Социотехнический пентест

Первый этап социотехнического пентеста — это глубокий сбор данных из открытых источников. Мы имитируем подготовку реального злоумышленника, который ищет слабое звено, анализируя цифровой след вашей компании и её сотрудников.
Что мы ищем в ходе разведки:

• Анализ утечек данных: поиск корпоративных почт и паролей в базах прошлых взломов. Это позволяет понять, какие сотрудники уже были скомпрометированы и используют ли они небезопасные пароли.
• Сбор досье (Social Media Intelligence): изучение профилей сотрудников в соцсетях для поиска зацепок: структуры отделов, используемого софта, фотографий пропусков или рабочих мест.
• Технический след: поиск метаданных в публичных документах (PDF, DOCX), которые могут выдать внутренние логины, версии ПО или адреса серверов для создания убедительных фишинговых писем.
• Анализ брошенных аккаунтов: поиск старых учетных записей сотрудников на сторонних форумах и сервисах, связанных с корпоративной почтой. Такие аккаунты могут содержать уязвимые пароли, которые злоумышленники используют для подбора в корпоративных системах или для создания убедительных фишинговых сценариев.

Результат: вы получаете отчет о публичной уязвимости ваших сотрудников. Мы покажем, как избыток информации в интернете превращается в инструмент для целевого взлома (Spear Phishing).

Этот этап имитирует одну из самых опасных атак, когда злоумышленник пытается внедрить вредоносное ПО в вашу сеть через доверие сотрудников. Мы проверяем, насколько легко убедить персонал запустить файл, маскирующийся под важный документ.
Механика проверки:

• Создание легенды: мы разрабатываем сценарий, адаптированный под специфику отдела (например, «Новые правила премирования» для HR или «Сверка актов» для бухгалтерии).
• Имитация угрозы: в письмо вкладывается файл (обычно PDF, DOCX или ZIP) с безопасным «маячком». Он не содержит вирусов, но фиксирует факт открытия файла и срабатывания макроса.
• Маскировка отправителя: мы используем техники подмены адреса (Spoofing) или регистрируем похожие домены, чтобы письмо выглядело как официальное сообщение от руководства или партнеров.

Мы отслеживаем не только количество открытий, но и то, сообщил ли сотрудник в службу безопасности о подозрительном письме.
Результат: реальная статистика уязвимости вашей сети к программам-вымогателям и шпионскому ПО. Мы помогаем скорректировать настройки почтовых фильтров и провести целевое обучение персонала.

Этот этап имитирует самую массовую атаку — кражу учетных данных (фишинг). Мы проверяем, насколько легко убедить сотрудника перейти по ссылке и ввести свой корпоративный пароль на поддельной странице.
Как проходит проверка:

• Подготовка «ловушки»: мы регистрируем домены, визуально похожие на ваши (например, office-secure.com вместо office.com), и создаем точные копии страниц входа в почту или CRM.
• Создание контекста: рассылаются письма с высокой степенью доверия — «Срочное обновление пароля», «Приказ о графике отпусков» или «Счет на оплату», требующие немедленного действия.
• Сбор статистики: мы фиксируем каждое действие: кто открыл письмо, кто перешел по ссылке и кто ввел данные в форму (сами пароли не сохраняются, фиксируется только факт ввода).
• Контроль безопасности: мы проверяем, сработали ли системы защиты почтового сервера (антиспам, песочницы) и сообщил ли кто-то из сотрудников в ИТ-отдел о подозрительной активности.

Результат: наглядная статистика уровня вашей защиты.

Этот этап имитирует одну из самых точечных атак. Злоумышленники часто маскируют вредоносный код внутри привычных файлов Word или Excel, используя функции автоматизации (макросы) для скрытого проникновения в систему.
Сценарий проверки:

• Разработка «наживки»: мы создаем документ, содержание которого критически важно для сотрудника: «Реестр платежей», «Список сотрудников на депремирование» или «График отпусков».
• Имитация полезной нагрузки: в файл встраивается безопасный скрипт. При открытии документа пользователю предлагается разрешить выполнение макросов для корректного отображения данных.
• Сбор данных: если сотрудник активирует макрос, скрипт отправляет сигнал на наш контрольный сервер. Это доказывает возможность выполнения кода на рабочем месте сотрудника в рамках тестирования.
• Оценка защиты рабочей станции: мы проверяем, блокирует ли антивирус или EDR выполнение подозрительных скриптов из офисных приложений.

Результат: вы увидите реальную статистику готовности сотрудников стать жертвой программ-шифровальщиков и получите основу для обучения персонала безопасной работе с документами.

Этот этап имитирует атаку, в которой злоумышленник использует методы психологического манипулирования и социальной инженерии в телефонном разговоре. Цель — убедить сотрудника раскрыть пароль, предоставить удаленный доступ к ПК или выполнить опасное действие.
Как проходит проверка:

• Создание легенды: мы разрабатываем сценарии от имени лиц, обладающих авторитетом или вызывающих доверие: сотрудников ИТ-поддержки, службы безопасности, налоговых инспекторов или представителей банков.
• Использование контекста: для усиления убедительности мы используем данные, собранные на этапе разведки (имена руководителей, названия внутренних систем, актуальные события в компании).
• Сбор информации: в ходе диалога пентестер пытается выведать логины, детали конфигурации сети, кодовые слова или просит продиктовать код из СМС для «проверки системы».
• Запрос на действие: в некоторых сценариях, мы можем попросить сотрудника перейти по ссылке или выполнить иные действия, имитирующие установку вредоносного ПО, чтобы оценить его критичность к выполнению нестандартных инструкций, а также получить контроль над его рабочим устройством.

Результат: вы получаете отчет о готовности персонала противостоять психологическому давлению. Мы помогаем разработать четкие регламенты верификации звонящих и обучаем сотрудников распознавать манипуляции.