Ethredix Ethredix
Jazyk EN

Socialni inzenyrstvi

Rigorozni provereni fyzickych prostor a bezpecnostnich postupu s vyuzitim Vishing telefonatu a Tailgating pruniku.

Lidský firewall jako nejslabší článek

Korporace mohou investovat miliony korun do těch nejlepších firewallů, Network Access Control (NAC) segmentace a EDR řešení, ale celá tato drahá architektura je naprosto zbytečná ve chvíli, kdy člověk na recepci vstřícně vpustí usměvavého „technika od internetu“ přímo k racku do vaší serverovny. Fyzické sociální inženýrství nemilosrdně testuje zranitelnost vašich fyzických prostor, zavedených postupů a samotné psychologie a ostražitosti vašich zaměstnanců. V praxi zjišťujeme, jak nebezpečně snadné je cíleně oklamat vaše lidi v reálném světě mimo obrazovku počítače.

Oblasti zaměření a metodiky

Tailgating & Physical Entry
Vishing & Pretexting
USB Baiting / Media
Human Firewall

Kinetický průnik a Vishing operace

Naše kinetické operace navrhujeme tak, aby naprosto detailně odpovídaly přístupu moderního útočníka k získání prvotního vnitřního přístupu do firmy (Initial Access). Účelově voláme vašim zaměstnancům a s využitím tvrdě natrénovaných scénářů (tzv. Vishing a Pretexting) se vydáváme s autoritou za IT podporu žádající o urgentní reset Active Directory hesla nebo okamžité schválení MFA tokenu. Paralelně zkoušíme fyzický průnik (Tailgating), při kterém se přesvědčivě prosmýkneme turniketem přímo za vaším zaměstnancem. Procházíme nezabezpečenými open-space kancelářemi, implementujeme do sítě hardwarové štěnice a záměrně necháváme ležet infikované USB flash disky (USB Dropping). Jediným primárním cílem je zjistit empirickou rychlost reakce – jestli si někdo troufne cizího člověka na chodbě vůbec zastavit nebo zavolat ostrahu.

Nepřikrášlená, exaktní data z terénu

Jako finální výstup odevzdáme velmi tvrdá, nepřikrášlená data o prostupnosti vaší firemní bezpečnostní kultury. Report exaktně doloží, ve kterých pobočkách zcela strukturálně selhaly přístupové procesy (často včetně anonymizovaných videozáznamů či fotografií našich infiltrátorů přímo z vašich serveroven nebo kanceláří managementu) a kteří zaměstnanci po telefonu pod sociálním tlakem bez ověření předali svá administrátorská hesla útočníkovi. Zjištěná data předáváme obráncům; ukážeme vám, jak postavit efektivní fyzická protiopatření a přesně zacílit školení tak, abyste podobnému kinetickému útoku už nikdy nepodlehli.

Máte zájem?

Kontaktujte nás. Zanalyzujeme vaší architekturu a společně navrhneme rozsah testování nebo školení přesně na míru vašemu prostředí.

Poptat nezávazně

Služba zahrnuje

  • Physical Access Vulnerability Portfolio
  • Vishing Call Transcripts & Logs
  • Departmental Awareness Report
  • Facility Hardening Guide