Social Engineering

Professionelle Phishing-Prävention
Social Engineering

Phishing als Teil der Cyber Security

Eine Phishing-Kampagne wird oft als Teil eines umfangreicheren Auditprojekts durchgeführt, um die Sicherheitsüberprüfung eines Betriebs zu ergänzen und einen vollständigen Überblick über die Unternehmenssicherheit zu geben. Wie in allen Bereichen der IT-Sicherheit ist auch die Sensibilisierung für Social-Engineering ein kontinuierlicher Prozess, der stetig wiederholt, variiert und verbessert werden muss. Phishing-Angriffe haben stark zugenommen und weisen eine steigende Tendenz auf. Schützen Sie sich!

Was ist Phishing?

Beim Phishing versucht der Angreifer mittels Mail bzw. betrügerischen Webseiten an sensitive Informationen wie Zugangsdaten oder Kreditkarteninformationen zu gelangen. Als vermeintlich vertrauenswürdiges Gegenüber nutzt er die Gutgläubigkeit und Hilfsbereitschaft des Opfers aus. Mittels Phishing wird versucht Schadsoftware an die Benutzer zu bringen: das Opfer wird mit perfiden Tricks dazu animiert schädliche Dateien herunterzuladen. Phishing ist eine Form von Social Engineering.

Warum Phishing?

Diese Art von Cyberattacke ist sehr beliebt, da Kriminelle mit relativ wenig Aufwand grosse Beute machen können. Die Wahrscheinlichkeit, dass einige  Mitarbeitende auf den Betrügertrick reinfallen ist sehr hoch. Phishing ist ein kostengünstiges Einfallstor für Cyberkriminelle um ins Firmennetz zu gelangen oder sensible Daten auszuspionieren. 

Der beste Schutz sind geschulte Mitarbeitende, welche die Bedrohungsszenarien kennen und die IT-Sicherheit in ihrer täglichen Arbeit berücksichtigen.

    Nutzen: Warum sich die Phishing-Prävention für Sie lohnt

    Investitionen in technische Schutzmassnahmen allein reichen heute nicht mehr aus. Phishing-Simulation und Awareness-Kampagne bringen Ihrem Unternehmen Vorteile:

    • Der Awareness-Level der Mitarbeitenden wird ermittelt und zeigt, wo es Verbesserungspotenzial gibt.
    • Geschulte Mitarbeitende stellen als Human Firewall einen wertvollen Schutz vor Cyberangriffen dar.
    • So kann ein Cyberangriff früh erkannt werden — kostspielige Schadsoftware-Attacken werden verhindert.
    • Sie können Imageschäden und schlechte Presse für Ihr Unternehmen vermeiden.
    • Sicherheitsrichtlinien unterstützen Mitarbeitende im richtigen Verhalten bei Social Engineering.
    • Die Zusammenarbeit zwischen Mitarbeitenden und Servicedesk zeigt, wo Prozesse optimiert werden sollten.
    • Weitere Erkenntnisse zum Verbesserungspotential auf technischer oder softwarebasierter Ebene.

    Professionelle Phishing-Prävention zur Erhöhung der Cyber Defense

    Am wichtigsten sind also Sensibilisierungsmassnahmen und die technische Schutzmechanismen (Malware-Scanner, Sandbox, IP- oder Domain-Blockierung). Beim Phishing wird die Schwachstelle «Mensch» (Human Firewall) ausgenutzt, der entscheidet, ob ein schädlicher Mail-Anhang gedankenlos geöffnet wird oder nicht. Er ist die letzte Schutzinstanz von dessen Aktion in dem Moment die Sicherheit des Unternehmens abhängt.

    Mit Social-Engineering-Frameworks können Kampagnen zum Umgang mit schützenswerten Informationen durchgeführt werden. Mittels Phishing-Attacke wird die Sensibilisierung überprüft und durch ein Awareness-Training das Security-Bewusstsein gesteigert.

    Social-Engineering-Frameworks bieten unter anderen folgenden Funktionalitäten:

    • Erstellung und Versand von Phishing-Mails direkt aus dem Framework (Verwaltung Empfänger, Absender, Mailserver etc.)
    • Einfache Erstellung und Hosting einer Phishing-Seite (Kopieren existierender Seiten, SSL-Konfiguration, Weiterleitung, Templates)
    • Generierung und Durchführung von Simulationen mit schädlichen Anhängen (MS Makros, EXE-Dateien, PDFs etc.)
    • Auswertungen der ausgewählten Kampagne (Erfolgsquote, übermittelte Daten, ausgeführte Dateien, Möglichkeit der Anonymisierung,
      Geo-/Browser-/Betriebssysteminformation etc.)
    • Versand von Trainingsmaterial (webbasiertes Onlinetraining, Aufklärungsvideos, Online-Quiz etc.)
    • Automatische Generierung eines Berichts

    Social-Engineering-Framework im Einsatz bei terreActive

    Lucy Security LogoterreActive setzt auf die Lösung des Schweizer Unternehmens LUCY Security.LUCY bietet eine vielfältige Auswahl an Features, Phishing-Simulationen, Awareness-Trainings, Reporting sowie weitere Services an. Diese Plattform wird regelmässig aktualisiert und permanent weiterentwickelt, um mit den Techniken der Hacker Schritt zu halten. terreActive ist offizieller LUCY-Partner und verfügt über mehrjährige Erfahrung im Bereich Phishing-Simulationen, Infrastruktur-Tests sowie Sensibilisierung von Mitarbeitenden. Fragen Sie nach unseren Referenzen!

    Schützen Sie sich vor Phishing! Wir unterstützen Sie dabei.

    Bei terreActive können Sie aus zwei Angebotsvarianten auswählen. Sie entscheiden, ob Sie nur eine Phishing-Simulation oder ein Awareness-Training oder für maximale Sicherheit beides in Anspruch nehmen möchten.

    Social-Engineering-Kampagne

    Und noch ein Tipp zum Schluss

    terreActive empfiehlt, die Sensibilisierungsmassnahmen als einen kontinuierlichen Prozess zu etablieren. Dabei sollen die Mitarbeitenden regelmässig - mindesten einmal im Jahr - trainiert und sogleich getestet werden. Durch Übung geben Sie Ihren Kollegen Sicherheit und steigern kontinuierlich den Schutz und die Cyber Defense Ihres Unternehmens.

    Sie möchten mehr über das Phishing-Angebot erfahren? Nehmen Sie einfach mit uns Kontakt auf.

    Die gezielte Phishing-Attacke im Rahmen der Security-Awareness-Kampagne war für uns alle eine lehrreiche Erfahrung. Dank diesem Beispiel von Social Engineering wissen wir, wie ein Angriff aussehen könnte – und dass wir darauf vorbereitet sind.
    Fabio Semadeni
    Leiter Services
    Bank SLM

    Für alle, die noch mehr wissen möchten - weitere Informationen über Phishing

    Phishing-Arten

    • Mass Phishing: Ein Klassiker, breit angelegte Attacke mit vielen Empfängern. Das Mail ist unpersönlich formuliert, enthält Rechtschreibfehler und ist einfach zu enttarnen.
    • Spear Phishing: Dedizierte Attacke mit kleinem Personenkreis und hochpersonalisiert. Weil im Vorfeld aufwändig recherchiert wurde, ist der Betrugsversuch schwieriger zu enttarnen.
    • Whaling: Eine Spear-Phishing-Attacke, welche sich gegen hochrangige Firmenmitglieder (CEO, CTO, CFO) richtet.
    • Vishing: Hier versucht ein Angreifer die sensitiven Informationen via Telefonanruf in Erfahrung zu bringen.
    • Smishing: Phishing via SMS.
    • Pharming: Durch eine Änderung der lokalen Konfigurationsdatei auf dem Computer z. B. mittels Schadsoftware, wird es möglich eine legitime Domain auf eine falsche IP-Adresse umzuleiten.
    • QR-Phishing: Hier wird ein QR-Code manipuliert, so dass die Opfer auf eine präparierte Website weitergeleitet werden.

    Sechs einfache Merkmale um Phishing zu erkennen

    • Der Absender gibt sich als bekannte Firma aus, z. B. PayPal, Amazon oder Microsoft Customer Support
    • Komprimierte Attachements, z. B. Archivdateien, zip, rar, gz, tgz
    • Einschüchterungstaktiken und Zeitdruck, z. B. Rechnung überfällig, sofort zahlen
    • Unpersönliche Anreden, z. B. „Wichtige Mitteilung an alle PayPal-Kunden“
    • Manipulierte Links, z. B. wird ein Link als www .paypal.com/login angezeigt, führt aber nach www .hackersite.com
    • Gefälschte Domainnamen, z. B. www. payppall.com

    Erfahrung bringt Effizienz

    Reduzieren Sie Ihren eigenen Aufwand und gelangen Sie schneller zu Resultaten, indem Sie sich die Erfahrung von terreActive aus umfangreichen Social-Engineering-Projekten zu Nutze machen. Durch unser Security-Know-how können wir Ihre Wunschkampagne technisch professionell realisieren. Durch einen ausführlichen Bericht erhalten Sie eine nachvollziehbare Dokumentation für unterschiedliche Zielgruppen. Damit können Sie auch nach dem Social-Engineering-Projekt Ihre Schwachstellen bearbeiten und eliminieren.