Социальная инженерия - тестирование устойчивости к фишингу, вишингу и атакам через людей
Проверка «человеческого фактора» и повышение осведомлённости сотрудников
Социальная инженерия остаётся одним из самых эффективных каналов компрометации: злоумышленнику не всегда нужно ломать сервер — достаточно обмануть сотрудника. Фишинг, вишинг, pretexting и физические приёмы (tailgating, USB-drops) регулярно становятся отправной точкой крупных инцидентов с утечкой персональных и корпоративных данных.
SecureDefence проводит комплексные кампании по тестированию устойчивости организаций к социальным атакам: реалистичные симуляции фишинга, вишинга, сценарии через мессенджеры и голосовые каналы, тренинги и измеримые метрики повышения осведомлённости.
Цель услуги
Цель — оценить реальную уязвимость «человеческого фактора», выявить слабые места в процессах и коммуникациях, а затем повысить зрелость защиты через обучение, технические контрмеры и изменение процедур. Результат — уменьшение вероятности успешной атаки, снижение риска утечки данных и повышение соответствия требованиям безопасности и нормативам (включая ФЗ-152 по персональным данным и отраслевые стандарты).
Что входит в услугу Social Engineering от SecureDefence
- Предаудит и согласование правил (scoping)
- определение целей и зон тестирования (отделы, роли, форматы коммуникаций);
- согласование Rules of Engagement (запрещённые векторы, допустимые сценарии, юридические рамки);
- подписание NDA и уведомление руководства (без разглашения персоналу до завершения кампании, если это оговорено).
- Планирование реалистичных сценариев
- сценарии фишинга (email, корпоративные рассылки, поддельные страницы входа);
- vishing (целевые звонки от имени IT/руководства), smishing (SMS/мессенджеры);
- pretexting и целевые атаки через соцсети;
- physical social engineering: попытки доступа в офис, подброшенные носители (по согласованию).
- Проведение симуляций (Safe-by-Design)
- отправка фишинговых писем с уникальными PoC-ссылками;
- звонки-инсценировки с проверкой процедур верификации;
- использование эмбеддинга для отслеживания кликов, ввода учётных данных (без сохранения реальных паролей);
- интеграция с SIEM/SOC для проверки срабатываний и алертов.
- Обучение и ремедиация
- краткие обучающие модули (microlearning) после симуляции;
- интерактивные вебинары и практические кейсы для сотрудников;
- чеклисты и рекомендации для IT/HR по усилению процедур и коммуникаций.
- Метрики и отчётность
- ключевые KPI: кликабельность, доля ввода учётных данных, скорость отчёта о подозрении, процент повторных срабатываний;
- сегментация результатов по отделам, ролям и географии;
- roadmap из приоритетных мер: технические (MFA, блокировка ссылок), регламентные (процедуры верификации) и обучающие (курсы, тесты).
Безопасность и законность
Все кампании Social Engineering проводятся в рамках закона и этических норм. Мы:
- используем безопасные PoC-методики — реальные пароли не сохраняются;
- согласуем ограничения и сценарии заранее;
- обеспечиваем конфиденциальность результатов и защищаем персональные данные согласно требованиям ФЗ-152.
Преимущества SecureDefence
- ✅ Практика реальных симуляций, адаптированных под отрасль (финтех, ритейл, госсектор);
- ✅ Интеграция с SOC/SIEM для проверки цепочки обнаружения и реагирования;
- ✅ Комбинация автоматизированных рассылок и ручных целевых атак (targeted social engineering);
- ✅ Обучение, основанное на реальных ошибках сотрудников (just-in-time training);
- ✅ Отчёты для руководства с actionable-рекоммендациями и метриками ROI обучения.
Что вы получите по итогу
- Детальный отчёт с KPI и картой уязвимостей по сотрудникам и подразделениям;
- Executive-summary для руководства с оценкой уровня риска и предложенным планом действий;
- Готовые учебные материалы и планы внедрения awareness-программы;
- Технические рекомендации: внедрение/усиление MFA, фильтрация входящей почты, антифишинг-полиcы, DMARC/DKIM/SPF;
- План ретеста и предложения по частоте симуляций (рекомендуется 2–4 кампании в год).
Типичные сценарии и примеры метрик
- Сценарий: фишинговое письмо с имитацией внутренней рассылки — метрика: % кликов и % ввода учётных данных.
- Сценарий: звонок от «HR» с просьбой подтвердить банковские реквизиты — метрика: % сотрудников, выполнивших инструкцию.
- Сценарий: смс-кампания с ссылкой на «корпоративный опрос» — метрика: скорость обнаружения и отчёта (mean time to report).
FAQ — часто задаваемые вопросы
- Могут ли симуляции повредить бизнес-процессы?
Нет. Все сценарии тестируются безопасно и согласуются заранее: мы избегаем вмешательств в критичные системы и используем имитации без сохранения реальных логинов/паролей. - Нужно ли уведомлять сотрудников заранее?
Это решается при согласовании: существуют «незапланированные» кампании (more realistic) и уведомлённые тренинги. Мы подбираем модель, соответствующую политике компании. - Как долго длится кампания?
Обычно кампания с подготовкой, симуляцией и обучением занимает 2–6 недель в зависимости от масштаба. Ретест проводится спустя оговорённый период (обычно 3–6 месяцев). - Что делать с сотрудниками, которые регулярно «попадаются» на фишинг?
Для них мы рекомендуем индивидуальные тренинги, мониторинг и временное ограничение доступа к критичным ресурсам до прохождения обучения. - Помогаете ли вы внедрять технические контрмеры?
Да. Помимо обучения, мы даём конкретные рекомендации по настройке SPF/DKIM/DMARC, внедрению MFA, ограничению внешних рассылок и настройке антифишинг-политик.