Security Awareness
So gut alle technischen Maßnahmen auch sind, der Faktor Mensch ist und bleibt das größte Risiko der Informationssicherheit im Unternehmen. Um dieses Problem zu adressieren, entwickeln wir für Sie ein ganzheitliches Awareness Konzept:
- Training & Awareness Workshops für Endnutzer und Fachpersonal
- Phishing Campaign & Attack Simulation
- Red Teaming & Social Engineering
- Awareness Tools
- Konzeption & Umsetzung von Awareness Plattformen
- Awareness Communication
- Management Awareness
Spear-Phishing-Kampagne
Eine Phishing Attacke dient einem Angreifer zur Erlangung von Benutzernamen und Passwörtern, die dann für ein weiteres Eindringen in die Systeme benutzt werden können. Benutzer und Mitarbeiter werden hierbei per E-Mail aufgefordert, z. B. einen Link innerhalb dieser E-Mail anzuklicken, der dann auf Internetseiten führt, auf denen ein Login der Benutzer notwendig ist. Geben Benutzer hier ihre Login Informationen preis, werden diese dem Hacker unmittelbar zugeleitet. Die Ergebnisse einer Phishing Attacke im Rahmen eines Security Assessments lassen, sowohl auf die Sensibilisierung (Awareness) von Benutzern, als auch auf technische Sicherheitsmaßnahmen zur Erschwerung dieser Art von Angriffen, schließen.
Die Phasen der Durchführung sind wie folgt:
- Phase 1 – Informationsbeschaffung
- E-Mail-Adressen mittels Open Source Intelligence (OSINT) via Linkedin, XING uvm.
- Layout/Corporate Design, aktuelle Firmenereignisse z. B. als Hintergrundgeschichte
- Darknet-Recherche unter Einbeziehung von Informationsquellen, die üblicherweise von Angreifern genutzt werden
- Phase 2 – Auswahl eines geeigneten Phishing-Szenarios
- Phase 3 – Anlegen der Phishing Domains, E-Mail-Empfängerliste und individueller Phishing-Webseite
- Phase 4 – Erstellung der Phishing-E-Mail
- optional: Erstellung einer individuellen „Schadsoftware“ ohne tatsächliche Schadfunktion
- Phase 5 – Fine Tuning der E-Mails und des E-Mail-Versands unter Umgehung evtl. vorhandener Schutzmechanismen
- Phase 6 – Start der Kampagne mit Versenden der E-Mails
- Phase 7 – Anonymisierte Auswertung nach abgestimmter Zeit / Statistikerstellung
- Phase 8 – Erstellung Ergebnisberichts und Bereitstellen einer Aufklärungs-E-Mail