Engenharia Social e seus objetivos
Com que facilidade seus funcionários detectariam e reagiriam adequadamente a uma exploração real de engenharia social? Só há uma maneira segura e criteriosa de descobrir: realizar um ataque simulado de engenharia social.
A engenharia social é uma técnica extremamente eficaz usada por hackers em todo o mundo para comprometer sistemas internos e ativos de informação proprietários. Na verdade, é uma das duas principais técnicas de hacking usadas por criminosos para comprometer organizações como a sua.
Com o uso de inteligência e inteligência de código aberto (OSINT) de mídias sociais ou outros sites acessíveis ao público, “engenheiros sociais” mal-intencionados tecem um pretexto convincente por telefone, e-mail ou pessoalmente – tudo com o objetivo de enganar os membros de sua equipe para que confiando neles.
Testando com segurança a prontidão da sua equipe
Colocar sua equipe em treinamento de engenharia social é uma coisa, mas testar sua conscientização fora dos módulos de treinamento é outra.
Em um teste de engenharia social, nossa equipe especializada aproveitam todos os vetores de ataque que um verdadeiro cibercriminoso usaria para enganar a administração e os funcionários. Para realmente testar a preparação da sua equipe para a segurança cibernética, podemos:
- Enviar e-mails de phishing para incentivar sua equipe a compartilhar informações, abrir um anexo malicioso ou clicar em um link infectado.
- Fazer ligações telefônicas vhishing para indivíduos de sua organização, fazendo-se passar por helpdesk de TI, vendedor, fornecedor, cliente, colega de trabalho ou até mesmo gerente para acessar informações privadas.
- Atrair as vítimas para um site falsificado que parece estar associado à sua empresa ou a um aplicativo que você usa. Os funcionários são incentivados a fazer login com as credenciais da empresa, imitando a forma como os hackers capturam informações confidenciais de login.
- Explorar vulnerabilidade de software do lado do cliente e obtenha controle do sistema enganando o usuário para que ele visite um URL ou abra um anexo malicioso.
Implementando os ataques simulados
Assim que você estiver a bordo, começaremos com um bate-papo com os membros relevantes da equipe. Aproveitaremos esta oportunidade para discutir as regras de engajamento, o que esperar e como alertá-lo se algo for detectado durante a fase de teste.
Como nossos testes vão muito além da simples isca para cliques em links, é durante essa chamada que identificaremos suas informações mais protegidas/sensíveis para serem direcionadas para acesso e exfiltração. Também usamos esse tempo para identificar quaisquer alvos específicos que você deseja testar ou excluir (contratados, CEO, equipe C-Suite, estagiários, etc.).
Como o nosso objetivo é ser o mais discreto possível, pretendemos obter acesso aos seus dados ou sistemas de forma imperceptível. Sua equipe pode nem descobrir que foi comprometida até que você analise as descobertas diretamente com eles.
Assim que os testes começarem, começaremos coletando informações sobre sua organização e qualquer pessoa com acesso a sistemas de informação ou dados confidenciais. Então, vamos para a parte divertida! Nossos mestres engenheiros sociais desenvolvem o estratagema, o pretexto e as situações que usaremos para influenciar as pessoas – o que envolve um planejamento extensivo antes de qualquer ataque ser feito. É a nossa pesquisa preliminar e estratégia superior que permite que nossos engenheiros sociais de chapéu branco desenvolvam situações plausíveis que sejam realistas, credíveis e confiáveis. E é também a razão pela qual a Mitnick Security se orgulha de apresentar uma taxa de sucesso de 100% ao usar engenharia social para testar sistemas.
Precisa de um teste personalizado?
Se necessário, trabalhamos em estreita colaboração com a sua equipe para definir e personalizar os cenários de teste para testar políticas, procedimentos e processos específicos. Por exemplo, se sua organização tiver procedimentos de resposta a incidentes para relatar chamadas telefônicas, mensagens de texto/instantâneas ou e-mails suspeitos, a Mitnick Security pode testar esses procedimentos e a eficácia geral de seus programas existentes de treinamento de conscientização em segurança.
Os resultados
Depois de algumas semanas, ou dos termos específicos do seu período de teste, agendaremos uma ligação final para analisar nossas descobertas.
Seu relatório detalhado e fácil de explicar incluirá um passo a passo de nossos ataques cibernéticos simulados. Você saberá exatamente quais funcionários foram testados, os detalhes de cada tentativa e nossas recomendações de especialistas para fortalecer suas políticas atuais. Ajudaremos até mesmo sua equipe de TI a implementar novas (ou ajustar antigas) políticas de segurança que reflitam as ameaças atuais de engenharia social e os resultados de nossos testes.
