Phishing Kampagne - phishing.42
Social-Engineering-Angriff per E-Mail
Phishing-Angriffe
Ziel
Im Rahmen der Dienstleistung phishing.42 wird ein simulierter Social-Engineering-Angriff über E-Mail auf alle oder ausgewählte Mitarbeiter eines Unternehmens durchgeführt. Ziel ist die Sensibilisierung der Mitarbeiter zu den Themen E-Mails mit schadhaftem Link (Drive-by-Download) bzw. schadhaftem Inhalt (Malware) und Phishing zu prüfen. Viele unserer Kunden nutzen die Kampagne auch im Rahmen einer Sensibilisierung zum Thema Informationssicherheit.
Die Leistung gliedert sich in folgende Schritte:
1 Übergabe der E-Mail Adressen
Der Auftraggeber übergibt die E-Mail-Adressen der Zielpersonen. Oft erfolgt hierbei auch eine Zuordnung der E-Mail Adressen zu Organisationseinheiten des Auftraggebers.
2 Aufbau einer gefälschten Webseite
Im Rechenzentrum der plan42 werden gefälschte Webseiten aufgebaut. Hierbei handelt es sich, abhängig vom gewählten Szenario, um Seiten zum Download von Gutscheinen, Informationsdienste und Login-Seiten für Intra- oder Extranet-Seiten.
3 E-Mail Versand
Den Zielpersonen für diesen Test wird ein Anschreiben per E-Mail geschickt, in dem sie, abhängig vom Szenario, z. B. über die Möglichkeit zum Herunterladen von Gutscheinen auf einer Webseite informiert oder zur Eingabe von Login Daten aufgefordert werden.
Die Schwierigkeit der Erkennung dieser E-Mails als Fälschung, wird in Abstimmung mit dem Auftraggeber festgelegt. Hierbei kann es sich um eine professionelle, schwer zu erkennende Phishing E-Mail mit gefälschtem Absender oder auch um E-Mails mit mehr oder weniger versteckten Hinweisen auf eine Fälschung handeln.
4 Auswertung und Berichterstellung
In jeder E-Mail an die jeweiligen Zielpersonen ist ein individueller HTTP-Link integriert. Hiermit kann zugeordnet werden, welche Personen die Links anklicken bzw. Daten auf den Phishing-Seiten eingeben. Die Auswertung dieser Informationen kann komplett anonym, personalisiert oder auch individuell z. B. auf Ebene von Organisationseinheiten des Auftraggebers erfolgen. Wir setzen strenge Anforderungen im Bereich der technischen und organisatorischen Maßnahmen zum Schutz der uns übergebenen Daten um. Nach Beendigung des Auftrags werden alle personenbezogenen Informationen datenschutzkonform gelöscht.
Der letzte Schritt dient dazu, den Fortschritt zu überwachen, Ergebnisse zu sichern und diese weiter zu optimieren.
Szenarien
Im Standard Angebot sind zwei Angriffsszenarien enthalten. Diese werden typischerweise mit einem Zeitabstand von 4-8 Wochen durchgeführt.
Was können wir für Sie tun?
Sie möchten mehr über unser Angebot zum Thema Phishing-Kampagne erfahren? Laden Sie unsere Leistungsbeschreibungen herunter:
oder nehmen Sie Kontakt mit uns auf.