмкін (тест нәтижесінде алынған деректер сыртқы/ішкі тестілеу шеңберінде қолданылуы мүмкін). Бұл әдіс аңыз құрастыруды, шабуылды жүргізудің оңтайлы арналары мен тәсілдерін таңдауды көздейді. Шабуыл тәсілдерін орындаушы тестілеудің түрлі кезеңдерінде алынған ақпаратқа сүйене отырып, өз қалауынша анықтайды (жұмысты бастамас бұрын жоспар Тапсырыс берушімен келісіледі). Әлеуметтік тестілеудің негізгі мақсаты — Тапсырыс берушінің мақсатты жүйелеріне ену үшін қажетті деректерді алу.
  2. Әлеуметтік инженерия тек қызметкерлердің ақпараттық қауіпсіздік саласындағы хабардарлығын бағалау әдісі ретінде қолданылады. Бұл жағдайда қызметкерлердің әртүрлі шабуыл сценарийлеріне реакциясы туралы статистикалық деректер жиналады (шабуыл әрі қарай дамытылмайды). Әдіс әлеуметтанулық зерттеу жүргізуді, яғни Тапсырыс беруші қызметкерлерінің ықтимал зиянкес тарапынан әртүрлі ықпал ету әдістеріне қалай әрекет ететінін анықтауды көздейді.
Жобаның кезеңдері
1 кезең

Мекенжайлар тізімін келісу

Тапсырыс берушімен біз шабуыл объектілерінің мекенжайларының тізімін, қызметкерлердің ТАӘ мен лауазымын келісеміз.

2 кезең

Аңыз құрастыру

«Сыртқы/ішкі енуге тестілеу» кезеңдерінде алынған ақпарат негізінде шабуылды жүргізудің ең оңтайлы арналарының тізімі жасалады:

– зиянды БҚ алдамшы тіркемелері бар (Word, EXE, PDF файлдары) хаттарды email- тарату;

– фишингтік веб-сайтқа сілтеме бар электрондық хаттарды email-тарату.

Тапсырыс берушінің ресурстарына ұқсас web-ресурстар (DNS-атау, SSL-сертификаттар, сайттың контенті) жасалады, зиянды БҚ еліктейтін файлдар дайындалады.

3 кезең

Тесттер өткізу

Біз алдыңғы кезеңнің деректері негізінде қызметкерлерге шабуыл жасаймыз.

Жоба нәтижелері

Алынған ақпаратты ену сынағы туралы есепке енгіземіз. Нәтижесінде Тапсырыс беруші фишингтік сайтқа өтіп, деректерді енгізген пайдаланушылар туралы ақпарат алады.

Әлеуметтік инженерия бойынша кеңес алу үшін бізге жазыңыз
және біз сізбен 30 минут ішінде байланысамыз

Leave a request
Пішінді толтырыңыз, біздің маман сізбен байланысады


    Thanks
    Your application has been accepted, we will contact you within 30 minutes