Клиент - международный банк с общими активами 2,5 миллиарда долларов США.
Наша команда по тестированию на проникновение получила задание сымитировать реальную хакерскую атаку на отделение банка в Центральной Европе в рамках проверки безопасности клиентских данных и соответствия требованиям. Тест на проникновение проводился с точки зрения "черного ящика" (то есть ноль исходной информации, кроме названия организации-мишени).
Путем построения атаки мы смогли получить доступ к основным процессинговым системам и системе SWIFT. Более того, команда нашла способ переводить деньги с одного банковского счета на другой от имени других клиентов. Таким образом, цель теста была успешно достигнута.
ОСОБЕННОСТИ ТЕСТИРОВАНИЯ
Подготовка
Компрометация HTTP-соединения:
Сценарий взлома:
Симуляция действий противника позволила нам продемонстрировать полный путь компрометации путем использования одной уязвимости во внешней сети в сочетании с одной успешной фишинговой атакой. На этапе устранения последствий мы тесно сотрудничали с командой IT-безопасности клиента, чтобы немедленно устранить все найденные уязвимости и применить лучшие практики безопасности. Благодаря этому тесту на проникновение банку удалось избежать компрометации учетных записей пользователей и уменьшить бизнес-риски, такие как потеря финансов и данных, а также репутационные убытки. В результате наш клиент разработал лучшие практики безопасности и смог соответствовать высокому уровню комплаенса и регуляторных стандартов.