Testy phishingowe dla software house i firm IT
Dla firm IT ryzyko obejmuje dostęp do kodu, tokeny i narzędzia developerskie. Testy sprawdzają, czy zespół bezpiecznie obsługuje powiadomienia i prośby o dostęp.
Scenariusze dla firm IT
Zajmujemy się symulacjami ataków na repozytoria, CI/CD, Slacka, Jira i systemy autoryzacyjne.
Najczęstsze scenariusze phishingu w IT
Ataki na developerów i narzędzia developerskie często mają na celu przejęcie dostępu do kodu lub tokenów CI/CD.
Fałszywe logowanie GitHub
E-mail lub powiadomienie zachęcające do podania tokena lub logowania.
Fałszywe powiadomienie z Jiry
Linki do zadań prowadzące do formularzy wyłudzających dane.
Link do Slacka lub Teams
Powiadomienia z zachętą do kliknięcia i autoryzacji.
Prośba o dostęp do repozytorium
Fałszywe prośby o udostępnienie uprawnień.
Fałszywy alert CI/CD
Powiadomienia o błędach lub wymaganych akcjach, które prowadzą do kompromitacji.
Phishing na token lub OAuth
Scenariusze uczące ostrożności przy autoryzacjach aplikacji.
Co mierzymy w kampanii
Metryki obejmują kliknięcia, podanie danych, zgłoszenia i czas reakcji — wszystkie ważne dla bezpieczeństwa procesu developmentu.
Kliknięcia
Kto rozpoczął proces po otrzymaniu wiadomości.
Podanie danych
Czy użytkownik przeszedł dalej do ryzykownego formularza.
Zgłoszenia phishingu
Kto zgłosił podejrzaną wiadomość i jak szybko.
Czas reakcji
Ile trwało przejście od dostarczenia wiadomości do zgłoszenia.
Skanowanie QR
Czy kod QR przeniósł użytkownika na fałszywą stronę.
Trend między kampaniami
Jak zmienia się ryzyko po kolejnych rundach i mikrolekcjach.
Ustalenie celu kampanii
Określamy, które systemy i role są krytyczne.
Przygotowanie scenariuszy
Projektujemy ataki na repozytoria, CI i komunikatory.
Uruchomienie testu
Minimalny wpływ na produkcję, maksymalne informacje o ryzyku.
Raport i mikrolekcje
Techniczne rekomendacje i szkolenia dla zespołów.