Przejdź do treści
Cyberbezpieczeństwo

Testy Socjotechniczne

Najlepsze firewalle i EDR nie pomogą gdy pracownik kliknie w phishing. Testujemy odporność zespołu na manipulację: email, telefon, fizyczny dostęp. Mierzysz podatność i szkol isz świadomie.

Umów bezpłatną konsultację Zobacz szczegóły
Opiekun handlowy
Grzegorz Gnych

Grzegorz Gnych

Opiekun handlowy

+48 664 003 003grzegorz.gnych@nflo.pl

Czym są testy socjotechniczne?

Testy socjotechniczne to kontrolowane symulacje ataków wykorzystujących czynnik ludzki: kampanie phishingowe, ataki telefoniczne (vishing), próby fizycznego dostępu do biura (tailgating, impersonacja) i scenariusze pretekstowe — mierzone konkretnymi wskaźnikami jak click rate, credential submit rate i time to report. nFlo projektuje scenariusze dopasowane do branży i kontekstu organizacji, dostarcza mapę podatności według działów i prowadzi warsztaty świadomościowe, które budują trwałą kulturę bezpieczeństwa.

Realistic scenarios
Prawdziwe kampanie
Click rate metrics
Konkretne wskaźniki
Szkolenia follow-up
Nie tylko test

Jeden klik = dostęp do całej sieci firmowej

82% naruszeń bezpieczeństwa wykorzystuje inżynierię społeczną

Kompleksowe testy odporności na manipulację

Phishing Campaigns

Realistyczne wiadomości email dostosowane do branży

Vishing & Pretexting

Testy telefoniczne i scenariusze pretekstowe

Physical SE

Próby fizycznego dostępu do biura

Czym są Testy socjotechniczne?

Testy socjotechniczne to kontrolowane symulacje ataków wykorzystujących czynnik ludzki (phishing, vishing, pretexting, tailgating), mające na celu ocenę świadomości bezpieczeństwa pracowników i skuteczności procedur reagowania.

AtrybutWartość
RodzajePhishing, vishing, smishing, physical
CelOcena awareness i procedur
RaportStatystyki + rekomendacje szkoleniowe
Czas realizacji2-4 tygodnie
Cenaod 15 000 PLN (stan na 2026)

650 tys. EUR transferu przez BEC - prawdziwa historia

Dyrektor finansowy firmy produkcyjnej otrzymał email od “prezesa” z prośbą o pilny przelew 650 tys. EUR dla kluczowego dostawcy. Email wyglądał autentycznie: podobna domena (company-inc.com zamiast company.com), podpis z logo, ton komunikacji taki jak zwykle.

CFO wykonał przelew. Pieniądze przepadły. Email był sfałszowany - atakujący przez tydzień obserwował komunikację (skompromitowana skrzynka asystentki) i czekał na okazję.

Bez testów socjotechnicznych:

  • Pracownicy nie rozpoznają wyrafinowanego phishingu
  • Brak procedur weryfikacji nietypowych próśb (telefon zwrotny)
  • Nieświadomość technik manipulacji (urgency, authority)
  • Fałszywe poczucie bezpieczeństwa (“nas to nie dotyczy”)

Symulujemy realne ataki, mierzymy reakcje, szkolimy

Nie wysyłamy oczywistego phishingu “You won $1M”. Projektujemy scenariusze dopasowane do Twojej branży i kontekstu. Phishing od “HR”, vishing od “IT support”, tailgating jako “kurier”. Tak jak robią to prawdziwi atakujący.

Co dostajesz:

  • OSINT reconnaissance (co atakujący wie o Twojej firmie)
  • Kampanie phishingowe dostosowane do branży (3-5 scenariuszy)
  • Testy vishing (voice phishing przez telefon)
  • Physical security testing (próby dostępu do biura)
  • Pretexting scenarios (manipulacja przez wymyślone preteksty)
  • Metryki: click rate, credential submit rate, time to report
  • Identyfikację najbardziej podatnych grup (działy, stanowiska)
  • Raport z heat map podatności w organizacji
  • Targeted training dla najbardziej podatnych osób
  • Warsztaty świadomościowe dla całego zespołu (optional)

Dla kogo?

Ta usługa jest dla Ciebie, jeśli:

  • Chcesz zmierzyć realną odporność zespołu na ataki socjotechniczne
  • Miałeś incydent phishingu i chcesz zapobiec kolejnym
  • Potrzebujesz spełnić wymogi compliance (awareness training)
  • Wdrażasz kulturę bezpieczeństwa i chcesz ją zmierzyć

Zakres testów

1. Email Phishing Campaigns

Typy kampanii:

  • Spear phishing - targetowane wiadomości do kluczowych osób
  • Brand impersonation - podszywanie się pod znane marki
  • Internal phishing - email od “IT”, “HR”, “CEO”
  • Credential harvesting - fake login pages (Office 365, VPN)
  • Malicious attachments - makro-enabled documents, ISO files

Scenariusze przykładowe:

  • “IT wymaga zmiany hasła Office 365”
  • “HR prosi o aktualizację danych osobowych”
  • “CEO pilnie potrzebuje dostępu do dokumentu”
  • “Fake faktura od dostawcy z payment link”
  • “LinkedIn connection request z malicious PDF”

Metryki:

  • Email delivery rate
  • Open rate
  • Click rate (kliknięcie w link)
  • Credential submit rate (wprowadzenie danych)
  • Malware execution rate (otwarcie attachmentu)
  • Time to report (ile osób zgłosiło do IT/security)

2. Vishing (Voice Phishing)

Scenariusze:

  • “IT support” prosi o hasło do rozwiązania problemu
  • “Bank” informuje o podejrzanej transakcji
  • “Dostawca” prosi o weryfikację payment details
  • “CEO” pilnie potrzebuje konkretnej informacji

Co testujemy:

  • Czy pracownicy weryfikują tożsamość dzwoniącego
  • Czy przekazują wrażliwe informacje przez telefon
  • Czy eskalują nietypowe prośby do przełożonego
  • Time to detection (czy rozpoznają atak)

3. Physical Social Engineering

Testy dostępu fizycznego:

  • Tailgating - wejście za upoważnioną osobą
  • Impersonation - podszywanie się (kurier, serwisant, audytor)
  • Dumpster diving - przeszukiwanie śmieci (dokumenty, nośniki)
  • Badge cloning - próba skopiowania karty dostępu
  • USB drop - pozostawienie zainfekowanych pendrive’ów

Co sprawdzamy:

  • Czy recepcja weryfikuje tożsamość gości
  • Czy pracownicy przepuszczają nieznajomych
  • Czy wrażliwe dokumenty są niszczone (shredder)
  • Czy znalezione USB są podłączane do komputerów

4. Pretexting

Scenariusze:

  • Fałszywy pretext do zdobycia informacji
  • Impersonacja przełożonego (fake authority)
  • Urgency scenarios (“musimy to zrobić natychmiast”)
  • Reciprocity (“pomogłem Ci, teraz Ty pomóż mi”)

5. OSINT (przygotowanie)

Przed testami zbieramy informacje jak prawdziwy atakujący:

  • Struktura organizacji (LinkedIn)
  • Email patterns (firstname.lastname@)
  • Technologie używane (job postings, LinkedIn)
  • Informacje o pracownikach (social media)
  • Public leaks (haveibeenpwned, breached databases)

Metodyka

Pracujemy zgodnie z uznanymi frameworkami:

  • Social Engineering Toolkit (SET)
  • Gophish - platforma phishing campaigns
  • OSINT Framework - zbieranie informacji
  • Custom tools - dla zaawansowanych scenariuszy

Etyka i legalność

  • Pełna zgoda zarządu przed testami
  • Nie grozimy ani nie straszymy pracowników
  • Nie używamy zebranych danych w sposób nieuprawniony
  • Po testach - educational debrief, nie “name and shame”

Powiązane pojęcia

Dowiedz się więcej o kluczowych pojęciach związanych z tą usługą:

Skontaktuj się z opiekunem

Porozmawiaj o Testy Socjotechniczne z dedykowanym opiekunem handlowym.

Opiekun handlowy
Grzegorz Gnych

Grzegorz Gnych

Opiekun handlowy

+48 664 003 003grzegorz.gnych@nflo.pl
Odpowiedz w ciagu 24 godzin
Bezplatna konsultacja
Indywidualna wycena

Podanie numeru telefonu przyspieszy kontakt.

Jak pracujemy

Sprawdzony proces realizacji usługi.

01

OSINT Research

Zbieranie informacji o firmie i pracownikach

02

Scenario Design

Projektowanie realistycznych scenariuszy ataków

03

Campaign Execution

Przeprowadzenie testów phishing/vishing/physical

04

Metrics Analysis

Analiza click rate, success rate, time to report

05

Raport i szkolenie

Dokumentacja wyników + warsztaty świadomościowe

Korzyści dla Twojej firmy

Co zyskujesz wybierając tę usługę.

Mniejsze ryzyko phishingu

Pracownicy rozpoznają i zgłaszają zagrożenia

Mierzysz postępy

Konkretne metryki poprawy świadomości

Unikniesz BEC i CEO fraud

Zespół weryfikuje nietypowe prośby

Kultura bezpieczeństwa

Bezpieczeństwo staje się częścią DNA firmy

Powiązane artykuły

Pogłęb swoją wiedzę z naszej bazy wiedzy.

Baza wiedzy

AI w cyberbezpieczeństwie — zastosowania ofensywne i defensywne w 2026 roku

AI w cyberatakach vs AI w cyberobronie — deepfake, spearphishing, anomaly detection, threat hunting, SOAR. Case studies i prognozy 2026.

Czytaj więcej →
Baza wiedzy

Co to jest socjotechnika? Metody ataków social engineering i obrona

Socjotechnika to manipulacja ludźmi w celu uzyskania poufnych informacji. Poznaj techniki ataków, psychologię manipulacji i metody obrony.

Czytaj więcej →
Baza wiedzy

ClickFix i DNS staging — atak socjotechniczny, w którym nslookup staje się bronią

Technika ClickFix z DNS staging omija zabezpieczenia, używając nslookup jako wektora. Poznaj łańcuch infekcji, mechanizm i skuteczne metody obrony przed atakiem.

Czytaj więcej →

Najczęściej zadawane pytania

Odpowiedzi na pytania dotyczące Testy Socjotechniczne.

Ile kosztują testy socjotechniczne?

Podstawowa kampania phishingowa (1 scenariusz, 100-500 pracowników): 15 000 - 25 000 PLN. Kompleksowy program (phishing + vishing + physical + szkolenia): 40 000 - 80 000 PLN. Program roczny (kampanie kwartalne): 80 000 - 150 000 PLN.

Czy pracownicy będą wiedzieć, że to test?

Nie - to zepsułoby wyniki. Testy są niezapowiedziane. Po zakończeniu kampanii informujemy wszystkich uczestników i przeprowadzamy sesję edukacyjną. Cel to edukacja, nie piętnowanie.

Co jeśli pracownik kliknie w phishing?

To normalne i oczekiwane - dlatego robimy testy. Nie karamy osób które kliknęły. Zamiast tego oferujemy dodatkowe szkolenie. Typowo 20-30% klika przy pierwszej kampanii.

Ile trwa kampania phishingowa?

Typowa kampania trwa 2-4 tygodnie. Emaile wysyłamy stopniowo (nie wszystkie naraz) aby obserwować reakcje i time to report. Testy vishing i physical SE to 1-2 dni.

Jakie scenariusze phishingowe używacie?

Projektujemy scenariusze dopasowane do branży i kontekstu: email od 'HR' o aktualizacji danych, 'IT' o zmianie hasła, fake faktura od dostawcy, LinkedIn request z załącznikiem. Tak jak robią prawdziwi atakujący.

Chcesz obniżyć ryzyko i koszty IT?

Umów bezpłatną konsultację - odpowiemy w ciągu 24h

Odpowiedź w 24h Bezpłatna wycena Bez zobowiązań
Umów rozmowę +48 22 487 86 36

Lub pobierz bezpłatny przewodnik:

Pobierz checklistę NIS2