בדיקת חשיפה לפישינג חינם
גלו תוך שניות אם הדומיין שלכם חשוף לזיוף מייל, BEC והתקפות פישינג - למשל שליחת מייל בשם הארגון שלכם ללקוחות, או מיילים של פישינג לעובדי הארגון
הסריקות בודקות רשומות ציבוריות בלבד
גלו - מה האקרים יודעים על החברה שלכם?
מה תוקפים יכולים לגלות על הדומיין שלי?
לפני כל מתקפה ממוקדת, האקרים מבצעים OSINT ו-attack surface mapping - סריקה של כל מה שגלוי ברשת: subdomains חשופים, API keys שדלפו ל-GitHub, מידע ב-darknet ובפורומים, טפסי login עם הגנות חסרות, ועוד. הבדיקה שלנו מדמה בדיוק את מה שתוקף רואה.
מה זה Clickjacking ולמה זה מסוכן?
Clickjacking מאפשר לתוקף להטמיע את האתר שלכם בתוך iframe נסתר, כך שמשתמש לוחץ על אלמנט שלו (כפתור, טופס) בלי לדעת שהוא מוסגר. תוצאה: גניבת פרטי כניסה, ביצוע פעולות בשמו ללא הסכמה. הגנה: כותרת X-Frame-Options או frame-ancestors ב-CSP. ארגונים עם פורטל לקוחות, אזור אישי או כל טופס login - חשופים לזה.
מהו CSP ולמה הוא חשוב?
Content Security Policy (CSP) הוא מנגנון הגנה שמגביל אילו סקריפטים יכולים לרוץ על האתר שלכם. ללא CSP, תוקף שמצא XSS יחיד יכול להריץ כל קוד שירצה - לגנוב sessions, לפרוס keylogger, לשלוח נתונים החוצה. CSP מוגדר כראוי הופך XSS לבלתי שמיש.
מהו BEC ולמה הוא הכי יקר?
BEC (Business Email Compromise) - זיוף מייל עסקי - הנזק הממוצע ממתקפה אחת: 125,000 דולר. תוקפים שולחים מייל שנראה כאילו הגיע מהמנכ"ל, מספק או מהנהלת החברה. ללא DMARC עם p=reject, כל אחד יכול לשלוח מייל מהדומיין שלכם ללא מגבלה.
מה כלול בדוח ה-EASM המלא?
מעל 500 בדיקות: SSL/TLS, חשיפת subdomains, Git exposure, API keys - דלף מידע, ניטור darknet ופורומי האקרים, קבצי backup חשופים, open redirects, security headers (CSP, HSTS, X-Frame-Options), IP reputation, blacklist, certificate transparency ועוד. כל ממצא עם הסבר, רמת סיכון וצעדי תיקון.
האם הסריקה פולשנית?
לא. כל הסריקות מבוצעות על נכסים ציבוריים בלבד - DNS, רשומות ציבוריות, מנועי חיפוש, מאגרי קוד ציבוריים ובסיסי נתונים של דלפים. לא מבוצעת גישה ישירה לשרתים, לרשת הפנימית או לנכסים שאינם חשופים לאינטרנט.