Sind Ihre IT-Systeme korrekt konfiguriert und Mitarbeiter vor realen Phishing- oder Social Engineering (SE) Angriffen gewappnet? Sind Ihre Schulungsmaßnahmen aktuell und effektiv zur Aufrechterhaltung der Mitarbeiter-Awareness?
Phishing- und Social Engineering Angriffe sind vielfältig und nutzen in der Regel menschliche Emotionen wie Neugier oder Scham aus. Daneben stehen technische Maßnahmen zur Verfügung, um gegen solche Angriffe entgegenzuwirken. Bei diesem Audit untersuchen unsere Experten Ihre technischen Maßnahmen (z.B. SPAM-Filter) als auch die Awareness Ihrer Mitarbeiter mittels realistischer Phishing-Kampagnen.
Folgende Angriffe finden üblicherweise täglich statt:
Angreifer verleiten ihre Opfer mit einer echt aussehenden E-Mail und Absenderidentität dazu, sensible Daten preiszugeben, riskante Aktionen zu tätigen oder schadhafte Dateien auszuführen.
Angreifer verleiten ihre Opfer mit einer echt aussehenden SMS dazu, schadhafte Links zu öffnen, sensible Daten preiszugeben oder Schadsoftware herunterzuladen und auszuführen.
Angreifer verleiten ihre Opfer mit einer gefälschten Telefonnummer und Anruferidentität dazu, sensible Daten am Telefon preiszugeben oder riskante Aktionen auszuführen. Dazu gehören z.B. Geldüberweisungen, Preisgabe von Kundendaten oder das Zurücksetzen von sensiblen Zugangsdaten beim Helpdesk.
Angreifer verwenden gefälschte USB-Sticks, welche Schadcode beim Einstecken ausführen können. Diese werden strategisch platziert, z.B. auf dem Mitarbeiter-Parkplatz oder in der Lobby, um Mitarbeiter-Endgeräte zu kompromittieren. Dies ermöglicht einem Angreifer i.d.R. Zugriff auf das interne Firmennetzwerk.
In 82% der Fälle ist eine Kompromittierung direkt mit Menschlichen Fehlern zu korrelieren. ¹
Die durchschnittlichen Kosten einer Social Engineering Attacke liegen bei $130.000. ²
54% aller Ransomware-Angriffe sind Folgen von Phishing-Angriffen. ³
Unsere Testpakete für Phishing und Social Engineering werden typischerweise in 3 Teilbereiche aufgeteilt:
In der Awareness Analyse führen wir eine möglichst realistische Phishing-Kampagne durch, um das Bewusstsein Ihrer Mitarbeiter zu stärken. Die Kampagne wird hierbei in Zusammenarbeit mit Ihnen sowie Ihren Anforderungen und Wünschen konzipiert.
Phishing via E-Mails
Während der E-Mail-Phishing-Kampagne können messbare Kennzahlen zum folgenden Mitarbeiterverhalten gewonnen werden:
Durch die gewonnenen Ergebnisse der Kampagne können wir eine messbare Übersicht über die derzeitige Awareness innerhalb Ihrer Organisation oder sogar individueller Abteilungen zu bekommen.
Allgemein ist es möglich, die Phishing-Simulation in regelmäßigen Abständen mit wechselnden Themen und Herangehensweisen zu widerholen, um einen konstanten Lerneffekt zu erzielen.
Phishing via USB-Sticks
Neben regulären Phishing-E-Mais können auch sogenannte Rubber-Duckies (Fake USB-Sticks) eingesetzt werden. Hierbei erhalten wir messbare Kennzahlen darüber, welcher Mitarbeiter, an welchem Gerät, in welchem Netzwerkbereich in Ihrem Unternehmen, den USB fälschlicherweise eingesteckt hat.
Eines der wichtigsten Elemente bei der Prävention von direkten Angriffen gegen Mitarbeiter, ist die richtige Schulung.
In Schulungen werden Mitarbeitern Werkzeuge und Indikatoren an die Hand gegeben, um sich bestmöglich gegen die Angreifer zu behaupten und mögliche Bedrohungen bewusst wahrzunehmen.
Workshops können unterstützen und bieten eine interaktive Möglichkeit, die Mitarbeiter zum Nachdenken anregt und Ihr Verständnis für Bedrohungen in der digitalen Welt festigt.
Wir berücksichtigen bei unseren Pentests alle internationalen und anerkannten Standards.
Unsere Penetrationstester sind hochqualifiziert und besitzen eine Vielzahl anerkannter Hacking-Zertifikate.
