Phishingemails sind ein beliebter Angriffsvektor für Hacker. Doch auch über das Telefon ist es möglich, an sensible Informationen zu kommen. Der Fachbegriff dafür ist Vishing (Voice Phishing), dabei versucht ein Hacker einem Mitarbeiter per Telefon sensible Informationen zu entlocken.
Dabei kann sich der Angreifer beispielsweise als Kunde oder Vorgesetzter ausgeben. Wenn viele Detailinformationen bekannt sind, ist es einem Angreifer oft möglich, so überzeugend aufzutreten, dass Mitarbeiter nicht bemerken, dass sie mit dem Falschen sprechen.
Was wird bei einer Vishing Überprüfung getestet?
Im Rahmen der Überprüfung sammeln wir zunächst Informationen über Ihr Unternehmen und Ihre Mitarbeiter. Beispielsweise:
- Welche Kunden Sie haben (sodass wir uns gegebenenfalls als einer dieser Kunden ausgegeben können)
- Wie Ihr Unternehmen intern strukturiert ist (sodass wir wissen, wer für welche Bereiche zuständig ist)
- Welche sensiblen Daten in Ihrem Unternehmen verarbeitet werden (sodass wir wissen, wonach wir fragen müssen)
Anschließend überlegen wir uns ein passendes Szenario, mit einem plausiblen Grund für unseren Anruf. Das könnte beispielsweise sein: wir geben uns als unzufriedener Kunde aus, der eine beschädigte Lieferung erhalten hat. Wenn wir einige Details kennen (z.B. die Nummer eines realen Lieferscheins an diesen Kunden) können wir dem zuständigen Mitarbeiter möglicherweise noch weitere Details entlocken, die für uns als Angreifer hilfreich sein könnten.
Zusätzlich ist es auch möglich, dass wir unsere Anrufe bewusst auffällig gestalten, sodass Sie überprüfen können, ob Ihre Prozesse für derartige Fälle korrekt funktionieren. Beispielsweise sollten verdächtige Anrufe der IT-Abteilung gemeldet werden, anstatt diese einfach nur zu ignorieren.
Welchen Umfang hat ein Vishing Test?
Der Umfang richtet sich nach Ihren individuellen Bedürfnissen und nach der Anzahl der Mitarbeiter, bei denen wir ein Voice Phishing durchführen sollen. Bitte teilen Sie uns die gewünschte Anzahl der Anrufe entweder über diese Seite (neben dem “Zum Angebot hinzufügen” Button) oder über das Textfeld beim Checkout mit.
Anschließend erstellen wir gerne ein individuelles Angebot für Sie.
Sollten Sie noch Fragen haben, können Sie sich auch gerne zu einer kostenlosen und unverbindliche Besprechung* mit uns treffen, damit wir die Bedürfnisse Ihres Unternehmens durchgehen können.
Was erhalte ich im Anschluss?
Im Anschluss an den Test erhalten Sie einen Report mit den folgenden Informationen:
- Welche Informationen wir über Ihr Unternehmen, Ihre Kunden und Ihre Mitarbeiter in Erfahrung bringen konnten
- Wie wir diese Information genutzt haben um ein glaubhaftes Szenario für unseren Angriff zu kreieren.
- Wie Ihre Mitarbeiter auf unsere Anrufe reagiert haben
- Welche Informationen wir erhalten haben
- Welche Maßnahmen nötig sind, um die Mitarbeiter gegebenenfalls besser auf diese Art von Angriffen vorzubereiten
Diesen Report können Sie selbstverständlich auch im Rahmen von Security Awareness Maßnahmen nutzen, z.B. um den Zusammenhang zwischen verfügbaren Informationen und realen Angriffen deutlich darzustellen.
* Link zu calendly.com, beachten Sie dazu unsere Datenschutzerklärung
Bewertungen
Es gibt noch keine Bewertungen.