Sociální inženýrství
Testování lidského faktoru v bezpečnosti pomocí realistických útoků na zaměstnance bez technických zranitelností.
Psychologické Taktiky
Využití psychologických principů - urgence, autorita, reciprocita pro manipulaci.
Vícekanálové Útoky
Kombinace e-mailu, telefonu, SMS a fyzického přístupu pro maximální účinnost.
Scénáře ze Skutečného Světa
Scénáře založené na aktuálních útocích používaných cybercriminálními skupinami.
Typy útoků
Pretexting
Vytvoření věrohodného scénáře (pretext) pro získání informací - IT helpdesk, vendor verification, survey.
IT support impersonation, executive assistant, facilities management
Vishing (Voice Phishing)
Telefonické útoky napodobující banky, IT support nebo management pro získání credentials nebo informací.
Caller ID spoofing, multi-call sequences, voicemail pretexting
Fyzická Sociální Inženýrství
Fyzické proniknutí do budovy pomocí tailgating, impersonace nebo badge cloning.
Delivery person disguise, contractor impersonation, maintenance access
Baiting
Zanechání infikovaných USB disků nebo QR kódů na strategických místech pro zneužití lidské zvědavosti.
USB dropping in parking lot, malicious QR codes, fake charging stations
Quid Pro Quo
Nabídka služby výměnou za informace - IT support offering help, free audit, security assessment.
Tech support scam, free security scan, prize/survey offers
Tailgating / Piggybacking
Následování autorizovaného uživatele do zabezpečených prostor bez vlastního ověření.
Hands full technique, urgent delivery, forgotten badge scenario
Psychologické principy
Autorita
Lidé mají tendenci poslouchat autoritu - impersonace CEO, IT admina nebo externího auditora.
Urgence
Časová tíseň snižuje kritické myšlení - "urgent password reset", "immediate action required".
Reciprocita
Pocit závazku po přijetí "pomoci" nebo daru - free IT support, helpful stranger.
社会的证明
Lidé následují chování ostatních - "everyone else already updated", "other departments confirmed".
Sympatie
Budování důvěry a přátelství před požadavkem - small talk, shared interests.
Fear
Vyvolání strachu z negativních důsledků - "account will be suspended", "security breach detected".
Testovací scénáře
IT Helpdesk Impersonation
Volání zaměstnancům jako IT support s požadavkem na password reset nebo remote access.
Měří: ochotu sdílet credentials, verification procedures
Executive Impersonation
E-mail nebo hovor jménem CEO/CFO s urgentním požadavkem na wire transfer nebo citlivá data.
Měří: authority bias, approval workflows
Physical Penetration
Pokus o vstup do budovy jako dodavatel, courier nebo contractor bez předchozí autorizace.
Měří: reception procedures, employee vigilance, badge checking
USB Drop Attack
Zanechání USB disků s lákavými názvy na parkovišti nebo v lobby s tracking payloadem.
Měří: curiosity exploitation, USB device policy compliance
Metriky úspěšnosti
Quantitative Metrics
- → Success rate (% compromised)
- → Information disclosed
- → Credentials obtained
- → Physical access gained
- → Reporting rate
Qualitative Analysis
- → Verification procedures effectiveness
- → Employee suspicion triggers
- → Response time to incidents
- → Policy compliance gaps
Výstupy
Detailed Report
- → Attack scenarios used
- → Success/failure breakdown
- → Audio/video evidence (with consent)
- → Vulnerable departments/roles
Remediation Plan
- → Policy improvements
- → Training recommendations
- → Technical controls
- → Awareness program design