Phishing

In einer Phishing-Kampagne wird die Awareness der Mitarbeitenden auf Phishing-E-Mails geprüft und ausgewertet. Dies kann als Bestimmung des Ist-Zustands, Basis für Schulungen oder als regelmässige Prüfung und Aufzeigen von Fortschritt eingesetzt werden als Phishing-as-a-Service.

Falls folgende Fragen in Ihrem Unternehmen noch offen sind, empfiehlt sich ein Phishing:

Erkennen unsere Mitarbeitenden Phishing-Mails?
Reagieren unsere Mitarbeitenden gemäss unseren Policies?
Zeigen unsere Awareness-Schulungen die gewünschte Wirkung?
Wieviel Aufwand braucht ein Angreifer, um ein erfolgreiches Phishing zu erzielen?

Scoping

Ziel und Umfang

Sinn des Scoping-Meetings ist es, die Ziele der Kampagne zu definieren und mögliche Szenarien abzusprechen, damit auf deren Basis dann die Offerte erstellt werden kann. Die Fragen drehen sich dabei meistens um die Anzahl Mitarbeitenden und Stand der Awareness.

Offerte

Agreement

Auf Basis des Scoping-Meetings wird die Offerte erstellt. Nebst den Zielen, Methoden, Preis und Rahmenbedingungen enthält dieser auch einen Durchführungsvorschlag. Dabei ist selbstverständlich nichts in Stein gemeisselt und die Offerte wird gerne den Bedürfnissen angepasst. Verrechnet wird grundsätzlich immer nach tatsächlichem Aufwand.

Szenario

Phishing-E-Mail

Auf Basis der vorhandenen Informationen und dem Awarenessstand der Mitarbeitenden werden Vorschläge für das Phishig-E-Mail ausgearbeitet und besprochen. Dies kann in mehreren Iterationen erfolgen, bis alle mit dem Phishing-E-Mail einverstanden sind.

Testlauf

Zustellprüfung

Die Zustellung der E-Mails wird in einem Testlauf geprüft. Allfällige Sicherheitsmechanismen, welche die Zustellung verhindern könnten, werden für diese spezifische Kampagne aufgeweicht. So wird sichergestellt, dass wirklich die Awareness und nicht die technischen Massnahmen geprüft werden. Technische Massnahmen können effizienter in einer Attack Simulation untersucht werden.

Versand

Kampagnenstart

Die Phishing-E-Mails werden in mehreren Wellen versendet, damit es keine Überlastung des Mail-Servers oder Probleme bei der Zustellung gibt. Idealerweise werden die Abstände aber möglichst kurz gehalten, damit es keine Verfälschung der Resultate durch erste Reaktionen gibt.

Report

Auswertung

Die Landing-Page wird bis zur Auflösung aktiv gehalten (meistens einige Tage). Dabei werden sämtliche Klicks oder Interaktionen registriert und statistisch aufbereitet. So wird eine möglichst detaillierte Auswertung der Resultate möglich. Die Resultate können zum Beispiel auch nach Abteilung oder Standort ausgewertet werden. Dies erlaubt ein noch gezielteres Vorgehen zur Verbesserung der Awareness.

Schulung

Effekt Nutzen

Eine Phishing-Kampagne eignet sich perfekt als Grundlage für eine Schulung. Nichts erzielt wohl einen grösseren Lerneffekt, als tatsächliche Phishing-E-Mails, welche erfolgreich waren. Es gibt auch sehr gute Lernmodule von unseren Partnern, welche für ein interaktives Lernen verwendet werden können.

Repeat

Nachhaltig

Eine Phishing-Kampagne kann als Grundlage für eine Schulung oder als Augenöffner dienen, einen nachhaltigen Effekt erzielt man dadurch aber selten. Idealerweise werden regelmässig Phishing-Kampagnen und Schulungen durchgeführt. Genau das bieten wir in Phishing-as-a-Service an.

Über Mesher wird Ihr aktueller Sicherheitslevel erfasst und Sie können den Return on Investment für die unterschiedlichen Massnahmen einsehen. Hier sind auch sämtliche Resultate visualisiert und können dank Integrationen mit bestehenden Tools verknüpft werden. Mit der Plattform können technische Massnahmen direkt mit Tasks den entsprechenden Personen zugeteilt werden und agiles Arbeiten ohne Medienbrüche wird ermöglicht. Awareness-Kampagnen können einfach erfasst und der Fortschritt aufgezeigt werden.

Mehr zur Plattform Mesher

Die Phishing-Awareness kann nur durch Regelmässigkeit nachhaltig verbessert werden. Mit Phishing-as-a-Service versenden wir regelmässig unterschiedliche Phishing-E-Mails und passen diese dem Awareness-Level an. Nach dem initialen Aufwand für das Aufsetzen der Infrastruktur und der Zustellprüfung, können wir dies zu einem günstigeren Preis als einzelne Kampagnen anbieten. Idealerweise werden die Kampagnen durch Schulungen oder Module ergänzt und somit die Phishing-Awareness kontinuierlich verbessert.

Das Ziel bei einem Social Engineering Audit ist es, die Sensibilisierung und Reaktionen der Mitarbeitenden auf Social Engineering Attacken zu überprüfen. Die simulierten Attacken werden dabei realen Angriffen nachempfunden. Entgegen realen Angriffen müssen bei simulierten Angriffen jedoch gesetzliche und moralische Grenzen eingehalten werden. Die persönliche Integrität und das psychische Wohlbefinden der involvierten Personen sollen in keiner Weise durch ein Social Engineering Audit beeinträchtigt werden. Die Resultate werden in einem solchen Audit grundsätzlich nur anonymisiert zur Verfügung gestellt und sollen keinen Rückschluss auf die Identität der einzelnen getesteten Personen und deren Verhalten erlauben.

Phishing

Ablauf

Ziel und Umfang

Agreement

Phishing-E-Mail

Zustellprüfung

Kampagnenstart

Auswertung

Effekt Nutzen

Nachhaltig

Deliverables

PDF

EXCEL

JSON

Mesher

Phishing-as-a-Service

Code of Conduct

Menü

Services

Research

avantguard cyber security AG