Egyszerűsített nézet TELJES NÉZET

Social engineering vizsgálat és biztonságtudatossági audit
(Phishing, adathalászat szimuláció, Human Hacking)

Számos gazdasági szervezet és egyéb intézmény szenved hiányosságokban kibervédelmi technológiák alkalmazása terén. Ezek százalékos aránya viszont eltörpül azon munkahelyek mellett, ahol a munkavállalók nincsenek tisztában az aktuális kiberfenyegetésekkel, ezzel veszélybe sodorva az adatok és számos személy biztonságát.

Kihasználható pszichológiai jellemvonások

A magánszemélyek és cégek ellen elkövetett kibertámadások jelentős része nem valamilyen sérülékenység, hanem két általános emberi jellemvonás kihasználásával kerül megvalósításra.

Az egyik ilyen jellemvonás a segítőkészség, ami bizonyos környezetekben (például munkahely) akkor is megmutatkozik, ha maga az illető a hétköznapi életben nem az; valamint a konfliktuskerülés, ami miatt a legtöbb ember inkább nem kérdez, nem kifogásol, hanem teszi, amit mondanak neki.

Ez a két, elsőre ártalmatlannak tűnő jellemvonás viszont cégeket és embereket tehet tönkre pillanatok alatt. Éppen ezért nagyon fontos, hogy alaposan megvizsgáljuk az érintettek tudatosságát és gyanakvását bizonyos szituációkban.

Social engineering módszerek

Vizsgálataink során számos módszert alkalmazhatunk a munkavállalók biztonságtudatosságának vizsgálatára. Ezek során személyenként vagy csoportosan célozzuk azokat a munkavállalókat, akik érzékeny adatokhoz férhetnek hozzá, vagy közvetítésükkel olyan embereket érhetünk el, akik szintén információkkal szolgálhatnak a szervezet technikai vagy üzleti adatairól:

Adatgyűjtés: Az adatgyűjtés során Open Source Intelligence és Social Media Intelligence módszerekkel, publikus forrásokból gyűjtünk össze minden olyan információt, amihez a törvény keretein belül hozzáférhetünk. Ezzel megismerhetjük a munkavállalók általános adatait, szokásait, vágyait és minden olyan környezeti információt, amik segíthetnek egy támadót a behatolásban.


E-mailes adathalászat: Célzottan egy-egy munkavállalónak, vagy nagyobb csoportoknak olyan megtévesztő e-mailt küldünk, amiben valamilyen újonnan belépett IT-s kollégának, vagy szolgáltatói szupportnak adjuk ki magunkat, és olyan információkat vagy közreműködést kérünk, amikkel belépési azonosítókhoz és egyéb részletekhez juthatnánk hozzá. A módszeren belül tovább specifikálhatjuk, kik legyenek a célszemélyek – például véletlenszerűen választott (phishing) alkalmazottakat, de akár vezetői beosztású (whaling) munkavállalókat is célozhatunk.


Telefonos adathalászat: A telefonos módszer során (magunkat újonnan belépő helpdesk kollégának kiadva) megkérdezzük a munkavállalótól a céges AD/LDAP fiókjának belépési adatait, vagy elhitetjük vele, hogy egy érzékeny tartalmú és fontos utasításokat tartalmazó e-mailt fog hamarosan kapni, amit megelőz egy e-mailben kiküldött kód telefonos felolvasása is. Mivel utóbbi egy interaktívabb folyamat, a munkavállaló a gyanakvás helyett arra fog figyelni, hogy ne hibázza el a kért lépések megtételét.


Adathalász pendrive: A szervezetet képviselő ügyfél egy „gazdátlan pendrive” adathordozót helyez el a munkahely egy, minden munkavállaló számára jól látható részén. A pendrive-on egy általunk készített, Word-dokumentumnak tűnő alkalmazás van elhelyezve, ami begyűjti az azt megnyitó munkaállomás nevét, felhasználónevét, valamint a lokális IP-címét, amit elküld a vállalkozásunk központi evidenciagyűjtőjének. A cél, hogy kiderüljön, ki nyitotta meg az ellenőrizetlen adathordozót.

Biztonságtudatossági oktatás

A social engineering vizsgálat során fény derül azokra a (munkavállalói, vezetői, stb.) biztonságtudatossági hiányosságokra, amiknek kihasználásával a szervezet végül kiberbiztonsági indicensben lehet érintett.

Az eredmények kiértékelésével olyan oktatási tematikát állítunk össze, amik maximalizálhatják a szervezet felkészültségét még az aktív támadások esetén is.

Kiderítjük, kik a gyenge láncszemek a cégénél!

A Makay.net munkatársai számos olyan adathalász és egyéb social engineering módszert sajátítottak el az évek folyamán, aminek a legtöbb esetben még az informatikában jártas emberek is bedőlnek. Vajon az Ön cégében kik lesznek azok, akiket sikeresen átverünk és akik gyanakvás nélkül adnak át számunkra érzékeny információkat?

Kattintson az Árajánlat gombra, mi pedig további részletekkel és segítséggel szolgálunk a témával kapcsolatban!

Kiberfenyegetési riasztások – Cyber Threat Intelligence IT biztonsági tanácsadás és oktatás vállalkozások számára Incidensek vizsgálata, nyomelemzés és intézkedési terv Adathalászat, internetes csalás és adatszivárgás bejelentése
Árajánlat
A Makay.net böngészősütiket (cookie-kat) szeretne használni a felhasználói elégedettség fokozására és látogatási mérésekre. Adatvédelmi tájékoztató