Kiszervezett informatikai biztonság A Microsoft 38 terabájtnyi szenzitív adatot szivárogtatott ki egy rosszul konfigurált Azure tárolóval CVSS: Common Vulnerability Scoring System Sérülékenységvizsgálat, penetrációs teszt és red teaming jellemzői Session Hijacking sérülékenység javítása, megelőzése Kövessen Minket LinkedInen is!

Social engineering vizsgálat, audit és biztonságtudatossági oktatás
(Phishing, adathalászat szimuláció, human hacking, no-tech hacking)

Számos gazdasági szervezet és egyéb intézmény szenved hiányosságokban kibervédelmi technológiák alkalmazása terén. Ezek százalékos aránya viszont eltörpül azon munkahelyek mellett, ahol a munkatársak nincsenek tisztában az aktuális kiberfenyegetésekkel, ezzel veszélybe sodorva az adatok és számos személy biztonságát.

A tapasztalatok azt mutatják, hogy a személyes, üzleti és egyéb titkos adatok felett rendelkező munkatársak az esetek jelentős többségében még az általános veszélyforrásokkal sincsenek tisztában és/vagy nem tekintenek magukra potenciális célpontként.

A gyakorlatban ez azt jelenti, hogy ezek a munkatársak gyanútlanul kattintanak rá e-mail csatolmányokra, linkekre, adják meg ellenőrizetlen helyeken a belépési azonosítóikat, töltenek le és futtatnak kártékony kódokat és csatlakoztatnak munkaállomásukhoz ismeretlen pendrive-okat.

Kihasználható pszichológiai jellemvonások

A magánszemélyek és cégek ellen elkövetett kibertámadások jelentős része nem valamilyen szoftveres sérülékenység, hanem két általános emberi jellemvonás kihasználásával kerül megvalósításra.

Az egyik ilyen jellemvonás a segítőkészség, ami bizonyos környezetekben (például munkahely) akkor is megmutatkozik, ha maga az illető a hétköznapi életben nem az; valamint a konfliktuskerülés, ami miatt a legtöbb ember inkább nem kérdez, nem kifogásol, hanem azt teszi, amit mondanak neki.

Ez a két, elsőre ártalmatlannak tűnő jellemvonás viszont cégeket és embereket tehet tönkre pillanatok alatt. Éppen ezért nagyon fontos, hogy alaposan megvizsgáljuk az érintettek tudatosságát és gyanakvását bizonyos szituációkban.

OTP Bank adathalász képernyő

Social engineering módszerek

Vizsgálataink során számos módszert alkalmazhatunk a munkavállalók biztonságtudatosságának vizsgálatára. Ezek során személyenként vagy csoportosan célozzuk azokat a munkavállalókat, akik érzékeny adatokhoz férhetnek hozzá, vagy közvetítésükkel olyan embereket érhetünk el, akik szintén információkkal szolgálhatnak a szervezet technikai vagy üzleti adatairól:

Adatgyűjtés, felderítés

Előkészítés,datgyűjtés, felderítés

Az adatgyűjtés során Open Source Intelligence és Social Media Intelligence módszerekkel, publikus forrásokból gyűjtünk össze minden olyan információt, amihez a törvény keretein belül hozzáférhetünk. Ezzel megismerhetjük a munkavállalók általános adatait, szokásait, érdeklődési köreit és minden olyan környezeti információt, amik segíthetnek egy támadót a behatolásban. A megszerzett információkból aztán szervezetre szabott „támadási” stratégiát dolgozunk ki.

E-mailes, üzenetes adathalászat

E-mailes, üzenetes adathalászat

Célzottan egy-egy munkavállalónak, vagy nagyobb csoportoknak olyan megtévesztő e-mailt küldünk, amiben segítséget, vagy közreműködést kérünk az auditált személyektől, azt vizsgálva, hajlandóak lennének-e megadni számunkra érzékeny szervezeti adatokat. A módszeren belül tovább specifikálhatjuk, hogy milyen mélységű módszerrel vizsgáljunk és hogy kik legyenek a célszemélyek – például véletlenszerűen választott alkalmazottakat (phishing), de akár vezetői beosztású (whaling) munkavállalókat is célozhatunk.

Telefonos adathalászat

Telefonos és SMS-es adathalászat

A telefonos módszer során (magunkat újonnan belépő helpdesk kollégának kiadva) megkérdezzük a munkavállalótól a céges AD/LDAP fiókjának belépési adatait, vagy elhitetjük vele, hogy egy érzékeny tartalmú és fontos utasításokat tartalmazó e-mailt fog hamarosan kapni, amit megelőz egy e-mailben kiküldött kód telefonos felolvasása is. Mivel utóbbi egy interaktívabb folyamat, a munkavállaló a gyanakvás helyett arra fog figyelni, hogy ne hibázza el a kért lépések megtételét.

Adathalász, fertőzött pendrive

Preparált pendrive és töltőkábel

A szervezetet képviselő ügyfél egy „gazdátlan pendrive” adathordozót, vagy töltőkábelt helyez el a munkahely egy, minden munkavállaló számára jól látható részén. Az eszközön egy általunk készített, Word-dokumentumnak tűnő alkalmazás, vagy automatikusan lefutó szkript van elhelyezve, ami begyűjti az azt megnyitó munkaállomás nevét, felhasználónevét, valamint a lokális IP-címét, amit elküld a vállalkozásunk központi evidenciagyűjtőjének. A cél, hogy kiderüljön, a munkavállalók hajlandóak-e ismeretlen pendrive-ok csatlakoztatására és tartalmának megtekintésére.

Windows 10 adathalász képernyő

Biztonságtudatossági oktatás

A social engineering vizsgálat során fény derül azokra a (munkavállalói, vezetői, stb.) biztonságtudatossági hiányosságokra, amiknek kihasználásával a szervezet végül kiberbiztonsági indicensben lehet érintett.

Az eredmények kiértékelésével olyan oktatási tematikát állítunk össze, amik maximalizálhatják a szervezet felkészültségét még az aktív támadások esetén is.

Kiderítjük, kik a gyenge láncszemek a cégénél!

A Makay Kiberbiztonsági Kft. munkatársai számos olyan adathalász és egyéb social engineering módszert sajátítottak el az évek folyamán, aminek a legtöbb esetben még az informatikában jártas emberek is bedőlnek. Vajon az Ön cégében kik lesznek azok, akiket sikeresen átverünk és akik gyanakvás nélkül adnak át számunkra érzékeny információkat?

Kattintson az Árajánlat gombra, mi pedig további részletekkel és segítséggel szolgálunk a témával kapcsolatban!

Sérülékenységvizsgálat, penetrációs teszt, red teaming szolgáltatás Incidensek vizsgálata, nyomelemzés és intézkedési terv Kiberfenyegetési riasztások – Cyber Threat Intelligence IT biztonsági tanácsadás és oktatás vállalkozások számára Adathalászat, internetes csalás és adatszivárgás bejelentése
Árajánlat