Social Engineering

Werten Sie die Rolle des Faktors Mensch im Bereich Datenschutz aus

Nächste Schritte:

Overview

Mit dem Begriff "Social Engineering" beschreiben Hacker schon seit Jahren die Technik, sich mittels Beeinflussung oder Betrug Zugriff auf Informationssysteme zu verschaffen. Ein derartiger Zugriff wird gewöhnlich durch Gespräche oder andere zwischenmenschliche Interaktionen erzielt. Das Medium der Wahl ist in der Regel das Telefon. Die Kommunikation kann jedoch auch in Form einer E-Mail-Nachricht, einer Fernsehwerbung oder über zahllose andere Medien stattfinden, um eine menschliche Reaktion zu provozieren. Stellen Sie sich eine Diskette oder CD mit der Aufschrift "Gehaltsabrechnung" vor, die im Hausflur oder auf der Toilette eines Unternehmens zurückgelassen wird. Auf dem Medium befindet sich böswilliger Code. Würde einer der Mitarbeiter im Unternehmen dieses Medium an seinem Computer einlegen und auf den Inhalt zugreifen?

Foundstone führt die für Ihr Unternehmen am besten geeignete Art von Social Engineering durch. Unsere Methode spiegelt unseren Ansatz für Sicherheitsbewertungen wider. Wir beginnen mit der Identifikation möglicher Ziele und der Erfassung von Informationen. Anschließend finden die Ausnutzungsversuche statt. Diese Prinzipien wenden wir in einem angepassten Ansatz in Abhängigkeit von den Zielen in der jeweiligen Situation systematisch an.

Wichtige Vorteile

  • Identifizieren Sie Schwachstellen im Unternehmen
    Foundstone wendet einen angepassten Ansatz auf die Sicherheitsbewertungsmethode an.
  • Messen Sie die Wirksamkeit Ihrer Programme zur Förderung des Sicherheitsbewusstseins
    Sind Ihre Benutzer sicherheitsbewusst und darum bemüht, die IT-Ressourcen Ihres Unternehmens zu schützen?
  • Erhalten Sie Empfehlungen für die weitere Vorgehensweise
    Zu unseren Leistungen zählen ein technischer Bericht zu Social Engineering, eine Zusammenfassung sowie ein halbtägiger Workshop mit einer Präsentation zu Social Engineering.

Methodology

Wir arbeiten eng mit unseren Kunden zusammen, um die Testszenarien festzulegen. Diese Testszenarien sind genau auf die spezifischen Richtlinien und Prozesse in ihres Unternehmens zugeschnitten. In einigen Unternehmen sind möglicherweise Verfahren für eine Reaktion auf Sicherheitsvorfälle vorhanden, mit deren Hilfe verdächtige Telefonanrufe gemeldet werden können. Foundstone kann diese Verfahren testen. Dazu werden offensichtliche Versuche unternommen, ohne die erforderlichen Berechtigungen Zugang zu vertraulichen Informationen zu erhalten. Dies ist eine ausgezeichnete Möglichkeit, die Wirksamkeit von Schulungsprogrammen zur Förderung des Sicherheitsbewusstseins zu testen oder die Grundlage für den Aufbau eines solchen Programms zu legen.

Es wurden drei gängige Angriffsvektoren ermittelt:

  • Telefonanrufe bei einzelnen Mitarbeitern im Unternehmen: Dies sind normalerweise die Helpdesk-Mitarbeiter und spezifische Mitarbeiter, die als kritisches Unternehmenspersonal festgelegt werden.
  • Sorgfältig verfasste Phishing-E-Mails, die spezifische Gruppen oder einzelne Personen ansprechen und das Ziel haben, dem Empfänger Informationen zu entlocken
  • Eine Diskette oder CD mit böswilligem Code und einer verlockenden Beschriftung wie "Gehaltsabrechnung" oder "Vorläufiger Quartalsabschluss", die an gezielt zu diesem Zweck ausgesuchten Orten im Hausflur oder auf der Toilette zurückgelassen wird

Zum Abschluss stellen wir unabhängig von der Art der durchgeführten Social Engineering-Tests einen ausführlichen Bericht über die getesteten Richtlinien und die Ergebnisse jedes versuchten Verstoßes bereit.