Зв’язатися

Тестування фішингу та соціальної інженерії

Ми проєктуємо фішингові кампанії навколо вашої реальної організації — ваших людей, процесів та інструментів — щоб виміряти, як ваша команда реагує на реалістичну цільову атаку, а не на загальний шаблон, який вони помітять за секунду.

Зв’язатися

Нам довіряють

Знайома ситуація?

Невідома експозиція

У вас немає реальної цифри, як реагує ваша команда.

Тренінги провели, плакати розвісили — але ви ніколи не вимірювали, що відбувається, коли переконливе, адаптоване повідомлення справді доходить. Ви лише здогадуєтеся про свій найбільший ризик.

Загальне ≠ реалістичне

Останній фішинговий тест був надто очевидним, щоб щось означати.

Масовий лист «оновіть пароль», який усі проігнорували, не доводить нічого. Справжні зловмисники спершу досліджують вашу компанію — тест, що цього не робить, не перевіряє загрозу, з якою ви насправді стикаєтеся.

Після інциденту

Хтось клікнув, і тепер керівництво хоче відповідей.

Справжній фішинговий лист пройшов. Вам треба зрозуміти, як це вдалося, хто під ризиком і чи дійде наступний — підкріплено незалежною оцінкою, а не внутрішніми здогадами.

Compliance

Аудит чи стандарт вимагає тесту соціальної інженерії.

SOC 2, ISO 27001 чи галузевий регулятор тепер очікують доказів тестування стійкості до фішингу. Вам потрібна задокументована незалежна кампанія та звіт, що задовольняють вимогу.

Вимога клієнта

Клієнт хоче доказів, що ваших людей не зможуть зафішити заради його даних.

Як їхній постачальник, ви маєте доступ до їхнього середовища чи даних. Їхня команда безпеки хоче доказів, що ваші працівники стійкі до цільового фішингу — перш ніж довірити це вам.

Реакція, а не лише кліки

Ви не знаєте, чи повідомила б ваша команда про атаку.

Клік — це половина картини. Важливе питання — чи здійме хтось тривогу достатньо швидко, щоб ваш SOC устиг відреагувати — а ви ніколи цього не перевіряли.

Ціна бездіяльності

68%

зломів залучають людський фактор — фішинг лишається найпоширенішим шляхом в організацію, у будь-якій галузі та розмірі.

Under 60 sec

медіанний час, за який користувач клікає фішингове посилання й віддає облікові дані, щойно доходить переконливе, вчасне повідомлення.

1 reply

достатньо. Достатньо однієї людини, одного адаптованого повідомлення, одних облікових даних — і міцність ваших фаєрволів перестає мати значення.

Що саме тестувати

Цільові кампанії, побудовані навколо того, як насправді працюють ваші люди — щоб виміряти і хто піддається, і хто повідомляє.

Цільовий spear-phishing

Повідомлення, створені для конкретних людей чи команд із реальним контекстом — імена, інструменти, проєкти й час, які зловмисник дослідив би — щоб перевірити стійкість до правдоподібної персоналізованої атаки.

Сценарії з бізнес-приводом

Повноцінні сценарії, що відображають ваші реальні процеси (погодження рахунку, ІТ-міграція, запит від HR чи постачальника), щоб перевірити, чи обходить правдоподібна бізнес-історія підозру.

Техніки та вектори

  • Збір облікових даних (фейковий вхід)
  • Підроблені / схожі домени
  • Підміна імені відправника
  • Шкідливе вкладення
  • Шкідливе посилання
  • Фейковий обмін документами / портал
  • Фішинг згоди OAuth
  • MFA-fatigue / push bombing
  • Перехоплення MFA (relay)
  • Видавання за бренд
  • Видавання за внутрішнього відправника
  • Видавання за керівника / CEO
  • Видавання за постачальника
  • Привід ІТ / helpdesk
  • Привід HR / нарахування зарплати
  • Привід рахунку / платежу
  • Принади через календар і запрошення на зустрічі
  • Тиск терміновістю та авторитетом
  • Перехоплення ланцюжка листування
  • QR-фішинг (quishing)
  • Принади з верифікацією акаунта
  • Принади зі скиданням пароля
  • Умовні / поетапні навантаження

Кого і що ми атакуємо

  • Керівники та топменеджмент
  • Фінанси / кредиторська заборгованість
  • HR та нарахування зарплати
  • Працівники ІТ та helpdesk
  • Інженери / розробники
  • Продажі та команди роботи з клієнтами
  • Закупівлі / менеджери з постачальників
  • Нові працівники
  • Власники привілейованого доступу
  • Адмін- та сапорт-акаунти
  • Спільні / рольові поштові скриньки
  • Окремі відділи за ризиком
  • Поштовий шлюз та фільтрація
  • Виявлення шкідливих посилань/вкладень
  • Поведінка введення облікових даних
  • Поведінка підтвердження MFA
  • Повідомлення про інцидент та шлях ескалації
  • Час реакції SOC / моніторингу
  • Ефективність обізнаності з безпеки
  • Наскрізний процес реагування

Що насправді означає ручне

Більшість фішингових тестів зупиняються на показнику кліків. Для нас це лише відправна точка.

Приклад: збір облікових даних

Рівень 1 — Поверхневий

Загальна розсилка

Типовий результат для готові фішингові інструменти

Загальний фішинговий інструмент розсилає всім шаблонний лист «скиньте пароль» і рахує, хто клікнув.

Рівень 2 — Стандартний

Стандартний тест

Типовий результат для більшість вендорів фішинг-тестів

Стандартний тест розгортає правдоподібну сторінку входу й збирає облікові дані користувачів, що їх вводять, потім повідомляє показник кліків/відправлень — і зупиняється, ніколи не використовуючи зібране.

Рівень 3 — Глибокий

Цільовий ланцюжок і вплив

Типовий результат для XRAY CyberSecurity

Досліджуємо ваших людей та інструменти, створюємо spear-phish, що видає себе за систему, якою справді користується ваша фінансова чи ІТ-команда, збираємо облікові дані, ретранслюємо їх, щоб подолати MFA в реальному часі, отримуємо доступ до пошти чи SSO, переходимо до внутрішніх систем — і демонструємо повний шлях від одного листа до реального доступу, а також чи хтось це виявив або повідомив.

Приклад: бізнес-привід (постачальник / рахунок)

Рівень 1 — Поверхневий

Загальна розсилка

Типовий результат для готові фішингові інструменти

Загальна кампанія розсилає універсальну принаду «рахунок у вкладенні» широкому списку.

Рівень 2 — Стандартний

Стандартний тест

Типовий результат для більшість вендорів фішинг-тестів

Стандартний тест домагається, щоб кілька отримувачів відкрили вкладення чи відповіли, щоб довести, що принада спрацьовує, фіксує цифри — і зупиняється, перш ніж настане будь-яка реальна дія.

Рівень 3 — Глибокий

Цільовий ланцюжок і вплив

Типовий результат для XRAY CyberSecurity

Будуємо привід навколо реального постачальника, проєкту та людини, прив’язуємо його до ваших справжніх процесів, втягуємо фінанси в правдоподібне листування, підводимо їх до шахрайського платежу чи передачі даних і демонструємо бізнес-вплив крок за кроком — водночас вимірюючи, як швидко ваша команда та SOC це виявлять.

Власні ланцюжки

У кожної організації — свій шлях усередину

Ваш складається з ваших людей, процесів, інструментів і контексту, який зловмисник може дослідити про вас.

Іноді привід спрацьовує від початку до кінця. Іноді пильний працівник чи контроль розриває його посередині — і ми повідомляємо, де саме та чому.

У будь-якому разі: ви бачите те, що насправді бачить зловмисник.

Не впевнені, як ваша команда впоралася б із цільовою атакою? Дізнаймося — безпечно.

Senior-пентестер (а не менеджер з продажів) повернеться до вас із чесною оцінкою того, що справді варто тестувати.

Зв’язатися Записатися на дзвінок
Кейси

З реальних проєктів

Кілька проєктів, що показують, як виглядає робота з нами — у масштабі, роками, у різних галузях.

Виробництво · FMCG

Серія пентест-проєктів для глобальної food & beverage компанії, що працює у 120+ країнах.

Blackbox- і Greybox-тестування кількох ІТ-сервісів — гарантуємо високий захист для споживачів, працівників, підрядників та акціонерів, водночас задовольняючи вимоги compliance на рівні групи.

Читати кейс
B2B SaaS · LMS

Комплексний пентест вебзастосунку для підтримки сертифікації ISO 27001 корпоративної LMS-платформи.

Blackbox- і Greybox-тестування за OWASP — з повторним тестуванням після усунення та фінальним звітом, що підтвердив рівень безпеки для аудиту ISO 27001.

Читати кейс
Усі кейси

Що ви отримаєте

П'ять артефактів — розрахованих на тих, хто справді ними користуватиметься: ваші інженери, ваш C-level, аудитори та Enterprise-клієнти.

Зразок артефактів XRAY CyberSecurity: Технічний звіт, Стислий звіт для керівництва, Звіт про повторне тестування і Сертифікат безпеки зверху

Хочете побачити, як вони виглядають насправді?

Отримати приклад звіту

Реальна структура, реальні знахідки, реальний формат. Саме ті документи, які побачить ваша команда й аудитори.

Терміновий проміжний звіт

Знайдемо Critical — дізнаєтеся того ж дня.

Якщо в процесі роботи ми виявимо вразливість рівня Critical, що потребує негайних дій, ви отримаєте сповіщення з кроками відтворення та рекомендаціями. Ми продовжуємо тестувати, ви паралельно починаєте усувати. Без очікування фінального звіту.

Для вашої інженерної команди, вашого CTO

Технічний звіт

Пріоритизовані знахідки, з якими інженери можуть розпочати роботу того ж дня.

Кожна вразливість із кроками відтворення, PoC-експлуатацією, оцінкою бізнес-впливу та пріоритизованою дорожньою картою усунення. Без false-positive. Без зайвого. Зроблено так, щоб ваші розробники точно знали, що й у якому порядку виправляти.

Для ваших інженерів, вашого CTO, вашої команди безпеки

Стислий звіт для керівництва

Те, що дійсно треба знати раді та інвесторам.

Звіт бізнес-мовою: security-postur вашого продукту, виявлені ризики, їхній потенційний бізнес-вплив і шлях усунення. Написаний для CEO, рад, інвесторів і Enterprise-закупівель — не для інженерів.

Для вашого CEO, вашої ради, інвесторів, контрагентів M&A та ваших клієнтів

Звіт про повторне тестування

Перевірений доказ того, що виправлення працюють.

Після того як ваша команда усуне знахідки, ми перевіряємо кожну тим самим способом експлуатації, щоб підтвердити, що виправлення тримається. Оновлений звіт — ваш доказ того, що вразливості справді закрито, а не «закрито» на папері.

Для ваших аудиторів, ваших Enterprise-клієнтів

Сертифікат безпеки

Публічний артефакт, який можна показати клієнтам і потенційним замовникам.

Після усунення та повторного тестування ми видаємо офіційний сертифікат, що підтверджує: продукт пройшов глибокий ручний пентест. Використовуйте його на сайті, в анкетах безпеки, у переговорах із Enterprise — це той документ, який хочуть бачити ваші потенційні клієнти та їхні закупівлі.

Для вашого відділу продажу, маркетингу, потенційних Enterprise-клієнтів

Як ми досягаємо ваших цілей

Галузеві стандарти, виконані senior-інженерами.

Стандарти

Методології, яких дотримуємося

  • OWASP
  • PTES
  • NIST SP 800-115
  • MITRE ATT&CK

Вимоги compliance, які закриваємо

  • SOC 2
  • ISO 27001
  • GDPR
  • HIPAA
  • PCI DSS

Принципи, на яких будуємо роботу

Ручний хакінг

Сканери — лише базовий рівень. Кожна знахідка зібрана та підтверджена senior-інженером — експлуатована й об'єднана в ланцюжки вручну, з урахуванням контексту вашої платформи.

Циклічно, а не лінійно

Кожна знахідка живить наступну. Новий доступ відкриває нову поверхню атаки. Ми повертаємося, копаємо глибше та вибудовуємо ланцюжки — поки не досягнемо максимального впливу, який дозволяє ваша архітектура.

Бізнес-вплив, а не список багів

Список CVE не каже, що атакуючий реально зробить із вашим бізнесом. Ми переводимо кожну знахідку в сценарій реального світу — що компрометується, хто що втрачає та як розгортається ланцюжок.

Лише senior-інженери

Жодних джунів, що вчаться на вашому продукті, жодного аутсорсу для підстраховки, жодної заміни інженерів посеред проєкту. Кожним проєктом керують senior-інженери наступальної безпеки з глибоким досвідом у B2B SaaS.

Якість важливіша за швидкість

Ми не конвеєр, оптимізований під пропускну здатність. Беремо менше проєктів одночасно й глибоко занурюємось у кожен — це свідомий вибір.

Не нашкодити

Усі тести відбуваються за підписаним Rules of Engagement. Дії з високим ризиком у продакшені заздалегідь узгоджуємо з вами. Critical-знахідки запускають негайне сповіщення — без сюрпризів і поламаних середовищ.

Застосовні знахідки, нуль false-positive

Кожна знахідка перевірена, пріоритизована та задокументована з кроками відтворення та рекомендаціями. Ваші інженери точно знають, що чинити першим — і не марнують день на шум.

Комунікація інженер–інженер

Прямий доступ до наших інженерів упродовж усього проєкту. Жодних посередників із продажів, жодних project-менеджерів, що фільтрують технічні деталі.

Хакінг як ремесло

Ми наймаємо інженерів, які хакають у вільний час — для рисерчу, для CTF, заради самого ремесла. Наша команда сприймає кожен проєкт як задачу, яку треба розв'язати, а не тікет, який треба закрити.

Від вашого першого повідомлення до фінального сертифіката

Структурований проєкт, побудований навколо вашої команди: senior-інженери, пряма комунікація, нуль сюрпризів.

  1. Перша розмова

    Що відбувається
    • Ви пишете нам — дзвінком, формою або email, як вам зручніше
    • Відповідає senior-інженер (не sales-менеджер)
    • Разом визначаємо цілі та скоуп проєкту
    • Чесно говоримо, чи підходимо ми вам і що реально варто тестувати
    Ви отримуєте Чітку відповідь щодо напрямку — і чи підходимо ми одне одному — до підписання чого-небудь.

  2. Скоуп і комерційна пропозиція

    Що відбувається
    • Технічна сесія з вашою командою, щоб зрозуміти архітектуру, ролі та поверхню застосунку
    • Проводимо вас по зразку звіту, щоб ви точно знали, як виглядають артефакти
    • Ви отримуєте детальну комерційну пропозицію: скоуп, підхід, терміни, ціна
    Ви отримуєте Повну пропозицію та зразок звіту, які можна показати вашим CTO, CISO, CEO й закупівлям перед ухваленням рішення.

  3. Kick-off

    Що відбувається
    • Підписано контракт і NDA
    • Підписано Rules of Engagement — чіткі межі: що тестуємо, коли і як
    • Видача доступів і передача документації
    • На проєкт призначається senior-інженерна команда та проводиться її бриф
    Ви отримуєте Підписаний контракт, документ Rules of Engagement, підсумок kick-off-зустрічі.

  4. Розвідка та моделювання загроз

    Що відбувається
    • Пасивний збір інформації за вашою публічною поверхнею
    • Картування архітектури — як побудований застосунок і де зони найбільшого ризику
    • Модель загроз: що варто атакувати та як реально підходитиме до вашого продукту атакуючий
    • На час проєкту піднімається прямий канал інженер–інженер
    Ви отримуєте Якщо на цьому етапі виринає щось термінове — повідомляємо негайно. В іншому ж — цей етап прямо живить подальші тести.

  5. Активна експлуатація

    Що відбувається
    • Ручний хакінг, пошук та експлуатація вразливостей
    • Складання ланцюжків атак з кількох знахідок
    • Оцінка впливу для кожної знахідки перед експлуатацією в продакшені
    • Постійний цикл: кожен новий доступ відкриває нову поверхню, ми йдемо глибше
    Ви отримуєте Якщо знаходимо критичний шлях атаки, який легко експлуатувати та потребує негайних дій, ви отримуєте Терміновий проміжний звіт — сповіщення з кроками відтворення та рекомендованою відповіддю. Ми продовжуємо тестувати, ви починаєте усувати паралельно.

  6. Передача основного звіту

    Що відбувається
    • Знахідки консолідовано, перевірено та задокументовано
    • Підготовлено Технічний звіт і Стислий звіт для керівництва
    • Дорожню карту усунення пріоритизовано
    Ви отримуєте Технічний звіт (для ваших інженерів) і Стислий звіт для керівництва (для ради, Enterprise-клієнтів та аудиторів).

  7. Дебриф

    Що відбувається
    • Розбір знахідок із вашою інженерною командою
    • Розбір бізнес-впливу з вашим керівництвом
    • Q&A щодо пріоритетів усунення — що чинити першим і чому
    Ви отримуєте Пріоритизовану дорожню карту усунення та прямі відповіді на питання вашої команди.

  8. Супровід усунення

    Що відбувається
    • Підтримка ваших розробників упродовж усього циклу виправлень
    • Роз'яснення векторів атак і підходів до усунення
    • Темп задає ваша команда — ми не підганяємо й не затягуємо
    Ви отримуєте Технічний супровід під час усунення в межах вашого проєкту.

  9. Повторне тестування та фінальний сертифікат

    Що відбувається
    • Кожна усунена знахідка повторно перевіряється тим самим способом експлуатації
    • Перевіряємо, що виправлення дійсно тримає — не «полагоджено» на папері
    • Видаються оновлені звіти та сертифікат безпеки
    Ви отримуєте Звіт про повторне тестування, оновлений Технічний звіт і ваш Сертифікат безпеки.

Визнані галуззю

Топові рейтинги на галузевих платформах

  • Top Clutch — Application Security Company 2026
  • Clutch Fall Champion 2025
  • Top Clutch — Penetration Testing 2026
  • Top Penetration Testing 2024 Award

Сертифікації наших інженерів

  • OSCP+
  • CRTL
  • BSCP
  • OSEP
  • CEH
  • PNPT

Їхніми власними словами

Enterprise · незалежний аудит
XRAY CyberSecurity надали комплексний, добре структурований звіт із практичними рекомендаціями щодо посилення безпеки нашого застосунку. Ми отримали два звіти — детальний Технічний та окремий для керівництва — що дало змогу швидко презентувати результати топ-менеджменту та скласти план дій. Готовність напряму спілкуватися з нашими підрядниками суттєво пришвидшила усунення.
Iryna Grynchii Cybersecurity Manager · Danone Повний відгук на Clutch →
SaaS · email-платформа
XRAY CyberSecurity провели пентест наших продуктів, побудованих на різних технологіях. Ми виявили вразливості, усунули їх та отримали підтвердження через повторне тестування, що їх закрито. Спілкування з командою радше нагадувало роботу з колегами, ніж зі стороннім підрядником — професіонали, експерти, дали цінні поради.
Oleg Bida Information Security Manager Повний відгук на Clutch →
SaaS · LMS-платформа
XRAY CyberSecurity провели grey-box пентест за методологією OWASP. Їхній ретельний ручний аналіз виявив вразливості, що заслуговують уваги, а детальні технічний та executive-звіти — з подальшим повторним тестуванням, що підтвердило усунення — дали нам змогу пройти сертифікацію за ISO 27001.
Alex Slubskyi CTO · Davintoo Повний відгук на Clutch →
SaaS · логістична платформа
XRAY CyberSecurity провели ретельну оцінку наших веб-застосунків і хмарних середовищ, моделюючи сценарії реальних атак. Детальні звіти містили зрозумілі, застосовні висновки, які суттєво покращили нашу security-postur, а вміння доносити складні знахідки в простій формі було неоціненним для нашої команди.
Taras Komenda CEO · MINT Innovations Повний відгук на LinkedIn →
Застосунок
Роботу виконано швидко та професійно. Фахівці XRAY CyberSecurity вказали на наші вразливі місця, що дало нам змогу покращити якість ПЗ. Ми отримали звіт із детальними сценаріями проникнення та технічними й організаційними рекомендаціями щодо усунення й запобігання.
Oleg Khavruk IT Director · Nash Format Повний відгук на Forbes →
5/5 на Clutch читати всі відгуки

Готові побачити, як насправді реагує ваша команда?

Зв’язатися Записатися на дзвінок

Поширені запитання

Чим це відрізняється від загального інструмента симуляції фішингу?

Готові інструменти масово розсилають шаблонні листи; справжній зловмисник спершу досліджує вашу компанію. Ми будуємо кампанії навколо ваших реальних людей, інструментів і процесів — так, як це зробив би мотивований супротивник — тож результат відображає загрозу, з якою ви стикаєтеся, а не тест, який кожен помітив би.

Чи робите ви вішинг, підкидання USB чи фізичну соціальну інженерію?

Ні — цей проєкт за задумом лише про фішинг. Ми зосереджуємося на тому, щоб якісно зробити цільову соціальну інженерію через email, а не розпорошуватися по векторах. Якщо вам потрібен ширший скоуп red-team, це окрема розмова.

Чи не зганьбить і не покарає це наших працівників?

Ні. Мета — виміряти стійкість організації, а не публічно соромити. Результати подаються як агреговані метрики та патерни; з індивідуальними даними поводимося делікатно й відповідно до того, що узгодимо заздалегідь. Результат — сильніша команда, а не список винних.

Як ви забезпечуєте конфіденційність, наші дані та юридичну відповідальність?

Підписаний NDA та договір з повною корпоративною відповідальністю, плюс письмова авторизація кампанії до того, як щось буде надіслано. Будь-які облікові дані чи дані, зібрані під час тестування, зберігаються зашифрованими, доступні лише призначеним інженерам і видаляються після проєкту згідно з вашим договором. Ми маємо страхування професійної відповідальності.

Чи попереджати працівників заздалегідь?

Зазвичай не цілі — попередження зводить тест нанівець. Але ми завжди координуємося з невеликою узгодженою групою з вашого боку (і, якщо доречно, вашим SOC), щоб проєкт був авторизований і контрольований. Ви вирішуєте, хто в курсі, перш ніж ми почнемо.

Що саме ви вимірюєте?

Більше, ніж показник кліків. Ми вимірюємо, хто клікнув, хто ввів облікові дані, хто підтвердив запит MFA — і, що критично, хто повідомив про це й як швидко відреагували ваша команда та SOC. Повідомлення та реакція не менш важливі за клік, і ми звітуємо про обидва.

А якщо ніхто не піддасться?

Це сильний результат — і показовий. Ви все одно отримуєте повний набір артефактів, що документують проведені кампанії, використані приводи, цілі та метрики реагування — доказ стійкості, який приймуть ваші аудитори та клієнти.

Скільки зусиль це вимагає від нашої команди?

Налаштування зосереджене на початку — узгодження скоупу, цілей, приводів і авторизації на kick-off. Під час кампанії ваша участь мінімальна, крім координаційної групи. Після передачі цінність у тому, щоб діяти за знахідками, у чому ми допомагаємо чіткими, пріоритизованими рекомендаціями.

Чи включений повторний тест або подальша кампанія і чи є приховані платежі?

Ціна в пропозиції фіксована й прописана в договорі під узгоджений скоуп. Подальшу кампанію для вимірювання покращень після роботи з обізнаності можна включити або визначити окремо — узгоджено заздалегідь, а не виставлено несподівано. Єдине, що змінює ціну — це розширення скоупу з вашого боку, узгоджене письмово заздалегідь.

Поговоримо.

Розкажіть про задачу, яку хочете розв’язати.

Або одразу забронюйте 20-хвилинний дзвінок