Социальная инженерия и фишинг-тесты
Технологии и брандмауэры важны, но большинство инцидентов начинаются не с уязвимых серверов, а с человеческой ошибки. Социальная инженерия эксплуатирует человеческие слабости: доверчивость, спешку, желание помочь. Фишинг, vishing, smishing и физический доступ (tailgating) — самые эффективные векторы, которыми злоумышленники получают первые «ключи» в корпоративную сеть. По отраслевым исследованиям, до 90% успешных атак включают этап социальной инженерии или фишинга.
Почему это важно для бизнеса
Проверить реальную устойчивость сотрудников и внутреннего процесса реагирования на подозрительные запросы, выявить слабые места в человеко-процессной защите и дать исчерпывающие рекомендации по снижению риска.
Тесты выполняются только по согласованию: подписывается Rules of Engagement и NDA. Мы избегаем действий, которые могут нарушить трудовые или уголовные законы, не собираем реальные пароли и не публикуем персональные данные. В случае физического теста заранее согласуются зоны допуска и наличие сопровождения.
Клиент — европейская финтех-компания (300 человек). Мы провели кастомную spear-phishing кампанию, таргетируя бухгалтерию и HR. Результаты: 42% открытий, 18% кликов, 3% ввели тестовые данные. Также попытка vishing дала 1 случай передачи конфиденциальной информации (пароль для несуществующего сервиса). По итогам: внедрена двухфакторная верификация внутренних запросов, введены регламентные проверки звонков и повторный тренинг. Через 2 месяца ретеста клики снизились до 2%, успешных случаев — до 0.
Стоимость услуги
Цены зависят от объёма, уровня персонализации и юридических ограничений.
Что мы делаем и чего ожидать
Scoping и согласование правил — согласуем охват: отделы, группы, исключения, лимиты, юридические рамки и NDA.
Разработка сценариев фишинга — адаптированные письма, имитирующие реальные бизнес-процессы (HR, финансы, IT).
Email-фишинг (spear-phishing) — целевые рассылки с проверкой открытия, кликов и ввода данных; логирование шагов пользователя.
Vishing / Smishing — звонки на сотрудников от «службы поддержки» или «банка», SMS-фейковые уведомления.
Physical social engineering — попытки проникнуть в помещение (tailgating), получение гостевого пропуска, оставление зараженных USB-накопителей (по согласованию).
Phishing landing pages — безопасные тестовые страницы (без сбора реальных паролей) для замера поведения.
Monitoring and detection — проверка, как реагируют SIEM/EDR и внутренняя служба безопасности на инциденты.
Post-test awareness training — тренинг и материалы для персонала с разбором ошибок.
Retest — проверка эффективности внедрённых мер (опционально через 1–3 месяца).
Методология
Мы используем проверенные практики «red team» и исследования OSINT для подготовки персонализированных сценариев. Работа проводится с соблюдением законодательства и корпоративной политики — согласовываем рамки и инструкции, чтобы тест оказался реалистичным, но не разрушительным.
Что получает клиент (Deliverables)
- Executive Summary для руководства (количественные KPI: open/click/submit rates; оценка риска).
- Подробный технический отчёт с логами, примерами писем и результатами звонков.
- Список уязвимых подразделений и индивидуальных трендов.
- Рекомендации по процессам (верификация запросов, правила передачи финансовой информации).
- Шаблоны обучающих материалов и сценариев для регулярных тренингов.
- План ремедиации и ретеста.
Часто задаваемые вопросы
Влияет ли тест на рабочие процессы?
Нет: рассылки и звонки проводятся с минимальным воздействием; физические тесты — только в согласованные окна.
Можете ли вы имитировать внешний подрядчик?
Да, используем реалистичные шаблоны и домены, но без фишинговых платежей.
Как часто нужно проводить такие тесты?
Рекомендуем минимум раз в полгода + обучение после каждого цикла.
Что делать, если сотрудник сообщит о фишинге?
Это показатель работы detection; мы фиксируем и анализируем реакции.
Мы работаем по всему миру
Security Lab Pro - это не просто организация, которая оказывает услуги в области информационной безопасности и разработки. Прежде всего это сообщество профессионалов и единомышленников, которые стараются изменить мир в лучшую сторону. Мы не просто оказываем услуги в сфере разработки и белого хакинга, мы внедряем передовые технологии, чтобы сделать мир умнее и безопаснее.
Наш email
support@securitylab.pro
Наши офисы
Минск, Кедышко 26б Республика Беларусь