Karriere
Karriere
SOCIAL ENGINEERING / CYBERATTACK SIMULATION
Unter dem Begriff Social Engineering versteht sich die gezielte Manipulation von Menschen mit dem Ziel Zugriff auf bestimmte Computersysteme zu erlangen. Eine immer wieder auftretender Social Engineering Angriff sind die sogenannten Phishing-Mails. Ein Angreifer versucht hierbei mittels eines E-Mails, häufig mit Malware als Attachement oder einem Link auf eine Fake Webseite, einen Benutzer dazu zu verleiten diese zu öffnen. Ist das Attachement geöffnet, erlangt der Angreifer Zugriff auf das betroffene System.
Social Engineering beschränkt sich nicht nur auf technische Angriffe auch physische Angriffe sind möglich. Bei einem physischen Angriff versucht ein Social Engineer Zugriff zu einem Gebäude zu erlangen. Dazu kann er als beliebige Person auftreten um beispielsweise Eingangskontrollen mittels psychologischer Tricks zu überwinden. In diesem Zusammenhang wird häufig auch sogenanntes Tailgating (Durchschlüpfen) eingesetzt. Ein Angreifer wartet hierbei bis eine berechtigte Person eine Tür öffnet und schleicht hinterher. Der Zutritt kann über verschiedene Eingänge erfolgen (Garage, Parkplatz, Hinterausgang, Haupteingang, etc.).
​
Ob technisches-, physisches Social Engineering oder eine Kombination von beidem, bei uns sind Sie richtig aufgehoben. Profitieren Sie von der mehrjährigen Erfahrung unserer technischen Experten (Hacker) und unseren Undercover-Agents (physische Social Engineers).
​
Technisches Social Engineering
Beim technischen Social Engineering nutzen unsere Experten verschiedene technische Mittel um einen oder mehrere Angestellte des Kunden mit modifizierter Malware (Trojaner/Backdoor/RAT) zu infizieren. Sobald der Zugriff gelungen ist, kann sich der Angreifer weiter im internen Netzwerk ausbreiten, weitere Systeme infizieren und/oder Daten stehlen.
Technisches Social Engineering kann zur Vereinfachung in zwei grobe Kategorien unterteilt werden:
​
Gezielte Angriffe ("Spear Phishing")
-
Gezielter Angriff auf Personen
-
Zielpersonen werden direkt angeschrieben
-
Der Angreifer sammelt gezielt persönliche Informationen über die Zielperson
-
Angriff erfolgt auf digitaler Ebene über Social Medien, E-Mail, SMS und ähnlichem.
-
Die Malwareinfektion kann über verschiedene Vektoren wie Phishing Webseiten, E-Mail Attachements, etc. stattfinden.
​
Ungezielte Angriffe ("Dynamite Phishing")
-
Bei diesem Angriff geht es einem Hacker darum so viele Ziele wie möglich zu erreichen. Hier geht Quantität über Qualität.
-
Es erfolgt keine direkte Anrede in den Nachrichten.
-
Inhaltlich sind die Nachrichten willkürlich.
-
Angriff erfolgt auf digitaler Ebene über Social Medien, E-Mail, SMS und ähnlichem.
-
Die Malwareinfektion kann über verschiedene Vektoren wie Phishing Webseiten, E-Mail Attachements, etc. stattfinden.​
​
Physisches Social Engineering
Wie oben bereits erwähnt ist das Ziel eines physischen Social Engineering Angriffs der Zutritt zu einem Gebäude. Um dieses Ziel zu erreichen steht dem Social Engineer eine breite Palette von Angriffen zur Verfügung. Untenstehend finden sich dazu einige Beispiele.
​
Physische Social Engineering Angriffe
-
Tailgating (Durchschlüpfen)
-
Telefonische Angriffe
-
Verkleidung als Techniker, Lieferant, Autoritätsperson, etc.
-
Verteilung von mit Malware infizierten USB-Sticks auf Parkplätzen, Toiletten, vor dem Eingang, etc.
-
Knacken von Schlössern und Tresoren (Lockpicking)
​
Ihr Nutzen
In der Praxis werden Social Engineering Angriffe häufig mit dem Argument abgelehnt, dass ein Angreifer über diese Angriffsvariante ohnehin Zugriff erlangen würde. Somit lohne sich ein Social Engineering Angriff nicht. Diese Einstellung ist gefährlich, weil dadurch einer der am häufigsten auftretenden Angriffsvektoren ignoriert wird und Sie nicht sicher sein können, wie Ihre Angestellten und Ihre IT-Sicherheitsorganisation im Ernstfall reagieren. Wie überall gilt auch hier das Motto - Übung macht den Meister.
​
Kurz zusammengefasst können Sie die folgenden Nutzen aus dieser Dienstleistung ziehen:
​
1. Förderung der Mitarbeiter Awareness
Regelmässig durchgeführte Social Engineering Angriffe mit anschliessendem Awareness Training erhöhen die Resilienz Ihrer Angestellten gegenüber dieser häufig auftretenden Angriffsform.
​
2. Angriffssimulation zu Übungszwecken
Durch das wiederholte durchspielen von Prozessen / Abläufen zur Abwehr von Angriffen, wissen Ihre Angestellten und Ihr IT-Sicherheitsteam wie im Ernstfall mit der Bedrohung umzugehen ist. Sie erhöhen damit nicht nur die Effizienz Ihrer IT-Sicherheitsorganisation sondern auch Ihre Resilienz gegenüber realen Angriffen.
Zahlen, Fakten und Beispiele
Bei den unten stehenden Zahlen zu den total versandten Phishing Mails handelt es sich um grobe Schätzungen eines bekannten Antivirus Herstellers. Die Schwarzzahlen werden wesentlich höher sein: