Na czym polegają testy socjotechniczne?
Coraz częściej słyszysz pewnie w sieci o dodatkowym wariancie testów bezpieczeństwa przeprowadzanych przez dostawców – mianowicie chodzi o testy socjotechniczne. Czy wiesz na czym one polegają i dlaczego mocno rozważyć należy ich przeprowadzenie? W trakcie testów socjotechnicznych do bezpieczeństwa podchodzimy z nieco innej strony; nie skupiamy się bowiem na próbie przełamania zabezpieczeń systemów teleinformatycznych, a za cel bierzemy sobie wejście do Twoich systemów, pozyskanie albo usunięcie Twoich danych, ale poprzez użycie Twoich pracowników. Jakiś środków możemy użyć? Czego możemy próbować? M.in. są to:
  1. Próby nakłonienia Twoich pracowników/klientów na odpowiednio spreparowane strony www łudząco przypominające adres Twojej witryny/sklepu
  2. Rozmowy telefonicznie z Twoimi pracownikami (możemy udawać pracownika Twojego Sekcji IT, który będzie nakłaniał kogoś na do wejścia i zalogowania się na „nowy adres poczty e-mail”, w innym wariancie możemy udawać nowego pracownika zatrudnionego do Działu X, który jest wystraszony i prosi o pomoc – trudno takiej osobie odmówić)
  3. Pozostawienie urządzeń zbierających informacje w Twoim biurze/salce do spotkań (możemy udawać potencjalnego klienta i po spotkaniu pozostawimy podsłuch, urządzenie serwujące spreparowaną sieci WiFi).
  4. Podrzucenie odpowiednio przygotowanego pendrive’a ze złośliwym oprogramowaniem – może być wysłany kanałem oficjalnym (jako nośnik reklamy jakiejś firmy), albo też możemy podrzucić pendrive w siedzibie Twojej firmy (wówczas będzie na nich naklejka z napisem – premie za 2 kwartał, albo zwolnienia po wakacjach).
  5. Fałszywe wiadomości e-mail/SMS podszywające się pod numery innych osób i nakłaniające Twoich pracowników do wykonania określonej operacji.
  6. Próby wejściu do budynku Twojej firmy i miejsc do których normalnie nie powinniśmy mieć dostępu.
  7. Rozmowy/interakcje z Twoimi pracownikami (możemy udawać np. osobę zainteresowaną podjęciem pracy w Twojej spółce).
  8. Próby pozyskania sprzętu/nośników danych z Twojego miejsca pracy.
  9. Wiele, wiele innych
Zakres dostosowujemy do wymagań i celu postawionego przez klienta. Czemu takie ataki bywają skuteczne? Podczas ich przeprowadzania stosujemy metody wykorzystujące psychologię społeczną a wśród niej:
  1. regułę wzajemności (za otrzymane dobro muszę się odwdzięczyć)
  2. regułę sympatii (potrafimy wzbudzić zaufanie)
  3. wpływ autorytetu (możemy udać osoby na wysokich stanowiskach)
  Choć z początku takie testy mogą się wydawać nieco nieetyczne – nie ma nic złego w ich przeprowadzeniu, nie przekraczamy pewnych sztywno wyznaczonych granic. Kogo powinniśmy testować? Zarówno naszych pracowników jak i współpracowników. Celem przeprowadzenia takich testów podpisujemy stosowane umowy chroniące nasze jak i Państwa interesy. Dobrym posunięciem jest po takich testach jest przeprowadzenie ukierunkowanego szkolenia dla pracowników, na którym nie będziemy piętnować konkretnych osób, a wskażemy jakiego rodzaju problemy zostały odnalezione i dlaczego udało się nam do nich doprowadzić. Szkolenia na konkretnych przykładach są bardzo efektywne – i powodują, że Twoi pracownicy chętnie się w nie włączą i będą w nich aktywnie uczestniczyć.  

Masz pytania lub chcesz z nami współpracować?