社交工程安全評估

人員是整個網絡安全鏈上最薄弱的環節。公司員工每天都會面臨各種各樣的威脅，例如仿冒詐騙電郵、社交工程詐騙電話，同時企業往往亦不重視加強員工識別風險的能力。

無論企業採取何種技術和物理安全措施，基礎設施和網絡是否安全最終還是要取決於員工、承包商或供應商是否具備識別此類攻擊並且不落入陷阱的能力。

黑客知道這些可怕的事實，因此人員成為其首選目標。網絡罪犯使用複雜的社交工程技術說服並控制使用者，獲取接達內部網絡及敏感資訊的權限。

評估員工識別及抵禦社交工程攻擊的能力是組織安全計劃的重要一環。

我們的服務由具有豐富攻防經驗的高級安全專家和滲透測試工程師提供，他們將創建真實的仿冒詐騙情境。服務的目標不僅是對員工抵禦一般仿冒詐騙攻擊的能力進行評估，更重要的是對嚴重影響組織的目標和魚叉式仿冒詐騙攻擊進行評估。為此，威聯集團自主研發了一項社交工程評估輔助解決方案——Phishlynx。

我們的社交工程評估服務

附帶鏡像網站的仿冒詐騙電郵攻擊

此情境是發送仿冒詐騙電郵，企圖誘騙用戶登入與真實網站非常相似的鏡像網站，並輸入敏感資訊，如用戶名和密碼。

帶有附件的仿冒詐騙電郵攻擊

此情境是發送帶有附件的仿冒詐騙電郵，企圖誘騙用戶打開附件（例如XLS文件），啟動VB宏功能。

帶超連結的仿冒詐騙電郵攻擊

此情境是發送仿冒詐騙電郵，企圖誘騙用戶點擊連結。

附帶文件下載的仿冒詐騙電郵攻擊

此情境是發送仿冒詐騙電郵，企圖誘騙用戶從網頁上下載及執行可能嵌入惡意程式代碼的文件。

U盤丟棄攻擊

此情境是將含有文件的U盤丟棄在最可能被人撿走的地方，如會議室、衛生間、停車場等，企圖誘騙使用者將U盤連接至USB驅動器上，打開可能嵌入惡意程式代碼的文件。

語音網絡仿冒詐騙

此情境是利用社會工程技術，透過電話誘騙用戶提供用戶名、密碼等敏感資訊，從而接達該受害者的電腦。

冒充員工和物理安全控制

此情境是多次試圖進入特定地點、未獲授權接達物理網絡、誘騙、尾隨、搜尋垃圾、丟棄U盤等。

社交工程方法

威聯集團的社交工程評估通常分三個階段執行：

偵察與規劃

威脅分析，確定審計目標
目標偵察
創建手稿程式和時間計劃
攻擊平台準備

執行

仿冒詐騙電郵攻擊
語音網絡仿冒詐騙攻擊
U盤丟棄攻擊
評估和說明

報告撰寫

整體評估和評估結果記錄，包括詳細的統計資料
風險評估
報告撰寫和建議
事後情況說明

偵察與規劃

在偵察和規劃階段需要開展下列工作：

編寫攻擊手稿程式、詳細規劃及覆核攻擊方式
獲取特定資訊及存取權限類型（如員工編號、登入名/密碼、HR系統的存取權限等）
確定範圍、攻擊目標、可為/不可為工作及區域
可能成為攻擊目標的客戶公司員工
檢測組織相關資訊，如工作人員、八卦消息、弱點、內部問題、攻擊目標分析等
攻擊平台和工具準備（例如註冊域名、鏡像網站、生成統計資料的跟蹤手稿程式、附件、虛假惡意軟件等）

執行

這是評估過程的核心階段，包括有效開展前期確定並經過雙方一致同意的測試。

假如威聯集團發現存在較大的缺陷和嚴重弱點，會在第一時間通知客戶，以便客戶安全及時地啟動應急措施。

評估結果分析和報告撰寫

本階段我們將完成以下幾項工作：

整體評價，並撰寫評估報告，包括泄露敏感資訊和授予他人存取權限的員工
核查和品質檢查
撰寫報告，給予評價，並提出建議

報告中將對資訊安全的薄弱環節和重大風險——「人為因素」進行說明、評價及判定。

最終報告將載列所有評估結果，並參照ISO 27001國際資訊科技保安標準對優、缺點進行對比分析。我們將對已識別的薄弱環節進行評估，同時提出相應的建議和補救措施，並根據相關風險等級進行排序。向客戶匯報評估結果時，我們將對最終報告進行討論。報告包含對已開展的社會工程評估作出之全面、簡明的執行摘要。此外，報告將詳細闡述所有評估結果及相應證據，並基於該等結果提供未來安全措施建議。