Social Engineering | Phishing

Gezieltes Phishing & Social Engineering-Angriffe sorgen für mehr Security Awareness

Mitarbeitende sind immer komplexer werdenden Phishing und Ransomware-Angriffen ausgesetzt. Aber auch auf anderen Wegen versuchen Angreifer sich Zugang zu verschaffen und an vertrauliche Informationen zu gelangen. Der Umgang mit Informationssicherheit ist Teil jeder Unternehmenskultur und daher von großer Bedeutung. Die gesamte Organisation und die Mitarbeiter sollten in die Maßnahmen zur Informationssicherheit mit einbezogen werden. Wir bieten gezielte Phishing Tests & Social Engineering- Angriffe, um das Sicherheitsbewusstsein zu überprüfen und erfolgreiche Security Awareness Kampagnen zu unterstützen (auch portalbasiert.)

gezielte Phishings zum Start sinnvoll & effektiv

Warum sollte ich Opfer eine Phishing Attacke sein?

Phishing ist eine der meistgenutzten Angriffsarten. Angreifer benötigen hier kein tiefes technisches Wissen und es lässt sich leicht automatisieren. Hier wird nicht ein einzelner Mitarbeiter angegriffen, sondern Erfolg über die Menge und Breite generiert. 

 

Phishing Mails enthalten oft dringende Aufforderungen, die die Empfänger dazu bringen sollen, auf einen Link zu klicken oder persönliche Daten in ein Formular einzugeben. Diese Links können zu gefälschten Webseiten führen, die speziell dafür entworfen wurden, die eingegebenen Informationen zu stehlen. Phishing kann auch über Telefonanrufe (Vishing) oder SMS (Smishing) erfolgen und hat oft das Ziel, Schadsoftware zu verbreiten oder direkten Zugriff auf die Computer und Netzwerke der Opfer zu erlangen. Die Angriffe können sehr zielgerichtet sein, beispielsweise in Form von Spear-Phishing, wo spezielle Informationen über das Opfer verwendet werden, um den Betrug glaubwürdiger zu machen.

Durch regelmäßige Durchführung von gezielten Phishing-Tests können Organisationen die Sicherheitskultur stärken und die Gefahr von Sicherheitsverletzungen durch menschliche Fehler reduzieren.

E-Mail Phishing

Per Phishing-E-Mail wird versucht Mitarbeiter auf eine Webseite zu locken, um diese zu einer Passworteingabe oder zum Herunterladen einer Datei zu verleiten.

Terminplanung
Besprechung des Vorgehens und der Rahmenbedingungen
Festlegung der Szenarien:
– Erprobte Phishing-Szenarien
– Kundenspezifische Szenarien

Durchführung des Phishing-Angriffs
Auswertung der Daten
– Aufrufe der Webseite
– Klicks auf den Link
– Eingabe von Daten

Dokumentation
Beschreibung der durchgeführten Phishing-Kampagne und anonyme Statistik der Ergebnisse.

  • Sie helfen dabei, das Bewusstsein und die Wachsamkeit der Mitarbeiter gegenüber betrügerischen E-Mails und Nachrichten zu erhöhen. Durch das Erleben simulierter Phishing-Versuche lernen sie, echte Bedrohungen besser zu erkennen.

Solche Tests bieten eine praktische Schulungsmöglichkeit, bei der Mitarbeiter lernen, wie sie auf Phishing-Versuche reagieren sollten. Sie können auch genutzt werden, um die Wirksamkeit von Schulungsprogrammen zu bewerten und gegebenenfalls anzupassen.

Durch gezielte Phishing-Tests können Unternehmen die Wirksamkeit ihrer Sicherheitsmaßnahmen und -richtlinien überprüfen. Die Ergebnisse der Tests zeigen, wie gut die Mitarbeiter vorbereitet sind und wo möglicherweise Sicherheitslücken bestehen.

Diese Tests helfen dabei, potenzielle Risiken zu identifizieren und präventive Maßnahmen zu ergreifen, bevor echte Angriffe erfolgen. Sie tragen somit zur allgemeinen Verbesserung der IT-Sicherheit bei.

weitere Social Engineering Angriffe

Telefon

Mit einer vorher besprochenen Coverstory werden zufällig ausgewählte Mitarbeiter des Auftraggebers angerufen. Dabei wird versucht, der Zielperson vertrauliche Informationen über das Unternehmen zu entlocken.

Terminplanung
Besprechung des Vorgehens und der Rahmenbedingungen
Festlegung der Szenarien:
– Erprobte Szenarien
– Kundenspezifische Szenarien

Durchführung des Angriffs
Auswertung der Daten
– Befehle wurden auf der Kommandozeile ausgeführt
– Benutzerdaten wurden weitergegeben

Dokumentation
Beschreibung der durchgeführten Phishing-Kampagne und anonyme Statistik der Ergebnisse.

Physischer Test

Mit einer vorher besprochenen Coverstory werden zufällig ausgewählte Mitarbeiter des Auftraggebers angerufen. Dabei wird versucht, der Zielperson vertrauliche Informationen über das Unternehmen zu entlocken.

Terminplanung
Besprechung des Vorgehens und der Rahmenbedingungen
Festlegung der Szenarien:
– Erprobte Szenarien
– Kundenspezifische Szenarien

Durchführung des Angriffs
Auswertung der Daten
– Befehle wurden auf der Kommandozeile ausgeführt
– Benutzerdaten wurden weitergegeben

Dokumentation
Beschreibung der durchgeführten Phishing-Kampagne und anonyme Statistik der Ergebnisse.

Werbegeschenk

Mittels präparierter USB-Hardware (z.B. USB-Ventilator, USB-Stick) die als vermeintliches „Werbegeschenk“ zur Verfügung gestellt wird, kann die Awareness der Mitarbeiter geprüft werden.

Terminplanung
Besprechung des Vorgehens und der Rahmenbedingungen
Festlegung der Hardware

Durchführung des Angriffs
Auswertung der Daten
– Befehle wurden auf der Kommandozeile ausgeführt
– Benutzerdaten konnten abgegriffen werden

Dokumentation
Beschreibung der durchgeführten Phishing-Kampagne und anonyme Statistik der Ergebnisse.

Social Engineering Angebot anfordern

Pentest-Kompetenz

  • zertifizierte Ethical Hacker (CEH / OSCP) und IT-Forensiker (IHK)
  • Durchführung von über 300 Pentest-Projekten pro Jahr
  • Pentests nach BSI-Standard​

Kurzfristige Umsetzung

  • Kickoff innerhalb weniger Tage nach Auftragserteilung
  • Pentest-Umsetzung meist innerhalb von 2-4 Wochen
  • Zuverlässige Einhaltung von Deadlines

Transparente Preise

  • Standard-Pentests zu Festpreisen
  • individuelle Pentests mit voller Kostenkontrolle / Budget-Obergrenzen
  • Angebote aus eigenständigen Modulen, die einzeln beauftragt werden können

E-Mail-Phishing & Security Awareness mit KnowBe4

Eine intuitive und zentralisierte Plattform in Verbindung mit unserem Service reduziert den Aufwand für Ihre IT-Abteilung elementar.

Fully Managed – Whitelisting, User Management, Reports und individuelle Steuerung von Kampagnen für Phishing und Trainings.

Sie erfüllen nicht nur zu 100 % die Anforderungen an ISO, IT-Grundschutz und  TISAX®, sondern erreichen mit dem Awareness Portal auch 100% Ihrer Mitarbeiter.

Alle Pentests im Überblick