Testy Socjotechniczne Vishing

Czym są Testy socjotechniczne - Vishing?

Testy socjotechniczne - Vishing to symulacje ataków telefonicznych (voice phishing), podczas których testerzy próbują wyłudzić poufne informacje od pracowników, weryfikując odporność na manipulację głosową i procedury weryfikacji tożsamości.

Atrybut	Wartość
Metoda	Ataki telefoniczne (voice phishing)
Scenariusze	IT support, bank, dostawca
Cel	Weryfikacja procedur telefonicznych
Czas realizacji	1-2 tygodnie
Cena	od 12 000 PLN (stan na 2026)

nFlo oferuje testy socjotechniczne - vishing dla firm w Polsce, zapewniając profesjonalne wsparcie i zgodność z najlepszymi praktykami branżowymi.

Transfer 280 tys. PLN przez jeden telefon - case study

Księgowa w firmie produkcyjnej odebrała telefon od “dyrektora finansowego” przebywającego “na spotkaniu z klientem”. Głos brzmiał znajomo (deepfake), sytuacja pilna: “Musimy zrealizować przelew dla nowego dostawcy, wyślę Ci dane emailem”.

Email przyszedł z podobnej domeny (company-inc.com zamiast company.com). Księgowa wykonała przelew 280 tys. PLN. Pieniądze przepadły. Nie zadzwoniła zwrotnie aby zweryfikować - “przecież to był głos szefa”.

Bez testów vishing:

• Pracownicy ufają głosowi w słuchawce bez weryfikacji
• Brak procedur callback verification dla nietypowych próśb
• Nieświadomość technik manipulacji głosowej (urgency, authority, reciprocity)
• Deepfake voice cloning staje się coraz łatwiejszy (AI)

Profesjonalni operatorzy, realistyczne scenariusze, zero stresu

Nie dzwonimy z groźbami ani nie wprowadzamy pracowników w stres. Testujemy reakcje na realistyczne scenariusze stosowane przez prawdziwych atakujących. Mierzymy czy zespół weryfikuje tożsamość przed wykonaniem akcji.

Co dostajesz:

• OSINT research (struktura firmy, jargon branżowy, technologie)
• 3-5 różnych scenariuszy vishing dopasowanych do kontekstu
• Profesjonalnych operatorów (nie automated calls)
• Targetowanie różnych grup (finance, IT, HR, executives)
• Metryki: success rate, verification attempts, escalation rate
• Audio recordings (za zgodą i tylko dla celów analizy)
• Dokumentację każdej rozmowy (transkrypcja, outcome)
• Raport z identyfikacją najbardziej podatnych osób/działów
• Rekomendacje procedur weryfikacji (callback process)
• Sesję edukacyjną dla zespołu (jak rozpoznać vishing)

Dla kogo?

Ta usługa jest dla Ciebie, jeśli:

• Finance team ma dostęp do transferów i obawiasz się BEC
• Chcesz wdrożyć procedury weryfikacji telefonicznej (call-back)
• Twoi pracownicy często otrzymują telefony z “pilnymi” prośbami
• Potrzebujesz zmierzyć podatność na voice phishing

Zakres testów

Scenariusze vishing

1. Fake IT Support

• Pretext: “Witam, IT helpdesk. Mamy awarię serwera, potrzebuję Pani hasła aby zresetować konto”
• Cel: Sprawdzenie czy przekazują credentials przez telefon
• Red flags: Proszenie o hasło, brak ticket number, urgency

2. Executive Impersonation

• Pretext: “Tu dyrektor X, jestem na spotkaniu i pilnie potrzebuję dostępu do dokumentu Y”
• Cel: Sprawdzenie czy weryfikują tożsamość przełożonych
• Red flags: Nietypowa prośba, urgency, pressure

3. Vendor/Partner Verification

• Pretext: “Dzwonię z firmy ABC, współpracujemy z Państwem. Muszę zweryfikować szczegóły płatności”
• Cel: Sprawdzenie czy weryfikują tożsamość kontrahentów
• Red flags: Prośba o payment details, brak context

4. Bank/Financial Institution

• Pretext: “Bezpieczeństwo banku X. Zarejestrowaliśmy podejrzaną transakcję, proszę potwierdzić dane karty”
• Cel: Sprawdzenie reakcji na “authority” pretexting
• Red flags: Proszenie o dane karty, PIN, hasła

5. HR/Recruitment

• Pretext: “HR department. Weryfikujemy dane pracowników do systemu kadrowego, proszę potwierdzić PESEL i adres”
• Cel: Sprawdzenie czy przekazują dane osobowe
• Red flags: Proszenie o PESEL, dane osobowe przez telefon

6. Emergency/Crisis

• Pretext: “Witam, security. Mamy incident bezpieczeństwa, proszę natychmiast zmienić hasła i podać nowe”
• Cel: Sprawdzenie reakcji na stres i urgency
• Red flags: Extreme urgency, fear tactics, immediate action required

Techniki manipulacji

Testujemy odporność na klasyczne techniki social engineering:

Authority - Podszywanie się pod przełożonych, IT, security Urgency - “Musimy to zrobić natychmiast” Fear - “Jeśli nie zrobimy tego teraz, będą konsekwencje” Reciprocity - “Pomogłem Panu wcześniej, teraz proszę o pomoc” Social proof - “Wszyscy w dziale już to zrobili” Scarcity - “To jedyna szansa, potem będzie za późno”

Grupy docelowe

Targetujemy różne grupy aby zmapować podatność:

• Finance/Accounting - najpilniejszy cel (dostęp do płatności)
• IT Helpdesk - często proszeni o resetowanie haseł
• HR - dostęp do danych osobowych
• Executives - mało czasu, duży autorytet = łatwy target
• Reception - pierwsza linia kontaktu
• Nowi pracownicy - mniej świadomi procedur

Metryki

Dla każdej kampanii mierzymy:

Success Rate - % osób które wykonały żądaną akcję (podały hasło, przełączyły na numer, etc.)

Verification Attempts - % osób które próbowały zweryfikować tożsamość dzwoniącego

Escalation Rate - % osób które eskalowały nietypową prośbę do przełożonego

Time to Suspicion - Jak długo trwało zanim rozmówca zaczął podejrzewać oszustwo

Callback Rate - % osób które zadzwoniły zwrotnie aby zweryfikować

Credential Disclosure - % osób które podały wrażliwe informacje

Raport z heat map

Identyfikujemy:

• Najbardziej podatne działy
• Najbardziej skuteczne scenariusze
• Common weaknesses
• Best responders (do wyróżnienia i nauki)

Etyka i metodyka

Zasady ethical vishing

• Zgoda zarządu - Pełna autoryzacja przed testami
• No harm - Nie grozimy, nie wprowadzamy w długotrwały stres
• No real damage - Nie prosimy o wykonanie rzeczywistych transferów
• Educational debrief - Po testach: sesja edukacyjna, nie “name and shame”
• Confidentiality - Recordings tylko dla celów analizy, potem niszczone
• Legal compliance - RODO, recording consent gdzie wymagane

Nagrywanie rozmów

• Nagrania tylko za zgodą (informujemy po teście)
• Używane wyłącznie do analizy i debriefingu
• Niszczone po zakończeniu projektu
• Nie udostępniane osobom trzecim