Social Engineering Assessments

Professionelle Industriespionage läuft oft über physische Angriffe oder Insider, auch wenn das Ziel im Cyber Space liegt. Dennoch wird dieser Angriffsvektor oft unterschätzt.

Social Engineering Assessment
Dieses Video wird beim Abspielen von YouTube geladen. Mit dem Abspielen akzeptieren Sie die Datenschutzerklärungen von HVS Consulting / IS-FOX und YouTube.

Social Engineering: Angriffe über unerwartete Wege

Viele Unternehmen schützen sich schwerpunktmäßig gegen Angriffe aus dem Cyber Space, indem sie ihre Systeme absichern, Security Monitoring aufbauen und ihre Mitarbeitern für Phishing-E-Mails sensibilisieren.

Angreifer können aber auch unerwartete Wege einschlagen, abhängig von ihrer Motivation und ihren Möglichkeiten: vor Ort kommt man als Angreifer spielend leicht an interne Informationen und wenn es kompliziert werden sollte, kann man einfach nachfragen.

Se Assessment

Manipulation von Menschen durch Ausnutzung psychologischer Tricks nennt man Social Engineering. Wir kundschaften Ihren Standort aus und beobachten die Unternehmenskultur. Wir wechseln geschickt die Verkleidung und Identität, verschaffen und durch Tailgaiting oder Lock-Picking (Schlößer knacken) Zutritt und legen infizierte USB-Sticks aus. Wir verteilen als IT-Mitarbeiter neue Tastaturen mit Keylogger oder fragen gleich direkt nach dem Passwort -  natürlich immer mit einem plausiblen Grund. Da unsere Social Engineers auch gute Hacker sind, nutzen wir die vor Ort gewonnen Informationen, um Ihre IT missbrauchen, eigene Zutrittsberechtigungen auszustellen oder weitere Besucher anzumelden.

In den vergangenen 20 Jahren haben wir über Social Engineering Prototypen gestohlen, sind in abgeschottete Forschungsbereiche eingedrungen, haben Wanzen im CEO Büro platziert oder Bombenattrappen in Hochsicherheitsrechenzentren geschmuggelt. Alles im Kundenauftrag, immer auf der guten Seite der Macht. 

Nutzen von Social Engineering Assessments

Top Management Sensibilisierung
Top-Management Sensibilisierung
Die Ergebnisse eines Social Engineering Assessments sind sehr gut geeignet um das Top-Management zum Thema Security zu sensibilisieren, weil die Risiken sehr greifbar sind und eine hohe persönliche Betroffenheit erzeugen. Wenn Ihr CEO seine eigene Zielvereinbarung in der Ergebnispräsentation sieht, wird Security zur Chefsache. Versprochen!
Physische Sicherheit
Messung Ihrer physischen Sicherheit
Sie bekommen einen sehr realitätsnahen Eindruck, ob Ihre physischen Sicherheitsmaßnahmen wirksam sind und wie Ihre Mitarbeiter auf Manipulationsversuche reagieren. Wir decken durch die Kombination von Hacking und Social Engineering Schwachstellen in als sicher erachteten Zutritts-Prozessen auf und liefern viele Optimierungsvorschläge.
Konvergenz Corporate Und It Security
Konvergenz von Corporate- und IT-Security
Social Engineering Assessment schaffen sehr häufig einen Perspektivwechsel, weg von IT-Sicherheit in der einen und physischer Sicherheit in der anderen Ecke, hin zu einem verzahnten, ganzheitlichen Ansatz von Informationssicherheit (neu-deutsch "Cyber-Security"). Das mündet häufig in einer konstruktiven Vernetzung dieser beiden wichtigen Security-Disziplinen.

Ablauf und Hintergrundinformationen

Erfolgsfaktoren

Entscheidend für ein erfolgreiches Assessment ist eine gute Vorbereitung. Ein kleiner Fehler und die Lage kann außer Kontrolle geraten oder wir fliegen auf und müssen aufhören. Dann hätten wir viel Zeit und Mühe für einen geringen Erkenntnisgewinn investiert.

Deswegen bereiten wir das Assessment zusammen mit Ihnen gründlich vor:

  • Wir definieren Ziele, die gleichzeitig herausfordernd, aber auch realistisch sind und Betroffenheit erzeugen. Das steigert die Akzeptanz für abgeleitete Maßnahmen.
  • Der Kreis der Informierten muss gut überlegt sein, die Lage darf weder eskalieren, noch darf es zu viele Eingeweihte geben.
  • Wichtig sind auch klar definierte Spielregeln und Grenzen. Sie behalten während des gesamten Assessments die Kontrolle und sind jederzeit über unsere Schritte informiert. Sie können "No Gos" definieren und einzelne Aktionen stoppen.
  • Wir achten ethische Grundsätze: Angriffe auf der Beziehungsebene sind für uns ein absolutes Tabu, genauso wie eine persönliche Bloßstellung einzelner Beteiligter.
Die Phasen eines Social Engineerings

Vorbereitung

  • Termin zur Abstimmung des Scopes
  • Kick-Off-Meeting

Durchführung

  • Workshop zur Definition der konkreten Ziele und von Spielregeln
  • Informationsrecherche (HUMINT, OSINT, vor-Ort Begehung)
  • Angriffsplanung und Vorbereitung
  • Durchführung des Angriffs mit physischen Angriffen und Social Engineering und ggf. Hacking
  • Regelmäßige Status Meetings

Auswertung

  • Anschauliche Dokumentation des Angriffspfads
  • Replay-Workshop mit dem Projekt Team
  • Management Präsentation
Social Engineering
  • Spear-Phishing
  • Phishing Anrufe (Vishing)
  • Gefälschte Ausweise
  • Verkleidungen
  • Einschleusen von Mitarbeitern (über Bewerbungen)
  • Tailgating
  • ...

 

Physische Tools
  • Lock Picking
  • Keylogger
  • Wanzen
  • Dropbox mit mobilem Internet (Remotezugang/Exfiltration)
  • Screen Grabber
  • präparierte USB Sticks
  • ...

Wollen Sie wissen, wie gut Sie gegen einen "Besuch" durch uns gewappnet sind?

Lassen Sie uns in einem Webmeeting kennenlernen und über Ihre Zielsetzungen sprechen.
Ja, ich bin interessiert!