Social Engineering

Unsere Social-Engineering-Module testen die menschliche Komponente Ihrer Sicherheitsstrategie und helfen dabei, Schwachstellen im Verhalten und den Prozessen Ihrer Mitarbeiter zu erkennen und zu beheben.

Unser Social Engineering beinhalten die folgenden Module:

Phishing

Phishing zielt darauf ab, vertrauliche Informationen wie Passwörter, Kreditkartendaten oder persönliche Informationen zu erschleichen, indem gefälschte, vertrauenswürdige Kommunikationsmethoden verwendet werden (z. B. E-Mails oder gefälschte Webseiten).

Schritte eines Phising Tests

  • Vorbereitung:
    • Analyse des Zielunternehmens und Identifikation von Kommunikationsmustern (z. B. typische E-Mail-Vorlagen).
    • Auswahl eines Szenarios, z. B. gefälschte Sicherheitswarnungen oder E-Mails von angeblichen Geschäftspartnern.
  • Erstellung einer Kampagne:
    • Entwicklung realistischer Phishing-Nachrichten mit gefälschten Absendern.
    • Integration von Links zu speziell eingerichteten Testseiten oder Anhängen, die Aktionen der Zielpersonen protokollieren.
  • Durchführung:
    • Versand der Phishing-E-Mails an ausgewählte Testpersonen oder Gruppen.
    • Überwachung der Reaktionen, z. B. Klicks auf Links, Eingabe von Daten oder Downloads.
  • Auswertung:
    • Analyse der Ergebnisse: Wie viele Personen haben auf die Nachricht reagiert?
    • Empfehlungen für Sicherheitsmaßnahmen und Schulungen.

Vishing (Voice Phishing)

Vishing nutzt telefonische Kommunikation, um Personen dazu zu bringen, sensible Informationen preiszugeben oder bestimmte Aktionen auszuführen.

Schritte eines Vishing-Tests

  • Vorbereitung:
    • Identifikation von Zielgruppen, z. B. Support-Teams, HR oder IT-Abteilungen.
    • Erstellung realistischer Szenarien, z. B. vorgetäuschte Anrufe von IT-Support oder Geschäftspartnern.
  • Skriptentwicklung:
    • Erstellung eines Anrufskripts mit glaubwürdigen Informationen und möglichen Fragen.
    • Festlegen von Techniken, um das Vertrauen der Zielperson zu gewinnen.
  • Durchführung:
    • Simulieren von Anrufen mit verdeckter Identität.
    • Protokollierung der Reaktionen und der bereitgestellten Informationen.
  • Auswertung:
    • Analyse der Anrufe: Welche Informationen wurden preisgegeben?
    • Empfehlungen zur Verbesserung der Sensibilisierung und Authentifizierungsprozesse.

Media Dropping

Media Dropping setzt auf die Neugier von Personen, indem manipulierte Speichermedien (z. B. USB-Sticks oder CDs) in Bereichen platziert werden, in denen Zielpersonen sie finden und nutzen könnten.

Schritte eines Media-Dropping-Tests

  • Vorbereitung:
    • Erstellung manipulierter Medien mit harmloser, aber protokollierender Software, die keine Schäden verursacht.
    • Auswahl von Zielbereichen, z. B. Parkplätze, Empfangsbereiche oder Konferenzräume.
  • Platzierung:
    • Diskrete Platzierung der Medien an Orten, an denen sie wahrscheinlich gefunden werden.
    • Überwachung der Medien, um festzustellen, ob und wo sie genutzt werden.
  • Reaktionstest:
    • Protokollierung von Aktionen der Finder, z. B. ob die Medien angeschlossen und Inhalte geöffnet wurden.
    • Überprüfung, ob Sicherheitssoftware die Aktivität erkannt hat.
  • Auswertung:
    • Analyse der Ergebnisse: Wie viele Personen haben die Medien genutzt?
    • Empfehlungen zur Sensibilisierung und für Richtlinien zum Umgang mit fremden Medien.

Tailgating

Tailgating ist eine physische Social-Engineering-Technik, bei der der Angreifer unberechtigt Zugang zu gesicherten Bereichen erlangt, indem er anderen Personen folgt.

Schritte eines Tailgating-Tests:

  • Vorbereitung:
    • Analyse der physischen Sicherheitsmaßnahmen und Zugangskontrollpunkte.
    • Auswahl der Testumgebung (z. B. Büroeingänge, Lagerhallen).
  • Szenarienplanung:
    • Entwicklung realistischer Szenarien, z. B. „verlorene Zugangskarte“ oder „Lieferant mit schwerem Paket“.
    • Identifikation von potenziellen Schwachstellen, z. B. mangelnde Aufmerksamkeit des Sicherheitspersonals.
  • Durchführung:
    • Simuliertes Tailgating, z. B. durch direktes Folgen einer berechtigten Person oder höfliche Bitten um Zutritt.
    • Dokumentation des Erfolgs oder Misserfolgs der Versuche.
  • Auswertung:
    • Analyse der Sicherheitslücken und der Reaktionen des Personals.
    • Vorschläge für verbesserte Schulungen und physische Sicherheitsmaßnahmen.

Hinweis: Jedes dieser Module kann einzeln oder kombiniert durchgeführt werden, um Schwachstellen im Verhalten von Mitarbeitern und der organisatorischen Sicherheitskultur aufzudecken.

Sie haben Fragen zu unserem
Social Engineering?

Dann kontaktieren Sie uns bitte direkt unter:
+49 6806 93 73 012

Kontakt