Sociálne inžinierstvo

Sociálne inžinierstvo

Prečo sa zamerať na ľudský faktor?

Zvýšené požiadavky na kybernetickú odolnosť (na základe regulácií DORA a NIS2, …) a rastúci počet útokov zameraných na zamestnancov jasne ukazujú, že samotné technické zabezpečenie už nestačí. Útočníci dnes často necielia na systémy, ale na ľudí – pomocou manipulácie, dôveryhodnej komunikácie alebo presvedčivého vystupovania. Stačí jeden nepozorný klik, unáhlená odpoveď alebo dôverčivý telefonát a útočník získa prístup, ktorý by technickými prostriedkami nezískal. Práve preto je dôležité otestovať aj odolnosť zamestnancov voči týmto technikám. Simulované útoky sociálneho inžinierstva odhaľujú skutočné slabiny v ľudskom faktore, zvyšujú pripravenosť organizácie čeliť manipulácii a prispievajú k zvyšovaniu bezpečnostnej odolnosti v celej organizácii.


Čo je sociálne inžinierstvo?

Na rozdiel od technických útokov sa sociálne inžinierstvo zameriava na zneužitie ľudského faktora.

  • Cieli na zamestnancov a používateľov, nie na technológie alebo systémy.
  • Využíva psychologické techniky – manipuláciu, autoritu, časový tlak alebo vyvolanie dôvery.
  • Prebieha formou interakcií: e-maily, telefonáty, SMS alebo fyzické pokusy o kontakt.
  • Sleduje reakcie na podvodnú komunikáciu, neoprávnené požiadavky alebo nečakané situácie.

Z bezpečnostného pohľadu predstavuje sociálne inžinierstvo jednu z najefektívnejších a zároveň najťažšie odhaliteľných metód útoku – pretože útočník nevyužíva zraniteľnosti v kóde, ale v ľudskom správaní.

Typy simulovaných útokov sociálneho inžinierstva

Typ Popis Cieľ
Phishingové kampane Simulované hromadné e-maily, ktoré napodobňujú bežnú firemnú alebo komerčnú komunikáciu a snažia sa prinútiť príjemcu kliknúť na odkaz, zadať údaje alebo stiahnuť prílohu. Overiť celkovú odolnosť zamestnancov voči bežným podvodným e-mailom a schopnosť rozpoznať podvrhnutú správu.
Vishing Simulované telefonáty, pri ktorých sa útočník vydáva za kolegu, dodávateľa alebo technika a snaží sa získať prístupové údaje alebo vylákať dôverné informácie. Overiť reakcie zamestnancov na nečakaný telefonický kontakt a overiť dodržiavanie komunikačných a overovacích pravidiel.
Smishing Simulované podvodné SMS správy s odkazom na falošné prihlasovacie stránky, výzvou na zadanie údajov alebo stiahnutie škodlivého obsahu. Overiť, ako zamestnanci reagujú na podvodné správy v mobilnom prostredí a či rozpoznajú manipuláciu.
Fyzické testovanie Simulácia pokusov o neoprávnený vstup do budovy za účelom zistenia, ako dobre fungujú fyzické kontrolné mechanizmy. Overiť úroveň fyzickej bezpečnosti, všímavosť personálu a pripravenosť na manipulatívne techniky v reálnom prostredí.
Baiting Rozmiestnenie fyzických návnad, napr. USB diskov, falošných zariadení alebo QR kódov, ktoré majú vyvolať zvedavosť alebo dôveru. Otestovať zvedavosť a návyky zamestnancov a efektivitu interných politík pre prácu s externými zariadeniami.

Ako prebieha testovanie v praxi?

Fáza
01
Plánovanie a rozsah
  • Výber metód a cieľovej skupiny.
  • Určia sa typy útokov (phishing, vishing, fyzické pokusy) a rozsah simulácie.
  • Stanovia sa pravidlá zásahu a úroveň informovanosti interných tímov.
02
Príprava scenárov
  • Tvorba autentických podkladov.
  • Vznikajú na mieru prispôsobené šablóny e-mailov, SMS a skripty.
  • Scenáre reflektujú konkrétne prostredie a rizikové role vo firme.
03
Realizácia testu
  • Spustenie simulovaných útokov.
  • Odosielanie phishingových e-mailov, telefonáty v rámci vishingu, USB baiting alebo pokusy o fyzický prienik.
04
Vyhodnotenie a analýza
  • Meranie a reportovanie výsledkov.
  • Štatistika interakcií, miera úspešnosti, detekcia incidentov bezpečnostným tímom, spätná väzba k efektivite interných postupov.
05
Následné školenie zamestnancov
  • Zvyšovanie povedomia a prevencie.
  • Praktické ukážky útokov, edukácia o varovných signáloch, odporúčané postupy a Q&A pre zamestnancov.

Prečo spolupracovať s BDO?

BDO poskytuje služby sociálneho inžinierstva v súlade so špecifickými požiadavkami európskych regulátorov (napr. ECB, EBA, ESMA) a rámcami ako NIS2 a DORA, ktoré sa zameriavajú na bezpečnosť ľudí, procesov aj technológií. Naša metodológia kombinuje techniky sociálneho inžinierstva, znalosť regulačného rámca a hlboké technické know-how – vrátane scenárov, ktoré reflektujú sektorové hrozby a digitálne útoky v európskom finančnom priestore.

  • Nezávislosť a dôveryhodnosť
    Ako nezávislá konzultačná firma nemáme vlastné technológie a ponúkame skutočne objektívne hodnotenie. Spolupráca s BDO je jasným signálom kvality a dôvery pre regulátorov a klientov.
  • Certifikovaný tím s expertnou praxou
    Naši špecialisti sú držiteľmi certifikácie OSCP, CRTP, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a ďalšie. Majú skúsenosti s testovaním veľkých bánk, poisťovní aj ICT poskytovateľov.
CISO CISSP OSCP eCPPT PenTest RedTeam CEH CREST BURPSuite

Hlavné kontaktné osoby

Martin Hořický
Martin Hořický
Manager • CISO
i View bio
Marek Kovalčík
Partner
i View bio