社工测试

利用黑客惯常使用的社工攻击方式（如邮件钓鱼、短信钓鱼、WIFI钓鱼、USB设备钓鱼、内网摆渡等），对全体员工开展钓鱼攻击，形成测试报告给予公布，让员工了解黑客常见的攻击方式及各种攻击场景，提高全员网络安全意识。

钓鱼测试：

短信、网络、邮件钓鱼作为不法分子经常使用的手段，利用的是人们对信息的信任感发起攻击行为。钓鱼测试模拟系统通过模拟向体验者发送真实短信、邮件、二维码扫码界面，实现钓鱼体验链接的传递。我们通过制作和真实网站相似度极高的页面及获取信息展示界面，旨在让被测人员认真对待手机收到的每一条短信，擦亮眼睛明辨真假信息，遇到陌生信息提高警惕。

WIFI钓鱼：

我们经常通过公共场所的Wi-Fi来上网，其实“蹭网”也是有风险的，WiFi威胁钓鱼旨在让大家真实体验陌生WiFi信息泄露风险。

系统涵盖内容：

1）输入内容监听子系统,连接wifi热点。当终端设备在web页面输入内容时，输入内容被截获；

2)web内容截获子系统，连接wifi热点。当终端设备浏览网页时，浏览内容被演示主机截获；

3）网页内容篡改子系统，连接wifi热点，设备在访问固定网页时，发现网页内容被篡改，包括文字插入、替换、图片倒置等。

二维码木马植入：

手机乱下app可能会导致你的手机被种上木马，这是广大民众生活中经常遇到的场景，有些不法分子会将木马嵌入到真实app中，诱导群众进行点击下载。而扫描二维码也是我们最经常使用的功能，二维码木马植入场景通过伪造二维码的弹出界面，诱导群众进行点击下载，开发此场景旨在警示广大群众，遇见陌生二维码要警惕，应用下载需当心，具体场景如下：

1）扫描二维码后会弹出拆红包界面，点击“拆”后则会诱导群众下载app进行领奖；

2）点击下载的app为正常签名app，app各项功能皆可正常使用，但其为被改装过的恶意程序；

3）被测试人员可通过扫描二维码体验被植入过程，通过操作大屏进行对远程手机的控制，包括拍照、通讯录、短信内容的截获。

U盘数据盗取：

U盘插入电脑后，在不进行任何操作的情况下，U盘里的数据是可以被电脑隐匿的拷贝。

通过社工测试暴露出诸多的安全意识薄弱点，云智信安从安全角度提高企业员工网络安全素质，通过评估，发现企业及员工信息安全薄弱点，以沉浸式体验方式，制定具有针对性的社工测试方案，提升企业全员信息安全意识，避免人为信息安全事件的发生，使企业安全防护能力在现有基础上得到最大化提升，持续良性发展，避免不必要的损失。