Phishing

In einer Phishing-Kampagne wird die Awareness der Mitarbeitenden auf Phishing-E-Mails geprüft und ausgewertet. Dies kann als Bestimmung des Ist-Zustands, Basis für Schulungen oder als regelmässige Prüfung und Aufzeigen von Fortschritt eingesetzt werden als Phishing-as-a-Service.

Falls folgende Fragen in Ihrem Unternehmen noch offen sind, empfiehlt sich ein Phishing:

  • Erkennen unsere Mitarbeitenden Phishing-Mails?
  • Reagieren unsere Mitarbeitenden gemäss unseren Policies?
  • Zeigen unsere Awareness-Schulungen die gewünschte Wirkung?
  • Wieviel Aufwand braucht ein Angreifer, um ein erfolgreiches Phishing zu erzielen?

Ablauf

Scoping

Ziel und Umfang

Sinn des Scoping-Meetings ist es, die Ziele der Kampagne zu definieren und mögliche Szenarien abzusprechen, damit auf deren Basis dann die Offerte erstellt werden kann. Die Fragen drehen sich dabei meistens um die Anzahl Mitarbeitenden und Stand der Awareness.

 

Offerte

Agreement

Auf Basis des Scoping-Meetings wird die Offerte erstellt. Nebst den Zielen, Methoden, Preis und Rahmenbedingungen enthält dieser auch einen Durchführungsvorschlag. Dabei ist selbstverständlich nichts in Stein gemeisselt und die Offerte wird gerne den Bedürfnissen angepasst. Verrechnet wird grundsätzlich immer nach tatsächlichem Aufwand.

Szenario

Phishing-E-Mail

Auf Basis der vorhandenen Informationen und dem Awarenessstand der Mitarbeitenden werden Vorschläge für das Phishig-E-Mail ausgearbeitet und besprochen. Dies kann in mehreren Iterationen erfolgen, bis alle mit dem Phishing-E-Mail einverstanden sind.

Testlauf

Zustellprüfung

Die Zustellung der E-Mails wird in einem Testlauf geprüft. Allfällige Sicherheitsmechanismen, welche die Zustellung verhindern könnten, werden für diese spezifische Kampagne aufgeweicht. So wird sichergestellt, dass wirklich die Awareness und nicht die technischen Massnahmen geprüft werden. Technische Massnahmen können effizienter in einer Attack Simulation untersucht werden.

Versand

Kampagnenstart

Die Phishing-E-Mails werden in mehreren Wellen versendet, damit es keine Überlastung des Mail-Servers oder Probleme bei der Zustellung gibt. Idealerweise werden die Abstände aber möglichst kurz gehalten, damit es keine Verfälschung der Resultate durch erste Reaktionen gibt.

 

Report

Auswertung

Die Landing-Page wird bis zur Auflösung aktiv gehalten (meistens einige Tage). Dabei werden sämtliche Klicks oder Interaktionen registriert und statistisch aufbereitet. So wird eine möglichst detaillierte Auswertung der Resultate möglich. Die Resultate können zum Beispiel auch nach Abteilung oder Standort ausgewertet werden. Dies erlaubt ein noch gezielteres Vorgehen zur Verbesserung der Awareness.

 

Schulung

Effekt Nutzen

Eine Phishing-Kampagne eignet sich perfekt als Grundlage für eine Schulung. Nichts erzielt wohl einen grösseren Lerneffekt, als tatsächliche Phishing-E-Mails, welche erfolgreich waren. Es gibt auch sehr gute Lernmodule von unseren Partnern, welche für ein interaktives Lernen verwendet werden können.

 

Repeat

Nachhaltig

Eine Phishing-Kampagne kann als Grundlage für eine Schulung oder als Augenöffner dienen, einen nachhaltigen Effekt erzielt man dadurch aber selten. Idealerweise werden regelmässig Phishing-Kampagnen und Schulungen durchgeführt. Genau das bieten wir in Phishing-as-a-Service an.

Deliverables

Sämtliche Resultate werden in einem Schlussbericht (PDF, Excel und JSON) übermittelt. Der Bericht enthält nebst den gewünschten Statistiken auch die Phishing-E-Mails und deren Erkennungsmerkmale. So können die Resultate als Grundlage für eine Schulung verwendet werden. Die Resultate werden auch über die Plattform Mesher zugänglich gemacht, so können Sie einfach den Überblick über alle Kampagnen und den Awareness-Fortschritt behalten.

PDF
Der Schlussbericht im PDF-Format enthält einen einleitenden Teil, Executive Summary, Auswertungen, Statistiken und die versendeten Phishing-E-Mails mit Erkennungsmerkmalen.
 
EXCEL
Das Excel enthält sämtliche Statistiken und Auswertungen. Dank dem bearbeitbaren Format eignet sich diese Liste für die Weiterverarbeitung der Resultate und es können einfach weitere Informationen hinzugefügt werden.
JSON
Die JSON-Datei enthält sämtliche Statistiken und Auswertungen. Das JSON-Format ist das gängigste Format für die automatisierte Weiterverarbeitung von Informationen und kann häufig mit wenig Aufwand in die bestehenden Tools eingefüttert werden.

Mesher

Über Mesher wird Ihr aktueller Sicherheitslevel erfasst und Sie können den Return on Investment für die unterschiedlichen Massnahmen einsehen. Hier sind auch sämtliche Resultate visualisiert und können dank Integrationen mit bestehenden Tools verknüpft werden. Mit der Plattform können technische Massnahmen direkt mit Tasks den entsprechenden Personen zugeteilt werden und agiles Arbeiten ohne Medienbrüche wird ermöglicht. Awareness-Kampagnen können einfach erfasst und der Fortschritt aufgezeigt werden.

Mehr zur Plattform Mesher

Mesher Awareness

 

Phishing-as-a-Service

Die Phishing-Awareness kann nur durch Regelmässigkeit nachhaltig verbessert werden. Mit Phishing-as-a-Service versenden wir regelmässig unterschiedliche Phishing-E-Mails und passen diese dem Awareness-Level an. Nach dem initialen Aufwand für das Aufsetzen der Infrastruktur und der Zustellprüfung, können wir dies zu einem günstigeren Preis als einzelne Kampagnen anbieten. Idealerweise werden die Kampagnen durch Schulungen oder Module ergänzt und somit die Phishing-Awareness kontinuierlich verbessert. 

Code of Conduct

Das Ziel bei einem Social Engineering Audit ist es, die Sensibilisierung und Reaktionen der Mitarbeitenden auf Social Engineering Attacken zu überprüfen. Die simulierten Attacken werden dabei realen Angriffen nachempfunden. Entgegen realen Angriffen müssen bei simulierten Angriffen jedoch gesetzliche und moralische Grenzen eingehalten werden. Die persönliche Integrität und das psychische Wohlbefinden der involvierten Personen sollen in keiner Weise durch ein Social Engineering Audit beeinträchtigt werden. Die Resultate werden in einem solchen Audit grundsätzlich nur anonymisiert zur Verfügung gestellt und sollen keinen Rückschluss auf die Identität der einzelnen getesteten Personen und deren Verhalten erlauben.