Sprawdź odporność na phishing
i ataki socjotechniczne

Kontrolowane, realistyczne kampanie mailowe wysyłane z dedykowanej infrastruktury VIPentest. Klonowanie marek Microsoft 365, Google Workspace, polskich banków (PKO, mBank, ING, Pekao, Santander), kurierów (InPost, DHL, UPS) oraz aplikacji wewnętrznych klienta. Bypass filtrów antyspamowych przy zachowaniu pełnej legalności i audit trail.

• Klonowanie portali logowania: M365, Google, Okta, Azure AD, OneLogin, ADFS, intranet klienta — pixel-perfect kopia z poprawnym certyfikatem TLS
• Bypass SEG: Weryfikacja, jak realnie pracuje Microsoft Defender, Proofpoint, Mimecast, Barracuda. Identyfikacja, które typy phishy przechodzą
• Tracking pełnego funnelu: Open rate, click rate, submit rate, MFA bypass rate, otwarcia załączników, time-to-first-click, time-to-first-report
• Realne payloady: Dokumenty z makrami w sandboxie, OneNote / ISO / HTML smuggling, AiTM przez Evilginx2 (z autoryzacją)
• Wielojęzyczność: Polski (kluczowy), angielski, niemiecki, ukraiński — dla organizacji wielokulturowych
• Realne brandowanie: Domeny typosquatted, IDN homograph, dedykowane certyfikaty Let's Encrypt z OCSP stapling

Wyspecjalizowane kampanie przeciwko CEO, CFO, członkom zarządu, CISO oraz osobom o krytycznym dostępie. Symulacja zaawansowanego threat actora (APT) — dni rekonesansu, godziny researchu na osobę, precyzyjny pretext. Whaling ma zazwyczaj 5–10× wyższy success rate niż masowy phishing, dlatego wymaga osobnego programu szkoleń dla kadry C-level.

• Deep OSINT: LinkedIn, X, kalendarz konferencji, podcasty, panele eksperckie, sprawozdania finansowe, wycieki danych
• Konstrukcja pretextu: Inwestor, regulator, dziennikarz branżowy, headhunter, organizator wydarzenia, klient strategiczny
• Vector blended: Połączenie LinkedIn message + email + telefon + spotkanie online — kilkutygodniowy build-up zaufania
• Deepfake voice samples: Trening modelu na publicznych wystąpieniach prezesa i symulacja vishingu CFO (za zgodą)
• Calendar phishing: Fałszywe zaproszenia Google Calendar / Outlook z embedded links
• Executive coaching: Indywidualny debriefing 1-na-1 z każdym członkiem zarządu, który dał się złapać

Symulowane ataki telefoniczne kierowane do helpdesku IT, recepcji, działów finansowych, sprzedaży oraz infolinii klienta. Najczęściej zaniedbany wektor, mimo że to właśnie telefon do helpdesku jest klasyczną drogą do resetu hasła konta administracyjnego (Twitter 2020, MGM Resorts 2023, Cisco 2022).

• Helpdesk reset hasła: Próba zmuszenia agenta do resetu hasła konta admin / VIP poprzez urgent pretext
• MFA enrollment bypass: Wymuszenie dodania "nowego" urządzenia 2FA do konta ofiary
• Information harvest: Subtelne wyciąganie informacji z recepcji, sprzedaży, finansów — schemat organizacji, struktura, kontakty
• CallerID spoofing: Wyświetlanie wewnętrznego numeru organizacji lub numeru kontrahenta (legalnie, z zgodą)
• AI Voice Cloning: Symulacja deepfake CFO/CEO żądającego pilnego przelewu (osobny moduł, pełna zgoda prawna)
• Audit trail: Każda rozmowa nagrana (z zgodą uczestnika kampanii — administratora), pełen transkrypt w raporcie

Komunikatory są dziś znacznie słabiej chronione niż email. Smishing potrafi mieć 5–10× wyższy click rate niż phishing mailowy, ponieważ ofiara nie ma do dyspozycji nagłówków, hover preview, ani sandboxa. Atakujący masowo migrują na SMS, WhatsApp i Teams.

• SMS kampanie: Bramy SMS z rotującymi numerami (PL, UK, DE), shortenery URL, geo-fencing dostarczania
• WhatsApp Business: Konto firmowe z weryfikacją, profilem dostawcy/banku, multimedia jako bait
• Signal i Telegram: Phishing 1-on-1 z udawanym recruiterem, project managerem zewnętrznym, partnerem biznesowym
• Microsoft Teams External: Wykorzystanie konta z innej tenant w celu omijania filtrów (Storm-0324, Storm-0539 actors)
• Push notification spam: Wymuszenie błędnej akceptacji MFA przez zalanie pracownika powiadomieniami
• Dynamic URL rotation: Linki regenerujące się po wykryciu skanera, cloaking content per region/UA

BEC to w 2024-2026 najkosztowniejsza kategoria cyberprzestępczości — średnia strata 137 000 USD na incydent (FBI IC3). Atakujący podszywa się pod prezesa, CFO, dostawcę lub partnera w celu wymuszenia przelewu lub zmiany danych konta. Testujemy zarówno wektor techniczny (spoofing), jak i proceduralny (Four Eyes, callback).

• CEO Fraud: Mail/SMS od "prezesa" podczas jego wyjazdu — pilna prośba o przelew "poufnej transakcji"
• Change of bank account: Fałszywy mail dostawcy o zmianie konta przelewu na fakturach
• Fake invoice: Wysłanie fałszywej faktury podczas znanego okresu rozliczeniowego
• Payroll diversion: Wniosek "pracownika" do HR o zmianę numeru konta do wynagrodzenia
• Conversation hijacking: Wstrzyknięcie wiadomości w istniejący wątek rozmowy z dostawcą (po wcześniejszej kompromitacji)
• Audyt procedur: Weryfikacja Four Eyes, callback approval, verbal verification dla kwot > threshold

Fizyczna obecność w siedzibie klienta to często najszybsza droga do exfiltracji danych. Testujemy wszystkie warstwy fizycznego bezpieczeństwa — od recepcji, przez badge, escorting gości, aż po polityki czystego biurka i fizycznego dostępu do serwerowni.

• Tailgating: Próba wejścia za pracownikiem do strefy chronionej bez badge — pretext "zapomniałem karty", "jestem z serwisu"
• USB drop: Pozostawienie brandowanych pendrive'ów (z trackowanymi dokumentami HTA / LNK) na parkingu, w recepcji, kuchni
• Pretexting on-site: Podszywanie się pod serwis sprzątający, kuriera, audytora ISO, technika klimatyzacji
• Shoulder surfing: Próba podejrzenia haseł, ekranów z poufnymi danymi w open-space, kawiarniach, lotniskach
• Clean desk audit: Weryfikacja, czy w przestrzeniach biurowych nie pozostają hasła na karteczkach, dokumenty z PII, klucze
• Bypass badge access: Klonowanie kart RFID 125 kHz / 13.56 MHz, testy NFC, lockpicking podstawowych zamków

Threat landscape ewoluuje co kwartał. VIPentest regularnie aktualizuje portfolio scenariuszy o najnowsze techniki obserwowane w realnych atakach na klientów w UE i USA. W 2025-2026 dominują nowe wektory, na które klasyczne szkolenia nie odpowiadają.

• Quishing: Kody QR w drukowanej korespondencji, na parkingach, w mailach — bypass SEG i URL scannerów
• ClickFix / FileFix: Paste-to-run social engineering — komunikat "naciśnij Win+R i wklej" na fałszywej stronie
• Browser-in-the-Browser (BitB): Fałszywe okna SSO renderowane w iframe wewnątrz prawdziwej strony
• Callback Phishing (TOAD): Email bez linku z prośbą o telefon do callcenter — łączy email z vishingiem
• AiTM phishing kits: Evilginx2, Tycoon 2FA, Mamba 2FA — realne demo bypassu MFA i kradzieży cookies
• Deepfake video: Spotkania Teams/Zoom z deepfake CFO/CEO (przypadek Arup Group 2024 — strata 25M USD)

Sama kampania to tylko pomiar — bez programu szkoleniowego klikalność wraca do poziomu wyjściowego w ciągu 4-6 tygodni. VIPentest dostarcza kompleksowy, ciągły program security awareness zgodny z ISO/IEC 27001 Annex A.6.3, NIS2 oraz wymogami DORA.

• Just-in-time training: Pracownik, który kliknął, w ciągu sekund trafia na 90-sekundowy mikrolearning analizujący konkretnie ten scenariusz
• Mikrolearning kwartalny: 5–7 minutowe kursy w PL/EN dystrybuowane via email, intranet, Microsoft Viva Learning, SAP Litmos
• Role-based training: Osobne ścieżki dla zarządu, finansów, HR, helpdesk, deweloperów, sprzedaży
• Gamifikacja: Leaderboards działowe (anonimowe), badge za poprawne zgłoszenia, kwartalne nagrody
• Executive sessions: Dedykowane warsztaty dla zarządu — deepfake, BEC, OSINT na własną osobę
• Dashboard postępów: Real-time metryki dla CISO, mapa ryzyka per dział, trend 12-miesięczny, eksport do raportów compliance