Súlyos sebezhetőségre figyelmeztet a Fortinet Orosz állami hackerek forráskódokat lophattak el a Microsofttól Mi az a Ransomware-as-a-Service? 110 milliós bírságot kapott a KRÉTA meghekkelt fejlesztője Szoftverengedélyezési folyamat – Kiberbiztonsági ellenőrzőlista Letartóztatták a LockBit néhány tagját, kiadtak egy dekriptáló szoftvert Broken Object Level Authorization sérülékenység javítása, megelőzése A titkosított Signal üzenetküldő bevezetet a felhasználóneveket Információbiztonság vs. kiberbiztonság Felhőalapú kiberbiztonsági tanácsadás és audit Kiberbiztonsági partnerprogram CVSS: Common Vulnerability Scoring System Sérülékenységvizsgálat, penetrációs teszt és red teaming jellemzői Session Hijacking sérülékenység javítása, megelőzése Kövessen Minket LinkedInen is!

Biztonságtudatossági oktatás
és etikus social engineering vizsgálat

Számos szervezet szenved hiányosságokban kibervédelmi technológiák alkalmazása terén. Ezek százalékos aránya viszont eltörpül azon munkahelyek mellett, ahol a munkatársak nincsenek tisztában az aktuális kiberfenyegetésekkel, ezzel veszélybe sodorva az adatok és számos személy biztonságát.

A gyakorlatban ez azt jelenti, hogy ezek a munkatársak gyanútlanul kattintanak rá e-mail csatolmányokra, linkekre, adják meg ellenőrizetlen helyeken a belépési azonosítóikat, töltenek le és futtatnak kártékony kódokat, csatlakoztatnak munkaállomásukhoz ismeretlen pendrive-okat, vagy végeznek el banki utalásokat hitelesnek tűnő, de valójában hamis PDF számlákban található számlaszámokra.

OTP Bank adathalász képernyő

Social engineering módszerek

Vizsgálataink során az ügyfél kérésének, választásainak megfelelően számos módszert alkalmazhatunk a munkavállalók biztonságtudatosságának vizsgálatára. Ezek során személyenként vagy csoportosan célozzuk azokat a munkavállalókat, akik érzékeny adatokhoz férhetnek hozzá, vagy közvetítésükkel olyan embereket érhetünk el, akik szintén információkkal szolgálhatnak a szervezet technikai vagy üzleti adatairól:

Adatgyűjtés, felderítés

Előkészítés, információgyűjtés

Az adatgyűjtés során Open Source Intelligence és Social Media Intelligence módszerekkel, publikus forrásokból gyűjtünk össze minden olyan információt, amihez a törvény keretein belül hozzáférhetünk. Ezzel megismerhetjük a munkavállalók általános adatait, szokásait, érdeklődési köreit és minden olyan környezeti információt, amik segíthetnek egy támadót a behatolásban. A megszerzett információkból aztán szervezetre szabott „támadási” stratégiát dolgozunk ki.

E-mailes, üzenetes adathalászat

E-mailes, üzenetes adathalászat

Célzottan egy-egy munkavállalónak, vagy nagyobb csoportoknak olyan megtévesztő e-mailt küldünk, amiben segítséget, vagy közreműködést kérünk az auditált személyektől, azt vizsgálva, hajlandóak lennének-e megadni számunkra érzékeny szervezeti adatokat. A módszeren belül tovább specifikálhatjuk, hogy milyen mélységű módszerrel vizsgáljunk és hogy kik legyenek a célszemélyek – például véletlenszerűen választott alkalmazottakat (phishing), de akár vezetői beosztású (whaling) munkavállalókat is célozhatunk.

Telefonos adathalászat

Telefonos, SMS-es adathalászat

A telefonos módszer során (magunkat újonnan belépő helpdesk kollégának kiadva) megkérdezzük a munkavállalótól a céges AD/LDAP fiókjának belépési adatait, vagy elhitetjük vele, hogy egy érzékeny tartalmú és fontos utasításokat tartalmazó e-mailt fog hamarosan kapni, amit megelőz egy e-mailben kiküldött kód telefonos felolvasása is. Mivel utóbbi egy interaktívabb folyamat, a munkavállaló a gyanakvás helyett arra fog figyelni, hogy ne hibázza el a kért lépések megtételét.

Adathalász, fertőzött pendrive

Preparált pendrive és töltőkábel

A szervezetet képviselő ügyfél egy „gazdátlan pendrive” adathordozót, vagy töltőkábelt helyez el a munkahely egy, minden munkavállaló számára jól látható részén. Az eszközön egy általunk készített, Word-dokumentumnak tűnő alkalmazás, vagy automatikusan lefutó szkript van elhelyezve, ami begyűjti az azt megnyitó munkaállomás nevét, felhasználónevét, valamint a lokális IP-címét, amit elküld a vállalkozásunk központi evidenciagyűjtőjének. A cél, hogy kiderüljön, a munkavállalók hajlandóak-e ismeretlen pendrive-ok csatlakoztatására és tartalmának megtekintésére.

Dumpster diving, fizikai audit

Fizikai védelmi intézkedések

A fizikai behatolás során szakértőink megpróbálnak valamilyen legitimnek tűnő indokkal bejutni a vizsgált szervezet irodájába és szervertermeibe, hogy onnan bizonyítékokat gyűjthessenek be annak igazolására, miszerint a szervezet fizikai védelmi megoldásai és intézkedései továbbfejlesztésre szorulnak. Ide tartozik továbbá az úgynevezett dumpster diving (kukabúvárkodás), ami alatt a vizsgált szervezet szemeteseinek átvizsgálása értendő. Olyan papírok és adathordozók begyűjtése a cél, amelyek valamilyen szenzitív információt tartalmaznak.

Dumpster diving, fizikai audit

Dokumentumhitelesség, BEC

Manapság az egyik legelterjedtebb támadási forma az úgynevezett „Business Email Compromise (BEC)”, amely során a támadók kompromittálják a vizsgált szervezet és a partnerei/ügyfelei közötti kommunikációt, hogy valamelyik fél olyan számlát/díjbekérőt kapjon, amin már nem az eredeti, hanem a támadók számlaszáma legyen megtalálható. Így a kifizetés végül a támadókhoz érkezik. Ennek megelőzésére a dokumentumok hivatalos(!) tanúsítvánnyal való digitális aláírása a leginkább megfelelő, de sok munkatárs nincs tisztában ennek működésével és ellenőrzésével.

Kihasználható pszichológiai jellemvonások

A magánszemélyek és cégek ellen elkövetett kibertámadások jelentős része nem valamilyen szoftveres sérülékenység, hanem két általános emberi jellemvonás kihasználásával kerül megvalósításra.

Az egyik ilyen jellemvonás a segítőkészség, ami bizonyos környezetekben (például munkahely) akkor is megmutatkozik, ha maga az illető a hétköznapi életben nem az; valamint a konfliktuskerülés, ami miatt a legtöbb ember inkább nem kérdez, nem kifogásol, hanem azt teszi, amit mondanak neki.

Ez a két, elsőre ártalmatlannak tűnő jellemvonás viszont cégeket és embereket tehet tönkre pillanatok alatt. Éppen ezért nagyon fontos, hogy alaposan megvizsgáljuk az érintettek tudatosságát és gyanakvását bizonyos szituációkban.

Windows 10 adathalász képernyő

Biztonságtudatossági oktatás

A social engineering vizsgálat során fény derül azokra a (munkavállalói, vezetői, stb.) biztonságtudatossági hiányosságokra, amiknek kihasználásával a szervezet végül kiberbiztonsági indicensben lehet érintett.

Az eredmények kiértékelésével olyan oktatási tematikát állítunk össze, amik maximalizálhatják a szervezet felkészültségét még az aktív támadások esetén is. Az oktatás tartalmát a szervezet szerepköreinek megfelelően, szeparáltan alakítjuk ki, így minden munkatárs kifejezetten a feladatainak megfelelő védelmi ismeretekben részesül.

Kiderítjük, kik a gyenge láncszemek a cégénél!

A Makay Kiberbiztonsági Kft. munkatársai számos olyan adathalász és egyéb social engineering módszert sajátítottak el az évek folyamán, aminek a legtöbb esetben még az informatikában jártas emberek is bedőlnek. Vajon az Ön cégében kik lesznek azok, akiket sikeresen átverünk és akik gyanakvás nélkül adnak át számunkra érzékeny információkat?

Kattintson az Árajánlat gombra, mi pedig további részletekkel és segítséggel szolgálunk a témával kapcsolatban!

Sérülékenységvizsgálat, penetrációs teszt, red teaming szolgáltatás Incidensek vizsgálata, nyomelemzés és intézkedési terv Kiberfenyegetési riasztások – Cyber Threat Intelligence IT biztonsági tanácsadás és oktatás vállalkozások számára Adathalászat, internetes csalás és adatszivárgás bejelentése
Árajánlat