Social Engineering ist die Kunst der systematischen Arbeit mit Menschen. Wir setzen dies ein, um Sie besser auf mögliche Angriffe vorzubereiten. Ein Social-Engineering-Angriff kann über verschiedenste Medien und Arten erfolgen. Entsprechend vielseitig ist hier auch unser Angebot.
Gemein haben die folgenden Assessments, dass im Vorfeld eine genaue Abstimmung der Ziele und Nicht-Ziele als auch der Einschränkungen zum Schutz der Mitarbeitenden erfolgt. Da diese Tests darauf ausgelegt sind, neue Sicherheitslücken zu entdecken, ist ein klares Nicht-Ziel, etwaiges Fehlverhalten im Zuge des Projektes personenbezogen festzuhalten. Wir stellen uns klar gegen negative Folgen für Einzelpersonen aus diesen Assessments, anonymisieren Inhalte und Bildmaterial so gut wie möglich und setzen uns für eine transparente und gerechte Aufarbeitung von Ergebnissen ein.
Als gute Basis für das Testdesign eignen sich bestehende internen Schulungsunterlagen zur Erkennung von Angriffen. Auf diesen aufbauend können wir die Assessments so gestalten, dass sie neben dem Trainieren aktueller, realistischer Gefahren, auch die Inhalte Ihrer eigenen Schulungen abdecken und diese weiter unterstützen.
Gezielte Phishing-Tests
Bei diesen Assessments erarbeiten wir mit Ihnen auf Basis der aktuellen Trends und Ihrer eigenen Anforderungen, welche Szenarien am sinnvollsten für das Training Ihres Personals sind. Dies können generische Texte sein bis hin zu E-Mails, die auf Ihr Unternehmen oder Personengruppen (Spear Phishing) maßgeschneidert sind mit Links und/oder Anhängen, welche von uns vorbereiteten Code enthalten. Jedes Assessment ist einzigartig und genau auf Ihre Bedürfnisse zugeschnitten.
Test der technischen Phishing-Schutzmaßnahmen
In diesem Assessment testen wir, ob Ihre technischen Schutzmaßnahmen ausreichend gut gegen Phishing-E-Mails schützen. Auf dem Prüfstand stehen Spam-Filter, Antiviren-Lösungen auf den E-Mail-Gateways und Clients, Endpoint-Protection-Software als auch Data Leakage Prevention Software.
Voice-Phishing-Tests
Mit dem Anstieg der Häufigkeit von gefälschten Telefonanrufen, die zum Ziel haben, Personen zur Herausgabe von Informationen oder Installation von Schadsoftware zu überreden, ist es wichtig geworden, Mitarbeitende auf derartige Gefahren vorzubereiten. Mit gefälschten Absendernummern und AI-generierten Stimmenimitaten trainieren wir Ihr Personal auf mögliche Szenarien.
CEO-Fraud Simulationen
Als CEO-Fraud werden Angriffe bezeichnet, in welchen Mitarbeitende unter Vorgabe von gefälschter Identität von Angreifenden unter Druck gesetzt werden, um Geld an unbekannte Bankkonten zu überweisen. Abhängig von Ihren Kommunikationsprozessen umfasst diese Simulation einen Mix an unterschiedlichen Social-Engineering-Formen und Medien wie beispielsweise E-Mail, WhatsApp, MS Teams oder Anrufe.
USB / Media-Dropping
In USB-Geräten, aber auch USB-Kabeln, kann sich mittlerweile Schadsoftware verstecken. Mit diesem Assessment trainieren wir die Reaktion Ihres Personals, wenn diese oder ähnliche Medien wie CDs, finden und helfen Ihnen, die damit verbundenen Gefahren besser zu verstehen.
Mystery Guest / Physical Awareness Engagements
Als sogenannter Mystery Guest besuchen wir Ihr Unternehmen und versuchen, die mit Ihnen vereinbarten Ziele wie den Zugriff auf spezielle Dokumente oder IT-Systeme, zu erreichen ohne, dass wir spezielle IT-Hacking- oder physische Angriffe durchführen. Der Fokus liegt auf Social Engineering und dem Sicherheitsbewusstsein des Personals gegenüber betriebsfremden Personen. Während des Assessments machen wir unsere Präsenz immer mehr bemerkbar bis wir entdeckt werden. So erhalten Sie einen Überblick über jene Maßnahmen, die bereits gut implementiert sind und gelebt werden. Und auch die Mitarbeitenden gehen am Ende mit einem positiven Erlebnis und Lernerfolg aus dem Assessment.
Wir haben uns sehr gefreut die DEFCON in Las Vegas, USA im August 2023 zum ersten Mal zu besuchen! DEFCON ist eine jährliche Computersicherheits-Veranstaltung, welche bis zu 30.000 Besucher anzie...
Unser Team ist gewachsen und wir freuen uns, seit kurzem drei neue Mitarbeiter im Pentesting begrüßen zu dürfen. Mit ihrer Hilfe fällt es uns leichter, auf die vielen Projektanfragen einzugehen, und w...
Treasury on Tour ist eine Veranstaltung von Schwabe, Ley & Greiner, um führende Köpfe des Treasurys mit hochwertigen Vorträgen, Diskussionen und der Möglichkeit zum Netzwerken zusammenzubringen. H...
Finance
Ausgangssituation war hier der Zugang zu einem Bürogebäude. Trotz bestehenden Sicherheitsmaßnahmen war es möglich online öffentliche Informationen zur Kleiderordnung und Ausweisgestaltung des Unternehmens zu erhalten.
Durch Anpassung des Kleidungsstils und Erstellung ähnlicher Ausweise war Tailgating (Folgen von zutrittsberechtigten Personen) ohne Probleme möglich. Die Testenden konnten sich nach Eintritt ungestört im gesamten Gebäude bewegen, wo sie ungesicherte Netzwerkanschlüsse und Zutrittskarten auffanden.
Government
Um in einem Social Engineering Assessment interner Netzwerkzugriff zu erhalten, mussten wir zuerst Zutritt zum Gebäude erlangen. Deshalb entwarfen wir folgendes Szenario und setzen es um:
Ein Mitarbeiter von uns wartete in Anzug und Krawatte vor dem Unternehmen auf sein Stichwort. Ein zweiter Mitarbeiter tätigte aus sicherer Entfernung einen Anruf von der gefälschten Nummer eines Vorgesetzten an den Empfang: Er habe ein sehr wichtiges Meeting und der Kunde ist verspätet. Wenn der Kunde kommt, müsste dieser bitte so schnell wie möglich durchgeschleust werden.
Der erstgenannte Mitarbeiter lief nun gehetzt zum Empfang, musste gar nicht mehr viel sagen und wurde ohne Kontrolle vorbeigelassen. Das Resultat: Freie Bewegungsmöglichkeit innerhalb des Gebäudes!