Bir saldırgan için telefon, hâlâ en etkili silahlardan biridir. Canlı bir sesin yarattığı aciliyet, otorite ve güven hissi, en dikkatli çalışanı bile bir anlık zaafa sürükleyebilir. Özellikle yardım masaları, parola sıfırlama ve hesap erişimi yetkileriyle, bu saldırıların birincil hedefidir.
SAVKOR’un vishing hizmeti, MITRE ATT&CK teknikleri doğrultusunda, gerçekçi telefon senaryolarıyla çalışanlarınızın doğrulama süreçlerini ve farkındalığını test eder. Tüm çalışma yazılı yetkilendirme ve etik sınırlar dahilinde yürütülür; amaç, kimseyi tuzağa düşürmek değil, süreçlerinizdeki zayıf noktaları gerçek bir saldırgan bulmadan önce sizin görmenizi sağlamaktır.
Test Kapsamı
- Telefon tabanlı sosyal mühendislik senaryoları
- Kimlik doğrulama süreçlerinin test edilmesi
- Hassas bilgi paylaşım riski
- Yetkisiz talep karşısında davranış
- Yardım masası ve destek hattı süreçleri
- Farkındalık iyileştirme önerileri
Metodoloji
- 01
Senaryo & OSINT
Gerçekçi senaryolar ve inandırıcı bahaneler (pretext) açık kaynak bilgilerle hazırlanır.
- 02
Kontrollü Aramalar
Aramalar, kurumla mutabık kapsam ve etik sınırlar içinde yürütülür.
- 03
Davranış Analizi
Doğrulama süreçleri ve bilgi paylaşım davranışları değerlendirilir.
- 04
Risk Değerlendirme
Sonuçlar süreç ve rol bazında analiz edilir.
- 05
Raporlama
Bulgular ve iyileştirme önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve farkındalık görünümü
- Senaryo bazlı sonuç analizi
- Doğrulama süreci boşluk raporu
- Yardım masası süreç önerileri
- Farkındalık eğitimi önerileri
Sık Sorulan Sorular
Vishing neden ayrı bir test olarak önemli?
İnsanlar e-postaya karşı giderek daha temkinli hâle geldi, ama telefonda canlı bir sesin yarattığı aciliyet ve otorite hissine karşı hâlâ savunmasız. Saldırganlar bu yüzden telefonu sık kullanır; özellikle yardım masalarını parola sıfırlatmak için hedef alırlar.
Kayıt alıyor musunuz?
Yasal ve etik sınırlar dahilinde, yalnızca kurumla mutabık kalınan biçimde hareket edilir. Amaç kanıt toplamaktan çok, süreç zafiyetlerini belgelemektir. Tüm çalışma önceden yazılı olarak yetkilendirilir.
Yardım masamız özellikle test edilebilir mi?
Evet. Yardım masaları, parola sıfırlama ve hesap erişimi gibi kritik işlemleri yaptığı için sosyal mühendislerin bir numaralı telefon hedefidir. Bu ekibin doğrulama süreçlerini test etmek yüksek değerlidir.