Социальная инженерия

Социальная инженерия – метод получения информации злоумышленником, основанный на особенностях психологии людей. Основная цель социальной инженерии – получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам заказчика. Этот вектор атаки остается актуальным в связи с плохой осведомленностью сотрудников компании в вопросах информационной безопасности.

Векторы атак:

  • phishing — рассылка писем, сообщений в мессенджерах и корпоративных чатах с использованием фишинговых сайтов и/или вложений с полезной нагрузкой для получения доступа к ИС и данных для авторизации;
  • vishing — социальная инженерия с использованием телефонных звонков;
  • impersonation —  «злоумышленник» выдает себя за другую персону (админ, доставщик, охранник, аудитор, etc…) с целью разведать информацию; получить доступ к ИС, СКУД и пр.; доставить программные и/или аппаратные закладки;
  • smishing — фишинг с использованием смс и возможной подменой номера.

Методы тестирования:

  1. Социальная инженерия может быть использована как часть внешнего/внутреннего тестирования на проникновение (данные, полученные в результате тестов, могут быть использованы в рамках внешнего/внутреннего теста на проникновение). Этот метод подразумевает проработку легенды, выбор оптимальных каналов проведения атаки на усмотрение Исполнителя исходя из данных, полученных на различных этапах теста на проникновение (перед началом работ план согласуется с Заказчиком). При этом цель социального тестирования в  получении данных для проникновения к целевым системам заказчика.
  2. Социальная инженерия используется только как метод оценки осведомленности сотрудников в вопросах информационной безопасности, в этом случае будут собраны статистические данные о реакции сотрудников на различные сценарии атак (развитие атаки при этом не осуществляется). Метод подразумевает проведение социотехнического исследования, с целью определения реакции сотрудников заказчика на те или иные методы воздействия со стороны потенциального злоумышленника.

Напишите нам, чтобы получить консультацию по вопросам социальной инженерии, и мы свяжемся с вами в течение 30 мин.

Заполнить

ОБЩИЙ ПЛАН ПРОЕКТА

  • 1 Этап
    Согласование списка адресов

    С заказчиком согласуем списки адресов объектов атаки, Ф.И.О. и должности сотрудников.

  • 2 Этап
    Проработка легенды

    На основе информации, полученной на этапах «Внешний\внутренний тест на проникновение» формируем перечень наиболее оптимальных каналов проведения атаки:
    ― email-рассылка писем с имитирующими вредоносное ПО вложениями (word, exe-файлы, pdf-файлы);
    ― email-рассылка писем со ссылкой на фишинговый веб-сайт;
    Создаем web-ресурсы, имитирующие ресурсы заказчика (DNS-имя, SSL-сертификаты, контент сайта), готовим файлы, имитирующие вредоносное ПО.

  • 3 Этап
    Проведения тестов

    Проводим атаки на сотрудников на основе данных предыдущего этапа.

РЕЗУЛЬТАТЫ ПРОЕКТА

Полученную информацию вносим в отчет о тесте на проникновение. В результате Заказчик получает информацию о пользователях, которые перешли на фишинговый сайт и ввели данные.

Заинтересованы в услуге? Напишите нам!