Warum sind Social-Engineering-Tests sinnvoll?
Es wird geschätzt, dass mindestens 90 % aller Hackerangriffe ohne das unbewusste Verhalten von Menschen nicht erfolgreich wären. Daher sind Social-Engineering-Tests, die mit den Methoden durchgeführt werden, die Betrüger verwenden, um Daten zu erlangen oder in das Unternehmensnetzwerk einzudringen, von großer Bedeutung.
Was erhalte ich nach den Tests?
Das Ergebnis der Tests sind zuverlässige Informationen darüber, in welchen Bereichen sich die Mitarbeiter der IT-Gefahren bewusst sind und wo Lücken bestehen. Wie aufmerksam sind sie und wissen sie, was sie bei verdächtigem Verhalten tun müssen?
CyberClue schlägt in seinem Abschlussbericht auch den Umfang von Schulungen und Informationskampagnen für Mitarbeiter sowie Methoden zu deren effektiver Durchführung vor.
- E-Mails mit gefälschten Links
- SMS-Nachrichten, die auf eine gefälschte Anmelde- oder Zahlungsseite weiterleiten
- Telefonanrufe mit dem Versuch, Daten zu ergaunern
- Physische Aufforderung eines Mitarbeiters, z. B. zum Öffnen des Serverraums oder zum Anschließen eines externen USB-Sticks an den Computer.
Die Art und Weise der Prüfung wird jeweils mit dem Kunden abgestimmt.
Sozialtechnische Tests umfassen je nach Bedarf und Vereinbarung:
- Suche nach Telefonnummern und E-Mail-Adressen aus öffentlich zugänglichen Quellen
- Hacken der Sicherheitsvorkehrungen des E-Mail-Servers, um sich als anderer Nutzer auszugeben
- Versuch des unbefugten Einloggens in ein Benutzerkonto
- Durchführung von Phishing-Anrufen bei mehreren Mitarbeitern
- Erstellung gefälschter Domains und Websites, auf die Mitarbeiter nach dem Versand einer gefälschten E-Mail oder SMS weitergeleitet werden
- Versuch des unbefugten Betretens des Gebäudes, des Büros oder des Serverraums
- Versuch, Zugriff auf den Computer eines Mitarbeiters zu erhalten
- Versuch, einen USB-Stick anzuschließen
- Versuch, einen Mitarbeiter zur Installation von Software vom USB-Stick zu veranlassen