EN ID TH
Red Team → Phishing Campaigns

Phishing Campaigns

Simulasi phishing tertarget, mengukur kerentanan karyawan, memvalidasi deteksi dan respons, serta mendorong peningkatan pelatihan yang tertarget.

Phishing tetap menjadi vektor initial-access tunggal yang paling umum dalam kebocoran di dunia nyata. Kampanye phishing mengukur sejauh mana organisasi benar-benar bertahan menghadapinya, bukan sekadar persentase pengguna yang mengklik, tetapi apa yang terjadi selanjutnya ketika credential, kode MFA, atau session token berhasil ditangkap.

Pengujian berkisar dari kampanye bergaya awareness (luas, kecanggihan lebih rendah, fokus pelatihan) hingga kampanye bertarget yang selaras dengan red team (bypass MFA, session-token capture, impersonasi bergaya BEC, pengiriman payload untuk aktivitas lanjutan). Kecanggihan, ruang lingkup, dan visibilitas terhadap blue team semuanya didefinisikan di awal.

Sebagian besar klien menggabungkan kampanye tertarget tahunan dengan kampanye awareness reguler yang disampaikan oleh tim mereka sendiri, mengukur tingkat kerentanan karyawan dari waktu ke waktu sambil menjaga sisi teknis pengujian tetap valid dan tidak bias.

Mengapa Hal Ini Penting

Risiko yang dihadapi organisasi Anda.

Sebagian besar pelanggaran dimulai dengan phishing

Tahun demi tahun, phishing tetap menjadi vektor initial-access tunggal yang paling umum, termasuk pada environment yang dilindungi MFA, tempat penyerang kini lazim menangkap session token alih-alih password.

Pelatihan awareness tanpa pengujian adalah harapan

Program pelatihan terasa produktif. Tanpa pengukuran berkala, tidak ada bukti bahwa program tersebut mengubah perilaku.

Ruang Lingkup & Cakupan

Yang kami uji.

Tipe Kampanye

  • Phishing umum
  • Spear phishing
  • Whaling
  • Bypass MFA / pencurian session token
  • Impersonasi bergaya BEC
  • Vishing dan smishing (jika dalam ruang lingkup)

Fase Program

  • Perencanaan pra-engagement
  • Desain dan pengembangan kampanye
  • Eksekusi dan monitoring
  • Analisis dan pelaporan
  • Debriefing dan pelatihan pascapengujian
Yang biasa kami temukan

Kelemahan yang secara konsisten muncul pada engagement seperti ini.

Dirangkum dari kategori temuan yang umum dihasilkan konsultan kami pada engagement sejenis. Tingkat keparahan dan frekuensi bervariasi sesuai lingkungan dan kematangan organisasi.

Keberhasilan bypass MFA

Session-token capture melalui phishing kit berbasis reverse-proxy yang berhasil terhadap alur MFA berbasis TOTP dan push.

Kerusakan proses pasca-click

Email phishing yang dilaporkan diarahkan ke mailbox generik yang tidak dimonitor siapa pun; tidak ada reset credential otomatis pada eksposur yang dilaporkan; help-desk mereset token MFA tanpa verifikasi identitas.

Susceptibility pengguna ber-privilege tinggi

Pengguna senior atau ber-privilege dengan tingkat click lebih tinggi daripada populasi umum, pola yang sangat berbahaya.

Model Engagement

Jalur kerja terstruktur dan berbasis intelijen pada setiap engagement.

Setiap engagement mengikuti alur disiplin yang sama melalui platform Velocity, sehingga kualitas, ketertelusuran, dan pelaporan konsisten di seluruh tim.

Penetapan Ruang Lingkup

Tetapkan aset, lingkungan, Rules of Engagement, dan kriteria penerimaan bersama para pemangku kepentingan teknis dan keamanan.

Pelaksanaan

Pengujian manual dan berbantuan tools oleh konsultan tersertifikasi CREST, dengan bukti yang ditangkap pada setiap langkah.

Validasi

Setiap temuan direproduksi, dinilai risikonya menggunakan CVSS, dan dikonfirmasi oleh konsultan kedua sebelum dilaporkan.

Pelaporan

Laporan yang ditandatangani secara kriptografis, dengan ketertelusuran ke setiap Test Case, peringkat tingkat keparahan, langkah reproduksi, dan rekomendasi remediasi.

Debrief & Retest

Pemaparan temuan kepada pemangku kepentingan, dukungan prioritisasi, dan siklus retest atas temuan yang telah diremediasi.

Pertanyaan yang Sering Diajukan

Pertanyaan umum dari calon klien.

Apakah Anda menguji bypass MFA? +

Ya, semakin menjadi default. Adversary modern rutin mem-bypass MFA via phishing kit berbasis reverse-proxy. Pengujian terhadap model phishing pra-2020 tanpa bypass MFA tidak lagi realistis.

Bagaimana kampanye disetujui secara internal? +

Perencanaan pra-engagement melingkup stakeholder legal, HR, dan komunikasi. Rules of Engagement mendefinisikan daftar eksplisit siapa yang masuk/keluar ruang lingkup, konten apa yang dapat diterima, dan bagaimana disclosure terjadi setelah kampanye.

Uji Pertahanan Anda dengan Pendekatan Adversarial Ofensif

Konsultasikan kebutuhan Pengujian Penetrasi berikutnya dengan konsultan tersertifikasi CREST kami.

Konsultasi dengan Pakar