Spear Phishing Attack

Gezielter E-Mail Angriff

web2

Der gezielte E-Mail Angriffsversuch (engl. Spear Phishing Attack) beschreibt eine Methode des Social Engineerings, bei der gefälschte E-Mails an die Mitarbeiter eines Unternehmens versendet werden. Ziel dieser Methode ist die Erlangung des Zugriffs auf das dahinterliegende IT-System oder auch das Ausspähen von Benutzernamen und Passwörtern im Klartext.

So funktioniert der ACP Security Test

In der Vorbereitungsphase erfolgt auf Basis einer Zielgruppen-Definition durch den Auftraggeber eine erste, grobe Analyse dieser Zielgruppe, um mögliche Angriffsszenarien skizzieren zu können. Eine Beschreibung der Zielgruppe unterstützt diesen Prozess, sodass die jeweiligen Szenarien speziell auf das Unternehmen zugeschnitten werden können. Ein Angriffsszenario beschreibt sowohl die Zielpersonengruppe, das zu versendende E-Mail und dessen Inhalt und die Übertragung von möglicherweise zusätzlichem Test-Schadcode (z.B. per Anhang oder per Download über einen Link).

Vorbereitung_web
schritt2_zg

Nach der Aufbereitung des vereinbarten Phishing-Szenarios erfolgt eine letzte Abstimmung mit dem Auftraggeber, der dieses Szenario abschließend freigibt. Sollte ein Betriebsrat im Unternehmen vorhanden sein, wird empfohlen diesen in das Phishing-Szenario einzubeziehen.

Nach Freigabe der E-Mails werden zu Beginn der Durchführungsphase die E-Mails an die Zielpersonen versendet. Nach der Zustellung werden Tätigkeiten, wie das Öffnen von Links, das Nachladen von Bildern in E-Mails oder der Download von Dateien aufgezeichnet. Ebenfalls wird empfohlen auf Auftraggeber Seite aufzuzeichnen, wie viel der Phishing-E-Mails intern gemeldet werden. Nach Ablauf des Testzeitraums erfolgt vom Auftragnehmer eine Auswertung der Daten, welche in Form eines Endberichts dem Auftraggeber anonymisiert zur Verfügung gestellt werden.

abschluss_zg

 Leistungsübersicht

Vorbereitung des Angriffs

  • Abklärung der Erwartungshaltung
  • Abgrenzung des Scopes
  • Szenarien-Findung
  • Technische Abklärung und Tests
  • Erstellung des gewählten Szenarios

Durchführung

  • Versendung der E-Mails
  • Überwachung der Übermittlung
  • Bewertung der Rückmeldungen innerhalb der ersten Stunde
  • Bewertung der Rückmeldungen innerhalb der ersten 4 Stunden
  • Bewertung der Rückmeldungen innerhalb von 24 Stunden
  • Bewertung der Rückmeldungen innerhalb von 5 Tagen

Nachbearbeitung und Berichterstellung

  • Bewertung der Ergebnisse
  • Management Summary und Interpretation der Ergebnisse

Leistungspakete

Der gezielte E-Mail Angriffsversuch wird in drei Varianten angeboten

Blue Phish

Der Blue Phish soll für den Anwender leicht erkennbar sein.

  • schlecht gefälschte E-Mail Adresse
  • unrealistischer Inhalt
  • schlecht gewählter Text
  • keine Signatur

Orange Phish

Der Orange Phish kann nur mit erweiterter Aufmerksamkeit durch den Anwender erkannt werden.

  • E-Mail Adresse wirkt vertrauenswürdig
  • realistischer Inhalt
  • gut formulierter Text
  • Signatur auf Basis öffentlicher Quellen

Red Phish

Der Red Phish kann seitens des Anwenders nur schwer erkannt werden.

  • E-Mail Adresse ist vertrauenswürdig
  • realistischer Inhalt
  • gut formulierter Text
  • korrekte Signatur

Jedes Leistungspaket jetzt um nur

EUR 1.190,00
(exkl. 20 % MwSt.)

     

Information & Anmeldung

Für weitere Informationen bzw. die Anmeldung zu unserem Test kontaktieren Sie uns bitte über nachstehendes Formular.