Social Engineering

SOCIAL ENGINEERING TESTS

Wir schlüpfen für Sie in die Rolle von Cyber-Angreifern und stellen Ihre "First Line of Defence" auf die Probe.


Social Engineering gehört zu den häufigsten Angriffsstrategien von Cyberkriminellen.
Es gibt eine Reihe von verschiedenen Anreizen und Motivationen, wie etwa Hilfsbereitschaft, Pflichtbewusstsein, Autorität oder Sympathie, für welche die Menschen besonders anfällig sind. Genau das machen sich Betrüger zu Nutze, um ihre Opfer zu bestimmten Handlungen zu bewegen.

Daher klingt es plausibel, dass diejenigen, die jeden Tag an vorderster Front stehen - die Benutzer, die E-Mails verwalten, Webseiten besuchen, Zahlungen ausführen usw. - entscheidende Faktoren dafür sind, ob in Ihrem Unternehmen eine Sicherheitsverletzung auftritt oder nicht.


Was sind die gängigsten Social Engineering Methoden?


Pretexting

Beim Pretexting erfinden die Betrüger ausgeklügelte Szenarien, mit denen die Opfer anschließend zu Taten verleitet werden. Um überzeugender zu wirken und mehr Informationen zu erlangen, setzen Angreifer auf zusätzliches Wissen über die Opfer und das Unternehmen, wie Geburtsdaten, Sozialversicherungsnummern, Arbeitskollegen, Vorgesetzte o. Ä.
Da das Pretexting als Grundlage für erfolgreiches Manipulieren dient, wird es meist in Verbindung mit anderen Social Engineering Techniken eingesetzt.



Baiting

Hier setzen die Übeltäter auf die Neugier oder Gier der Menschen. Zum Einsatz kommen digitale oder physische Köder, die den Opfern immer Konkretes versprechen, hinter denen sich jedoch meist Malware verbirgt. Bereitgestellt werden diese Köder beispielsweise via Download-Link in E-Mails oder mittels scheinbar interessanter Dateien auf einem externen Datenträger.
Auch diese Art von Betrug findet in Kombination mit anderen Social Engineering Techniken Verwendung.



Quid Pro Quo

Quid Pro Quo (lat. "dies für das") Angriffe funktionieren ähnlich wie das Baiting, basieren allerdings auf Vertrauen. Cyberkriminelle locken Ihre Opfer mit einer Gegenleistung oder Entschädigung im Austausch für Informationen. Oftmals müssen gar keine ausgefallenen Methoden angewandt werden, um an das gewünschte Ziel zu kommen. Es genügt ein unzufriedener Mitarbeiter, der für ein paar hundert Euro oder das neueste iPhone vertrauliche Informationen weitergibt. Des Weiteren sind Menschen auch manchmal gerne bereit, das Passwort für einen billigen Kugelschreiber preiszugeben.



Spear Phishing

Bei dieser Art von Angriff werden gefälschte E-Mails mit dem hauptsächlichen Ziel der Erlangung von Zugangsdaten oder Zugriff auf dahinterliegende Systeme an ausgewählte Mitarbeiter eines Unternehmens versendet. Die Bandbreite reicht dabei von schlecht gefälschten E-Mail Adressen und unrealistischen Inhalten bis hin zu vertrauenswürdigen Absendern und gut formulierten Texten mit passenden Signaturen.
Der Unterschied zum normalen Phishing besteht darin, dass Spear Phishing Angriffe immer zielgerichtete Attacken gegen Unternehmen sind.

Homographische Attacken machen sich das standardisierte Punycode Kodierungsverfahren zunutze. Damit ist es möglich, Unicode Zeichenketten in ASCII-kompatible Zeichenketten umzuwandeln. Dies bedeutet, dass gewisse Web-Browser den Domänen-Namen xn--snasec-kza.at als snaþsec.at darstellen würden.
Zur Veranschaulichung können Sie dies durch Aufruf der Webseite https://www.xn--snasec-kza.at mittels Firefox selbst testen.



Vishing

Ähnlich wie das Phishing zielt diese Betrugsmasche darauf ab, vertrauliche und sensible Informationen in Erfahrung zu bringen oder Betroffene dazu zu bewegen, Aktionen im Sinne des Angreifers auszuführen. Anders als beim Phishing verwenden hier die Betrüger als Kommunikationsmedium das Telefon, da ein Anruf vertrauensfördernder wirkt.



Tailgating

Tailgating, auch bekannt als Piggybacking, beschreibt eine Technik, bei der Angreifer physische Sicherheitsbarrieren zu umgehen versuchen. In einem typischen Szenario etwa folgt der Angreifer autorisierten Personen mit dem Ziel, in geschützte Bereiche zu gelangen bzw. um sich anschließend unbemerkt innerhalb einer Organisation fortbewegen zu können. Darauf folgend bietet sich die Gelegenheit für weiterführende Angriffe wie etwa dem Media Dropping. Weitere Taktiken sind das Vorspielen von Autorität, Hilfsbedürftigkeit, Freundlichkeit bzw. Fälschen von Identitäten wie Paketdienst oder Hausmeister. Die Wahrscheinlichkeit, mittels solcher Manipulation und Täuschung in ein Unternehmen zu gelangen, ist sehr hoch.



Media Dropping

Bei dieser Methode werden speziell präparierte Medien, beispielsweise USB-Sticks, CDs/DVDs, HIDs, etc., im Gebäude und an zugänglichen Bereichen wie Mitarbeiterparkplatz, Großraumbüros, Besprechungsräumen, Mitarbeiterküche usw. platziert. Die Angreifer initiieren Schadcodes in interessant scheinende Dateien, wie etwa private Fotos, Gehaltslisten, vertrauliche Dokumente o. Ä. und warten darauf, dass jemand die verseuchten Medien findet, an ein System ansteckt und enthaltene Dateien öffnet. Daraufhin lassen sich die Opfersysteme meist übernehmen und bieten somit die Gelegenheit, sich weiter im Netzwerk auszubreiten.



Dumpster Diving

Viele Menschen sind sich der Gefahren oft nicht bewusst, die durch unachtsames Wegwerfen entstehen. Beim Dumpster Diving werden aus dem Müll gezielt Informationen gesammelt, die für weiterführende Angriffe bedeutend sein können. Hier beschränken sich die Angreifer nicht nur auf das Durchwühlen von Papierkörben, um beispielsweise Zugangs-Codes oder Passwörter zu finden. Auch scheinbar harmlose Informationen wie Organigramme, Telefonlisten oder Mitschriften können einen großen Nutzen darstellen.



CEO-Fraud

Eine für Unternehmen besonders gefährliche Social Engineering Taktik ist der CEO-Fraud, auch bekannt als Business E-Mail Compromise, Fake President-Fraud, Chef-Trick oder Bogus Boss E-Mail. Hierbei geben sich die Betrüger am Telefon oder per E-Mail als vermeintliche Vorstandsmitglieder, Geschäftsführer oder Führungskräfte aus und versuchen die Opfer zu Handlungen, wie die Ausführung einer Zahlung, zu bewegen.
Angreifer sind meist sehr gut vorbereitet, da das Unternehmen und die Opfer bereits lange im Vorfeld ausgekundschaftet werden. Um die Wirkung zusätzlich zu verstärken, versuchen die Betrüger Vertrauen zu den Betroffenen aufzubauen, Autoritäten vorzuspielen, Dringlichkeit einer Sache zu erzeugen oder einfach, um Diskretion zu bitten. Der wirtschaftliche Schaden, der durch einen erfolgreichen CEO-Fraud entsteht, ist meistens enorm.



Wie aber vermeiden Sie, dass Ihre Mitarbeiter Opfer von Social Engineering Angriffen werden und Ihr Unternehmen dadurch einem großen Sicherheitsrisiko ausgesetzt wird?

Eine der effektivsten Methoden ist Bewusstseinsbildung durch IT-Security Awareness Trainings. Ohne die Aufmerksamkeit Ihrer Mitarbeiter kann Sensibilisierung allerdings nicht funktionieren. Dazu bieten wir Ihnen Social Engineering Tests an. Diese zeigen Ihnen auf, in welchem Maße Informationssicherheit in Ihrer Organisation bereits gelebt wird und welchen Stellenwert diese hat, wie effektiv Ihre IT-Security Awareness Kampagne ist und ob Nachbesserungen in Ihren Informationssicherheitsprozessen vorgenommen werden müssen.


Was erwartet Sie bei den Social Engineering Tests von snapSEC?

Wir achten bei den Social Engineering Tests darauf, dass es sich um reale Angriffsszenarien und keine Filmszenen handelt. Ein Nebeneffekt von diesen Tests ist, dass die Wahrnehmung bei Ihren Mitarbeitern über mögliche Angriffsszenarien gesteigert wird.

Die Testmöglichkeiten sind modular aufgebaut. Somit können Sie die verschiedenen Social Engineering Methoden einzeln oder kombiniert mit unseren Test- Paketen verwenden. Da jedes Unternehmen individuell ist, entwickeln wir auch gerne für Sie maßgeschneiderte Angriffsszenarien. Anschließend an die Tests empfehlen wir Ihnen Sicherheits- und Aufklärungsmaßnahmen, was die Wahrscheinlichkeit drastisch reduziert, Opfer von Social Engineering Angriffen zu werden.
Wichtig zu erwähnen ist, dass unsere Social Engineering Tests nicht dazu da sind, Mitarbeiter bloßzustellen, sondern um zu messen, ob etablierte Informationssicherheitsmaßnahmen wie gewünscht funktionieren. Wir testen keine einzelnen Personen, sondern verifizieren anonymisiert die Einhaltung von sicherheitsrelevanten Geschäftsprozessen und Richtlinien sowie den Umgang mit sensiblen Informationen. Dabei legen wir großen Wert auf ethische Grundsätze und den diskreten Umgang mit gewonnen Informationen.



Wie starten Sie am besten?

Gibt es in Ihrem Unternehmen klare Verhaltensregeln für die Abwehr von Social Engineering? Werden Ihre Mitarbeiter laufend sensibilisiert bzw. geschult und trainiert? Dann erhalten Sie im Rahmen unserer Social Engineering Test-Pakete die Möglichkeit, das Sicherheitsverhalten Ihrer Mitarbeiter zu messen und zu schärfen.


Unsere Pakete

Paket Blind

Inhalt
Hier werden der Scope, die Vorgehensweise und die Zeitpunkte für die Durchführung der Tests mit der Ziel-Organisation genau abgestimmt. Die Tester erhalten jedoch kaum Informationen über das zu prüfende Ziel bzw. dessen Verteidigungsmaßnahmen. Dieser Test eignet sich, um zu erfahren, welche Informationen Angreifer über das Ziel ausfindig machen können.

Anfrage

Paket Double Blind

Inhalt
Bei dieser Art von Angriff wird mit der Ziel-Organisation lediglich der Scope abgegrenzt. Informationen zum Zeitpunkt der Durchführung bzw. der Vorgehensweise werden nicht bekannt gegeben. Zudem erhalten die Tester kaum Informationen über das zu prüfende Ziel bzw. dessen Verteidigungsmaßnahmen. Dieses Paket wird oft eingesetzt, um ein möglichst realistisches Angriffsszenario nachzustellen.

Anfrage

Paket Reversal

Inhalt
Bei diesem Paket werden die Tester vorab mit allen relevanten Informationen versorgt und der Scope genau abgegrenzt. Genaueres bezüglich der Tests wird jedoch nicht bekannt gegeben. Weder der Zeitpunkt der Durchführung noch welche Vorgehensweise angewandt wird. Dementsprechend können die Angriffe genau vorbereitet und sehr optimiert durchgeführt werden.

Anfrage
KONTAKT

Wie dürfen wir Ihnen helfen?


Ihre Angaben werden selbstverständlich vertraulich behandelt. Die snapSEC GmbH sichert Ihnen zu, Ihre persönlichen Daten ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage zu nutzen und nicht an Dritte weiterzugeben. Die Formualrdaten werden verschlüsselt an uns übertragen. Unsere Datenschutzerklärung finden Sie hier