Социальная инженерия в рамках пентеста

Мы предлагаем:

  • Проведение имитационной атаки (пентеста) методами социальной инженерии
  • Проверку сотрудников на готовность к хакерским атакам
  • Составление плана по обеспечению защиты от атак злоумышленниками
  • Разработку плана обучения по повышению осведомлённости сотрудников
  • Подготовку штата к атакам методами социальной инженерии

Вы получаете:

  • Значительное снижение риска утечек конфиденциальной информации
  • Увеличение компетентности сотрудников при хакерских атаках
  • Материалы и план для обучения новых сотрудников методам защиты от социальной инженерии

Важно:

Абсолютное большинство краж конфиденциальной информации на данный момент происходит именно из-за атак с использованием методов социальной инженерии. Тестирование на готовность к таким посягательствам и надлежащее обучение всего штата — одна из важнейших задач службы информационной безопасности и руководства предприятия.

Социальная инженерия в рамках пентеста - услуги RTM Group
Социальная инженерия в рамках пентеста - от RTM Group
А Ваши сотрудники распознают "инженеров"?

Эксперты по пентесту методами социальной инженерии

Эксперт по пентесту методами социальной инженерии Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по пентесту методами социальной инженерии Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты

Социальная инженерия: имитация атаки и защита от RTM Group

Даже самая безопасная и устойчивая к атакам информационная система под угрозой, пока существует человеческий фактор. “Черные хакеры” (специалисты в сфере кибербезопасности, использующие свои навыки в противоправных целях) давно поняли, что вместо того чтобы искать уязвимости в коде и техническом обеспечении цели, гораздо эффективнее использовать неосведомлённость и неосторожность людей.

В большинстве информационных систем самым уязвимым звеном является человеческий фактор. На него и приходится львиная доля успешных атак злоумышленников. А методы, которые подразумевают несанкционированный доступ к закрытой информации с помощью эксплуатации человеческих слабостей, называются “социальная инженерия”.

Эксперты компании RTM Group готовы помочь Вам обезопасить предприятие от атак с использованием методов социальной инженерии.

Профессионалы с опытом от 10 лет проведут анализ уязвимых аспектов защиты данных в компании, дадут необходимые рекомендации, а по вашему запросу – проведут имитационную атаку (pentest), которая позволит наиболее точно оценить положение дел и принять соответствующие меры (гарантируем конфиденциальность ваших данных и их нераспространение третьим лицам).

 

Эксперты RTM Group готовы предложить:

  1. Консультации по вопросам защиты от атак с использованием методов социальной инженерии, помощь в обучении службы безопасности и персонала, имеющему доступ к закрытым данным;
  2. Составление рекомендаций по увеличению уровня защищённости конфиденциальной информации, помощь в их реализации, оценка эффективности действующей стратегии защиты конфиденциальной информации (при наличии);
  3. Пентест — проведение имитационной атаки с методами социальной инженерии (на всё предприятия/на конкретный отдел/сотрудника). Используемые методы и предполагаемый сценарий заранее обсуждается с заказчиком.

Данная услуга подходит, если:

  • Произошла утечка конфиденциальной информации;
  • Были зафиксированы попытки кражи конфиденциальной информации;
  • Отмечен рост числа атак или попыток несанкционированного доступа к КИ;
  • Требуется узнать, насколько предприятие защищено от атак “социальных инженеров”;
  • Нужно понять, насколько хорошо штат соблюдает требования по защите информации;
  • Вы не знаете, какие именно отделы/конкретные сотрудники наиболее уязвимы для атак.
  • Вы хотите повысить общий уровень защищённости информации на предприятии;

Какие методы мы можем использовать в рамках атаки методами социальной инженерии:

  • Рассылка фишинговых писем с вредоносными ссылками (имитация адреса отправителя на усмотрение заказчика);
  • Звонки сотрудникам и попытка получения любых закрытых данных или сведений, обеспечивающих доступ к ним.
  • Создание фишингового сайта с возможностью регистрации и загрузкой вредоносного ПО (с дальнейшей рассылкой адреса сайта).
  • Физическое проникновение на территорию компании с целью получения доступа к локальной сети.
  • Прямые выходы на сотрудников с предложением подкупа за предоставляемую информацию/доступ к данным.
  • Обратная социальная инженерия.

Важно!

Все применяемые в рамках имитации атаки вредоносные ссылки, а также программное обеспечение, являются абсолютно безвредными и используются исключительно с целью сбора статистики о совершении сотрудниками небезопасных с точки зрения защиты информации действий. Все данные заказчика, которые получают эксперты в рамках имитации атаки, строго конфиденциальны и ни при каких обстоятельствах не передаются третьим лицам.

Что получает заказчик:

  1. Оценку осведомлённости и бдительности штата компании при реальных попытках кражи конфиденциальной информации;
  2. Оценку компетентности сотрудников, имеющих доступ к конфиденциальной информации или полномочия на выдачу доступа;
  3. Готовые решения от экспертов, позволяющие значительно повысить устойчивость к атакам с использованием методов социальной инженерии;
  4. Увеличение эффективности существующих внутренних регламентов по информационной безопасности или создание нового.

    Нужна консультация?

     

    Понятие, задачи и опасности социальной инженерии

    Социальная инженерия (иногда произносится как “социальный инжиниринг” от англ. “social engineering”) в контексте информационной безопасности – это способ несанкционированного получения закрытой информации или склонения к определённым действиям путём обмана или психологического манипулирования людьми. Совокупность уловок с целью сбора данных, их подделки или неправомерного доступа от традиционного «мошенничества» отличается тем, что часто является лишь одним из многих шагов в более сложной и многоступенчатой схеме.

    Пример успешного использования методов социальной инженерии

    Кража 40 миллионов долларов у компании The Ubiquiti Networks в 2015 году. Не было взломов операционной системы, никто не крал конфиденциальные данные — правила безопасности нарушили сотрудники компании. Мошенники выслали email от имени топ-менеджера и попросили перевести большую сумму денег на банковский счёт. То что это банковский счет злоумышленников, узнали уже поздно.

    Основным мотивом злоумышленников для использования методов социальной инженерии является финансовая выгода. Коммерциализация кибер-преступности приносит хакерам колоссальный объем денежных средств. Согласно данным корпорации Symantec, финансовые потери организаций и частных лиц от успешных атак злоумышленников составили в 2008 г. примерно 600 млрд. долл. Чаще всего злоумышленников интересуют пароли доступа к ИС, коммерческая и техническая информация (например, о том, как строится защита компании, политики и процедуры организации ИБ, версии используемых ПО, данные об ИТ-инфраструктуре и т. п.).

    Главными связанные с киберпреступностью риски для компаний:

    • Траты на восстановление утерянной информации и вышедшего из строя оборудования;
    • Расходы на судебные иски от клиентов, пострадавших от утечек информации;
    • Иски от регулирующих органов;
    • Снижение привлекательности от в глазах инвесторов;
    • Удар по доверию со стороны партнеров и клиентов.

    Схожим образом страдают от кибератак и частные лица. В рамках проведения исследования под названием Unisys Security Index два раза в год обновляется так называемый индекс безопасности, в основе которого лежит понимание рядовых граждан о национальной, финансовой, личной и информационной безопасности на текущий временной период.

    Организаторы очередных исследований для определения нынешнего Unisys Security Index установили, что число опрошенных, не испытывающих страха перед интернет-угрозами, примерно равно количеству людей, вообще не имеющих возможность выйти в сеть; иными словами, большинство пользователей сети Интернет понимает опасность, и прежде всего боятся утечки своих личных идентификационных данных.

    Распространённые методы социальной инженерии

    Обычно теми, кто поддается на методы социальной инженерии, движут простые человеческие качества: беспечность, наивность, жадность, страх, любопытство… Методы воздействия ограничены лишь фантазией злоумышленника, однако остановимся на самых популярных схемах криминальных “инженеров”.

    Фишинг

    Человеческий фактор: невнимательность

    Метод сбора пользовательских данных для авторизации — чаще всего это массовая рассылка писем на электронную почту. Источник письма может быть качественно замаскирован под организацию или компанию, которой вы доверяете. В письме может говорится о том, что с вашего счета списались деньги, или доступ к вашему аккаунту банка был получен доступ с другого устройства. Вам предлагают сменить пароль, вводя при этом старый. Как только выполнены все необходимые действия для обеспечения своей “безопасности”, вы попались.

    Троян

    Человеческий фактор: жадность

    Вредоносное программное обеспечение не просто так получило своё название по принципу работы троянского коня из древнегреческого мифа. Только приманкой тут будет сообщение на электронную почту, которое обещает быстрый заработок, выигрыш или другие «золотые горы» — но в результате человек устанавливает вредоносный софт, с помощью которого злоумышленники крадут его данные. Троян, как правило, замаскирован под ПО, которое с виду никак не предназначено для сбора данных.

    Кви про кво

    Человеческий фактор: доверчивость

    Или «услуга за услугу» от латинского «quid pro quo». Используя этот метод, злоумышленник представляется сотрудником службы технической поддержки или системным администратором. Он говорит о том, что в системе наблюдаются неполадки, или же ему просто надо обновить вашу операционную систему. Далее жертва сообщает ему все необходимые данные или же самолично предоставляет доступ к ПК.

    Обратная социальная инженерия

    Человеческий фактор: доверчивость и невнимательность

    Метод направлен на то, чтобы жертва сама обратилась к злоумышленнику и выдала ему необходимые сведения. Это может достигаться двумя путями:

    1. Внедрение особого ПО. Поначалу ПО работает в без сбоев, однако потом все кардинально меняется в худшую сторону. Пользователю ничего не остается как обратиться в тех. поддержку и просить вмешательства специалиста. Ситуация подстроена таким образом, чтобы тем “специалистом”, к которому обратятся за помощью, оказался злоумышленник. Налаживая работу ПО, мошенник производит необходимые для выполнения его настоящих задач действия. А когда взлом обнаруживается, в большинстве случаев социальный инженер остается вне подозрения.
    2. Реклама. Хакеры могут рекламировать товары и услуги в качестве компьютерных мастеров или других IT специалистов. Жертва звонит взломщику сама, а преступник не только работает технически, но и узнает всю необходимую информацию через общение со своим клиентом.

    Претекстинг

    Человеческий фактор: доверчивость

    Ещё один метод, к которому прибегают злоумышленники, называется претекстинг (действие, отлаженное по заранее спланированному сценарию). Чтобы завладеть вашими конфиденциальными сведениями, преступник выдает себя за знакомого или сотрудника организации, с которой вы работаете. Само собой, срочно необходима ваша информация для выполнения жизненно важной задачи.

    Мошенники представляются работниками банков, кредитных организаций, технической поддержки или даже вашим лучшим другом, членом семьи — человеком, которому вы с большей степенью доверяете. Для большей убедительности они предоставляют потенциальной жертве какую-либо информацию о ней: ваше имя, номер банковской карты, реальную проблему, с которой она обращалась в эту службу ранее.

    Самый распространённый примерчёрные «call-центры», когда заключенные под видом сотрудников крупных банков звонят гражданам и обманом заставляют перевести деньги или дать доступ к счёту. Самый громкий случай произошел в «Матросской Тишине», где мошенники обманом получили 7 миллионов рублей.

    Как избежать атак с использованием методов социальной инженерии

    По мнению специалистов Microsoft, защита от атак, основанных на методах социальной инженерии – одна из самых сложных задач обеспечения ИБ. Они говорят, что  в данном случае не помогут даже самые продвинутые программные или аппаратные средства.

    Выручит только комплексный подход. Он подразумевает работу с сотрудниками, ответственное обучение и уведомление. А в первую очередь абсолютно все, причём как частные лица, так и сотрудники организаций должны усвоить следующие правила:

    1. Сохраняйте скептицизм и будьте внимательнее. Всегда смотрите на отправителя писем и адрес сайта (возможно, это фальшивый сайт), когда собираетесь вводить какие-либо личные данные. Если это почта на домене большой организации, убедитесь, что домен именно такой, в нём нет опечаток или транслитерации (замена русских букв английскими аналогами, или наоборот). Если есть сомнения — не передавайте свои личные данные и свяжитесь с технической поддержкой или представителем организации по официальным каналам.
    2. Не работайте с важной информацией на глазах у посторонних людей. Злоумышленники могут использовать так называемый плечевой серфинг — вид социальной инженерии, когда кража конфиденциальной информации происходит прямо через плечо жертвы — конфиденциальные сведения просто подсматривают.
    3. Не переходите на сомнительные сайты и не скачивайте файлы из недостоверных источников. Помните, что один из лучших помощников адептов социальной инженерии — невнимательность и человеческое любопытство.
    4. Не пользуйтесь везде одним и тем же паролем. Никогда не ставьте одинаковые пароли для доступа к внешним и корпоративным (рабочим) ресурсам.
    5. Установите антивирус. Во всех популярных защитных комплексах есть встроенная проверка на вредоносные ресурсы. А так же ни в коем случае не пренебрегайте предупреждениями этого ПО.
    6. Ознакомьтесь с политикой конфиденциальности в вашей компании. Все сотрудники, имеющие доступ к конфиденциальной информации, должны быть проинформированы о том, как вести себя с клиентами и что делать при обнаружении незаконного проникновения.

     

    RTM Group – преимущества для Вас

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности.
    • Работа проводится экспертами, обладающими большим опытом проведения оценок соответствия по ГОСТ Р 57580 и другим стандартам.
    • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наши аудиты и проверки не сводятся к «продаже» дополнительных услуг.
    • Мы полностью независимая компания, не аффилированная ни с одним брендом или вендором.
    • Обладаем следующими лицензиями:
      • лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации;
      • лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации;
      • лицензия ФСБ России на работу со средствами криптозащиты.

    Лицензии RTM Group

    Заказать услуги по пентесту методами социальной инженерией

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Видео по пентесту методами социальной инженерии

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по пентесту методами социальной инженерии

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Социальная инженерия (email)

    Срок – от 4 недель

    от 200 000 руб.

    Расширенная социальная инженерия (email + телефон)

    Срок – от 2 недель

    от 400 000 руб.

    Полная социальная инженерия (email + телефон + очно)

    Срок – от 6 недель

    от 700 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Наш ключевой профиль

    Работы по направлению ИТ и кибербезопасности

    Нами проведено более 800 аудитов

    Сотрудники компании провели более 700 аудитов по различным критериям

    Продукты и решения для вас

    Нам доверяют

    Полезные статьи

    FAQ: Часто задаваемые вопросы

    Здравствуйте!

    Что в обязательном порядке должно быть в ТЗ на тестирование на проникновение, а что можно исключить?

    Здравствуйте!

    В техническом задании указываются цель и суть работ, области проверки, сроки и время проведения пентеста, этапы проведения пентеста и требования к составу отчета. Это основные пункты технического задания для проведения тестирования на проникновение.

    Как связаны между собой эти процедуры: пентест, анализ уязвимостей информационной безопасности объектов ИИ, анализ уязвимостей ПО?

    Пентест включает в себя анализ уязвимостей инфраструктуры – серверов, сетей, сайтов. В ходе пентеста производится не только выявление уязвимостей, но и их эксплуатация (разумеется, по согласованию с заказчиком). Помимо этого, в ходе пентеста могут проводиться сопутствующие работы, такие как социальная инженерия или анализ физической защищенности контролируемой зоны Заказчика.

    Исследование ПО на уязвимости по уровню ОУД4 – это отдельное требование 382-П и 683-П/684-П. Оно включает в себя анализ документации на программное обеспечение с расчетом потенциала злоумышленника, способного взломать приложение, и пентест самого приложения. То есть отличается от пентеста или анализа уязвимостей инфраструктуры составом работ и областью тестирования.

    Здравствуйте!

    Я использую Debian 9 чтобы на нём стоял мой сервер minecraft. И недавно, он подвергся взлому, да-да именно дедик. Они зашли на него каким то путем обхода, минуя авторизацию, так же я заметил махинации что к дедику началось около 20-и конектов и брут к sftp, хотя он у меня даже не запущен. Все логи на дедике стерты, это всё что я мог узнать.

    Я хочу чтобы вы сказали, как хакеры могли обойти систему авторизации SSH?

    Способов обхода авторизации SSH существует несколько.
    Самый актуальный — это перехват параметров подключения администратора ресурса.

    В Вашем случае, это, вероятнее всего, Вы.
    Злоумышленник (хакер) может просто подселить троян к Вам на компьютер, и перехватить вводимые Вами логин и пароль, а также украсть сертификат.

    При отсутствии сертификата наиболее распространенный способ взлома – перебор (брут) пароля. При невысокой сложности пароля и отсутствии защиты от перебора – результат для злоумышленника лишь вопрос времени.

    Это два основных способа преодолеть защиту подключения SSH.

    Здравствуйте. Я студент, учусь на специалиста по информационной безопасности, пишу курсовую на тему: “Особенности внедрения подсистем предотвращения утечек КИ в систему комплексной безоп на пп.”

    Как основную систему предотвращения утечек рассматриваю систему DLP и был бы очень благодарен, если Вы поможете с основными (общими) этапами проведения пентеста.

    Добрый день.

    DLP, как класс систем, является даже не основным, а, скорее, единственным. Просто многие продукты, позиционируемые иначе, содержат функционал DLP (например, тот же KES с возможностью блокировки флешек).

    На Вашем месте я бы сделал упор не на пентест, а на возможности интеграции DLP с другими системами безопасности — в первую очередь SIEM и AD – так как комплексная система содержится в названии работы.

    Отвечая на Ваш вопрос можно выделить (не всегда этапы таковы, но в среднем похоже):

    • инвентаризация области тестирования — сбор сведений об узлах сети, информационных системах, сетевом трафике, учетных данных и прочее — зачастую конфиденциальная информация находится уже на этом этапе в открытом доступе;
    • поиск уязвимостей — по общедоступным базам либо закрытым базам тестировщиков;
    • проверка прочности аутентификации (брутфорс);
    • попытка повышения прав доступа;
    • доступ к конфиденциальной информации.