Skip to content
Security Audit

Phishing / Social Engineering

Are your IT systems correctly configured, and are your employees prepared for real phishing or social engineering (SE) attacks? Are your training measures up-to-date and effective in maintaining employee awareness?

Scope of the audit

Phishing and social engineering attacks are diverse and usually exploit human emotions such as curiosity or shame. In addition, technical measures are available to counteract such attacks. In this audit, our experts examine your technical measures (e.g. SPAM filters) as well as the awareness of your employees by means of realistic phishing campaigns.

The following attacks usually take place on a daily basis:

Phishing by e-mail

Attackers use a genuine-looking email and sender identity to trick their victims into disclosing sensitive data, carrying out risky actions or executing malicious files.

Phishing via SMS

Attackers use genuine-looking text messages to trick their victims into opening malicious links, disclosing sensitive data or downloading and executing malware.

Phone calls

Attackers use a fake phone number and caller identity to trick their victims into revealing sensitive data over the phone or carrying out risky actions. This includes, for example, money transfers, the disclosure of customer data or the resetting of sensitive access data at the helpdesk.

Fake USB sticks

Attackers use fake USB sticks that can execute malicious code when inserted. These are strategically placed, e.g. in the employee parking lot or in the lobby, to compromise employee devices. This usually gives an attacker access to the internal company network.

82%

In 82% of cases, a compromise is directly correlated with human error. ¹

The average cost of a social engineering attack is $130,000. ²

54%

54% of all ransomware attacks are the result of phishing attacks. ³

Our test packages for phishing and social engineering are typically divided into 3 sections:

Edit Content

Phishing / Social Engineering

Technische Analyse

Eine umfangreiche, technische Analyse aller IT-Systeme und Konfigurationen zum Filtern und Blockieren von E-Mails mit gefälschten Absenderadressen oder schadhaften Anhängen. Bei dieser Analyse übermitteln wir eine Vielzahl an schadhaften Phishing-E-Mails und Anhängen an ein beispielhaftes E-Mail-Postfach von Ihnen. Anschließend untersuchen wir, welche E-Mails ungefiltert durchgereicht wurden und demnach eine Fehlkonfiguration darstellen. Darüber hinaus untersuchen wir Ihre SMTP-Mailserver auf folgende Sicherheitskonfigurationen:
Spam-Mail

Eine falsche Konfiguration von SMTP-Servern, Antiviren- oder Antispamlösungen können es einem Angreifer technisch erlauben, Phishing-Emails mit schadhaften Anhängen einzureichen.

Ob ein Angriff dann erfolgreich ist, hängt nur noch von der Awareness Ihrer Mitarbeiter ab. Stellen Sie demnach sicher, dass Ihre technischen Maßnahmen bereits Phishing unterbinden!

Edit Content

Phishing / social Engineering

Awareness Analyse

In der Awareness Analyse führen wir eine möglichst realistische  Phishing-Kampagne durch, um das Bewusstsein Ihrer Mitarbeiter  zu stärken. Die Kampagne wird hierbei in Zusammenarbeit mit Ihnen sowie Ihren Anforderungen und Wünschen konzipiert.

Phishing via E-Mails

Während der E-Mail-Phishing-Kampagne können messbare Kennzahlen zum folgenden Mitarbeiterverhalten gewonnen werden:

  • Öffnen der E-Mail anhand eines Tracking-Pixels
  • Öffnen von Hyperlinks in der E-Mail auf Nutzerbasis
  • Eingabe von Informationen in Eingabefeldern
Darüber hinaus können weitere Statistiken ermittelt werden, wie:
  • IP-Adresse und Standort des Opfers
  • Eingesetzter Webbrowser via User-Agent-String
  • Eingesetztes Betriebssystem via User-Agent-String

Durch die gewonnenen Ergebnisse der Kampagne können wir eine messbare Übersicht über die derzeitige Awareness innerhalb Ihrer Organisation oder sogar individueller Abteilungen zu bekommen.

Allgemein ist es möglich, die Phishing-Simulation in regelmäßigen Abständen mit wechselnden Themen und Herangehensweisen zu widerholen, um einen konstanten Lerneffekt zu erzielen.

Phishing via USB-Sticks

Neben regulären Phishing-E-Mais können auch sogenannte Rubber-Duckies (Fake USB-Sticks) eingesetzt werden. Hierbei erhalten wir messbare Kennzahlen darüber, welcher Mitarbeiter, an welchem Gerät, in welchem Netzwerkbereich in Ihrem Unternehmen, den USB fälschlicherweise eingesteckt hat.

Phishing (Password Fishing)

Beim Phishing wird versucht, ein Opfer mittels einer manipulierten Nachricht (E-Mail oder SMS) zu kompromittieren.

Eine Kompromittierung kann hierbei bedeuten, dass sensitive Daten abfließen, kritische Geschäftsprozesse ausgelöst werden oder Schadsoftware ausgeführt wird.

Stellen Sie sicher, dass Ihre Mitarbeiter geschult sind und wissen, wie man Phishing erkennt und vermeidet.

Edit Content

Phishing / Social Engineering

Workshops & Schulungen

Eines der wichtigsten Elemente bei der Prävention von direkten Angriffen gegen Mitarbeiter, ist die richtige Schulung. 

In Schulungen werden Mitarbeitern Werkzeuge und Indikatoren an die Hand gegeben, um sich bestmöglich gegen die Angreifer zu behaupten und mögliche Bedrohungen bewusst wahrzunehmen.

Workshops können unterstützen und bieten eine interaktive Möglichkeit, die Mitarbeiter zum Nachdenken anregt und Ihr Verständnis für Bedrohungen in der digitalen Welt festigt.

Technische Schulungen

Gut geschulte Mitarbeiter sind das wichtigste Element in der Prävention von Phishing- und Social-Engineering Angriffen.

Gerne unterstützen wir Sie bei der Ausarbeitung und Durchführung von Schulungen sowie Workshops.

Standards and qualifications

We follow recognized international standards for our pentest procedure.

Our penetration testers are highly qualified and certified with several recognized hacking certificates.