Phishingemails sind ein beliebter Angriffsvektor für Hacker. Doch auch über Textnachrichten wie SMS ist es möglich, an sensible Informationen zu kommen. Der Fachbegriff dafür ist Smishing (SMS Phishing), dabei versucht ein Hacker einem Mitarbeiter per SMS sensible Informationen zu entlocken.
Dabei kann sich der Angreifer beispielsweise als Kunde oder Vorgesetzter ausgeben. Wenn viele Detailinformationen bekannt sind, ist es einem Angreifer oft möglich, so überzeugend aufzutreten, dass Mitarbeiter nicht bemerken, dass sie mit dem Falschen sprechen. Auch Nachrichten von genutzten Webservices sind möglich (z.B. “Sie haben eine Passwort Rücksetzung angefordert, bitte bestätigen Sie dies mit dem folgenden Link”).
Was wird bei einer Smishing Überprüfung getestet?
Im Rahmen der Überprüfung sammeln wir zunächst Informationen über Ihr Unternehmen und Ihre Mitarbeiter. Beispielsweise:
- Welche Kunden Sie haben (sodass wir uns gegebenenfalls als einer dieser Kunden ausgegeben können)
- Wie Ihr Unternehmen intern strukturiert ist (sodass wir wissen, wer für welche Bereiche zuständig ist)
- Welche Software durch Ihre Mitarbeiter genutzt wird (z.B. welcher Emailservice)
Anschließend überlegen wir uns ein passendes Szenario, mit einem plausiblen Grund für unsere Nachricht. Das könnte beispielsweise eine Meldung einer genutzten Software sein, in der der User zu einer Passwortänderung aufgefordert wird.
Zusätzlich ist es auch möglich, dass wir unsere SMS bewusst auffällig gestalten, sodass Sie überprüfen können, ob Ihre Prozesse für derartige Fälle korrekt funktionieren. Beispielsweise sollten verdächtige Nachrichten der IT-Abteilung gemeldet werden, anstatt diese einfach nur zu ignorieren.
Welchen Umfang hat ein Smishing Test?
Der Umfang richtet sich nach Ihren individuellen Bedürfnissen und nach der Anzahl der Mitarbeiter, bei denen wir ein SMS Phishing durchführen sollen. Bitte teilen Sie uns die gewünschte Anzahl der Nachrichten entweder über diese Seite (neben dem “Zum Angebot hinzufügen” Button) oder über das Textfeld beim Checkout mit.
Anschließend erstellen wir gerne ein individuelles Angebot für Sie.
Sollten Sie noch Fragen haben, können Sie sich auch gerne zu einer kostenlosen und unverbindliche Besprechung* mit uns treffen, damit wir die Bedürfnisse Ihres Unternehmens durchgehen können.
Was erhalte ich im Anschluss?
Im Anschluss an den Test erhalten Sie einen Report mit den folgenden Informationen:
- Welche Informationen wir über Ihr Unternehmen, Ihre Kunden und Ihre Mitarbeiter in Erfahrung bringen konnten
- Wie wir diese Information genutzt haben um ein glaubhaftes Szenario für unseren Angriff zu kreieren.
- Wie Ihre Mitarbeiter auf unsere Textnachrichten reagiert haben
- Welche Informationen wir erhalten haben
- Welche Maßnahmen nötig sind, um die Mitarbeiter gegebenenfalls besser auf diese Art von Angriffen vorzubereiten
Diesen Report können Sie selbstverständlich auch im Rahmen von Security Awareness Maßnahmen nutzen, z.B. um den Zusammenhang zwischen verfügbaren Informationen und realen Angriffen deutlich darzustellen.
* Link zu calendly.com, beachten Sie dazu unsere Datenschutzerklärung