Penetrační testy odolnosti uživatelů využívají metod sociálního inženýrství a jsou zaměřeny na praktické testování uživatelů a jejich povědomí o informační a kybernetické bezpečnosti. Cílem není testování technických opatření, ale samotných uživatelů, zda podlehnou simulovanému útoku nebo se naopak zachovají obezřetně.
• E-mailový test – Phishing
• Telefonický test – Vishing
• Cílený test – Spear phishing
• Aktivní test fyzické bezpečnosti
• Pasivní test fyzické bezpečnosti
Cílem testování je prověřit úroveň bezpečnostního povědomí uživatelů a přimět je sdělit citlivé informace nebo vykonat nebezpečnou akci. V rámci testu budou na vybrané e-mailové adresy směrovány podvodné kampaně, útoky dle předem schválených scénářů. Scénáře budou přizpůsobeny požadavkům zákazníka a mohou obsahovat i škodlivý balíček simulující malware, odkaz na zákeřný webový portál apod.
Podkladem testu jsou telefonní čísla veřejně dostupná na internetu, sdělená zadavatelem nebo přímo získaná samotným testerem. Na tyto číslo jsou pak vedeny podvodné telefonické hovory, útoky s cílem přesvědčit uživatele vyzradit citlivé informace nebo ho přimět k aktivní spolupráci a spuštění aplikace simulující škodlivý software.
Spear phishing představuje cílený phishingový útok na předem vytipované osoby. Cílený test tak může být zaměřen na vrcholové manažery nebo doménové administrátory, kteří mohou v případě bezpečnostního selhání zásadně ovlivnit chod celé organizace. Test je navíc rozšířen o podrobnou analýzu cíle, na jehož základě bude realizován scénář útoku, přesně zacílený na daného představitele.
Základem testu je pokus o fyzický průnik neautorizované osoby do vnitřních prostor organizace, které jsou v běžném režimu veřejnosti nepřístupné. V případě úspěšného vstupu pak může test pokračovat snahou o přístup k informačním systémům, uživatelským stanicím nebo jiným citlivým zdrojům.
V rámci testu jsou ve vybraných lokalitách umístěny USB flash disky s potenciálně nebezpečným obsahem. Cílem testu je sledovat a vyhodnotit chování uživatelů. Zda nalezený disk správně označí za podezřelý a odevzdají dle interní směrnice nebo se pokusí disk zapojit a prohlédnout si obsah, případně dokonce spustit potenciálně škodlivou aplikaci.
Víte, že pro úspěšný průnik do vaší interní sítě stačí jediná oběť, která útočníkovi podlehne? Zamyslete se nad tím, zda byste vy nebo vaši kolegové použité metody útočníka včas odhalili. Nechat se nachytat v simulovaném útoku nemá žádný vliv na fungování firmy, ale má vysoký edukativní účinek pro všechny účastníky.