Ein Social-Engineering Angriff hat das Ziel, Mitarbeiter auf zwischenmenschlicher Ebene zu beeinflussen und somit an vertrauliche Informationen zu gelangen, die durch den Angreifer für weitere Angriffsszenarien verwendet werden. Der Angreifer macht sich dabei menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Autorität zu nutze. Vermutlich haben Sie schon ein mal etwas von vermeintlichen Microsoft Support-Mitarbeitern gehört, die gerne ein Problem auf Ihrem Computer lösen möchten, oder über die Masche CEO-Fraud, worin es dabei geht, unter Vortäuschung von falschen Identitäten Geld-Beträge zu überweisen.
Wir nutzen bei Social-Engineering Angriffen die Methodik Open Source Intelligence (OSINT), um öffentlich Verfügbare Informationen über das Ziel zu gewinnen, zu verwerten und für den eigentlichen Angriff zu verwenden. Der Begriff OSINT stammt ursprünglich aus dem Bereich der Nachrichtendienste und beschreibt die Gewinnung von wertvollen Informationen über öffentliche Quellen wie bspw. Social-Media oder geleakten Datenbeständen.
Eine Art des Social-Engineerings sind Angriffe über Phishing-Mails, diese bieten wir Ihnen in Form von dedizierten Kampagnen unter der Leistung „Phishing-Kampagnen“ an.
Ein weiteres reales Angriffsszenario ist die Überwindung von physischen Zutrittskontrollen, ein gängiges Beispiel ist hierbei der externe Techniker, der unter Vortäuschung von falschen Tatsachen und Identitäten Zutritt zu Ihrem Unternehmen erhält und somit in der Lage ist, bspw. Spionage-Tools in Form von Keyloggern oder Netzwerk-Wanzen zu platzieren.
Beispiel Szenario 1
Wir führen einen Social-Engineering Angriff durch, indem wir im Vorfeld Informationen mit Hilfe der Methodik OSINT über Ihr Unternehmen sammeln und anschließend fingierte Telefonanrufe durchführen, mit dem Ziel, an interne und vertrauliche Informationen zu gelangen.
Beispiel Szenario 2
Wir führen einen Social-Engineering Angriff durch, indem wir unter Vortäuschung einer falschen Identität Zugriff zu Ihrem Unternehmen erhalten, mit dem Ziel, einen Keylogger zu platzieren und somit an Zugangsdaten zu gelangen.
