Nel contesto della sicurezza delle informazioni, per ‘ingegneria sociale’ si intende l’arte di manipolare le persone di una organizzazione per attentare alla sicurezza e/o divulgare informazioni riservate. La differenza con un attacco reale è il fatto che il test viene eseguito con l’esplicito consenso scritto del cliente e lo scopo è quello di produrre un rapporto completo e di chiudere i buchi della sicurezza, prima che un vero aggressore possa sfruttarli.
Nel 90% di tutti i test, siamo riusciti a ottenere informazioni sensibili utilizzando tecniche di ingegneria sociale.
Perché l’ingegneria sociale?
- La migliore sicurezza IT è davvero d’aiuto, se i dipendenti danno felicemente informazioni sensibili?
- I dipendenti fanno clic sui collegamenti se sembrano ricevere un’email da un collega / manager?
- I dipendenti possono essere ingannati per telefono quando un aggressore impersona le forze dell’ordine?
- La sicurezza fisica è debole? Gli attaccanti possono sparare con un dumpster? Il tailgating è possibile?
- Gli utenti non tecnici non sono nemmeno consapevoli o istruiti sulle minacce di Social Engineering?
Chi dovrebbe essere sottoposto a test di ingegneria sociale?
- Le aziende che utilizzano sistemi IT di qualsiasi tipo, conservano dati riservati o informazioni sui clienti
- Le aziende che non vogliono azioni legali da parte dei clienti, quando i dati sono stati rubati
- Aziende che sono cadute vittima di un attacco e non vogliono aspettare il prossimo attacco
- Aziende che devono rispettare le norme di conformità industriale e / o governativa
- Aziende che hanno sentito che i concorrenti hanno già dovuto affrontare un attacco informatico
- Aziende che capiscono che la sicurezza proattiva è molto più economica della sicurezza re-attiva
Servizi di audit di ingegneria sociale
Durante un audit di ingegneria sociale, possiamo eseguire test elettronicamente (basati su computer) e basati su telefono. Raccogliamo molte informazioni open source prima di qualsiasi impegno attraverso la raccolta di informazioni online. Impersoniamo anche fonti di autorità e usiamo una varietà di tecniche come:
- Spear Fishing Campagne di posta elettronica che contengono l’invio di messaggi di posta che sembrano provenire da un superiore e consentono all’utente di fare clic su un collegamento e / o fornire informazioni riservate. Invitiamo anche i dipendenti a visitare siti Web falsi, che simulano l’infezione delle loro macchine o sono utilizzati per “phish” le credenziali.
- Spear Fishing in combinazione con lo sfruttamento simulato dell’endpoint (opzionale)
- Ingegneria sociale basata sul telefono incl. ID chiamante e SMS spoofing insieme agli esercizi Vishing (Voice Phishing)
- Siamo in grado di eseguire attività di ingegneria sociale in cui vengono distribuiti speciali dispositivi USB con malware simulato per monitorare chi li collega.
- I nostri servizi contengono anche una formazione continua per utenti di e-learning.
- Tutti i servizi sono forniti con report più completi, tracciamento degli utenti e classificazione.
Quante volte dovrebbe essere fatto un test di ingegneria sociale?
Una verifica completa dovrebbe essere effettuata almeno 2 – 4 volte all’anno ei risultati dovrebbero confluire in una politica di sicurezza aziendale. Raccomandiamo una regolare formazione degli utenti, che forniamo anche.
Come viene addebitato il servizio?
Addebitiamo in base al numero di dipendenti da testare. Vi preghiamo di contattarci e vi forniremo una chiamata di consulenza gratuita.