Bei unseren Phishing-Simulationen versenden wir reguläre E-Mails, die unter dieselben Taktiken und Praktiken der Hacker fallen. Allerdings gibt es einen wesentlichen Unterschied:
Mit unseren Simulationen illustrieren wir lediglich, wie Angriffe „in freier Wildbahn“ aussehen könnten, ohne ein wirkliches Sicherheitsrisiko zu schaffen.
Durch unsere zahlreichen Phishing-Simulations Pools können wir die für Ihr Unternehmen passende Vorlage auswählen. Mit unseren detaillierten Auswertungen behalten Sie zudem stets einen Überblick darüber, wie viele Mitarbeiter „in die Falle getappt“ sind und können diese auch anschließend zu einer Nachschulung verpflichten. Den größten Erfolg solcher Sensibilisierungsmaßnahmen erzielen Sie, wenn solche „Attacken“ in regelmäßigen Abständen wiederholt werden.
Hierzu bieten wir drei Arten von Phishing-Simulationen an:
(Spear) Phishing
Hier besteht das Ziel darin, Ihre Mitarbeiter dazu hinzureißen, auf einen Link in einer E-Mail zu klicken. Phishing-Mails sind mittlerweile allgegenwärtig. Meistens erkennt man diese auf den ersten Blick, da einem die Sprache, der Inhalt oder die Herkunft der E-Mail verdächtig vorkommt. Solche Phishing Mails werden in die weite Welt gestreut, mit der Hoffnung, dass ein einige Leichtgläubige darauf hereinfallen.
(Spear) Phishing ist das gleiche, nur sehr viel gezielter – daher auch der Name. Beim „normalen“ Fischen wirft man ein Netz aus und hofft, dass sich ein paar Fische darin verheddern. Beim Speer-Fischen sucht man sich gezielt einen Fisch aus, macht sich am besten vorher noch ein wenig schlau, wo sich der Fisch gerne versteckt, wo er frisst, wo er sich wohlfühlt, und sticht dann mit dem Speer ganz gezielt zu. Genau das ist die Vorgehensweise von gezielten (Spear) Phishing Angriffen. Angriffe werden auf Zielpersonen bewusst ausgeführt (siehe Social Engineering). (Spear) Phishing Attacken fallen auf den ersten Blick kaum auf und erfordern um so mehr, dass Mitarbeiter wissen, worauf es zu achten gilt.
Diebstahl von Zugangsdaten
Bei dieser Angriffs-Simulation wollen wir Ihre Mitarbeiter dazu animieren, ihre Anmeldedaten auf einer gefälschten Website einzugeben. Keine Sorge: Es werden keinerlei Zugangsdaten gespeichert, sollte ein Mitarbeiter doch auf die Attacke hereingefallen sein. Hierzu verwenden wir präparierte E-Mails, die so täuschend echt aussehen, dass sie nur sehr schwer erkannt werden können. Diese E-Mails enthalten im Normalfall keine Viren oder sonstigen Schadcodes, die durch Virenscanner erkannt werden können, sondern dienen lediglich dazu, die eingegebenen Zugangsdaten, Kennwörter und dergleichen abzugreifen.
Auch hier gilt, je regelmäßiger solche simulierten Angriffe durchgeführt werden, desto sensibler und aufmerksamer werden Ihre Mitarbeiter bei gleichartigen Angriffsversuchen.
E-Mail Anhänge
Da „unsaubere“ Links in E-Mails erkannt werden können, werden diese in Anhänge ausgelagert. Ist der Link in einem angehängten Word oder PDF-Dokument, werden diese nicht mehr als verdächtig erkannt. Ziel dieser Simulationen ist es daher, Benutzer dazu zu anzuregen, den Anhang einer E-Mail zu öffnen. Im Ernstfall werden dadurch häufig Keylogger oder andere Schadsoftwares installiert, die den Tätern dann Zugang zu Dateien und Passwörtern verschaffen. Bei uns wird lediglich erfasst, welcher Mitarbeiter weiter sensibilisiert werden muss.