Social Engineering / Pishing

“Der Luftfahrtzulieferer FACC verlor 50 Millionen Euro durch Online-Betrug. Die Finanzabteilung fiel auf eine falsche Identität herein. Ihre Vorständin muss nun gehen.”

ORF futurezone 3.2.2016

Durch Pishing und anderen Maßnahmen versuchen Angreifer über mehreren Kanälen, wie E-Mail, Postversand, Telefon, Fax etc., meist eine vertraute Identität (Fake President Fraud) vorzutäuschen, um Mitarbeiter zu bewegen Zugang zu gewähren, Geld zu überweisen oder Ähnliches.

Eine Überprüfung durch einen vereidigten Sachverständigen, ermöglicht eine diskrete und sichere Überprüfung der eigenen Verwundbarkeit.

Durchführung:

  1. Durch gezielte Recherche, bei welcher ausschließlich öffentlich zugängliche Informationen Ihres Unternehmens, wie Firmenbuch, Grundbuch, Homepage, öffentliche Berichterstattung, wirtschaftliche Veröffentlichungen, Personenregister (Xing, Linked-in, Plaxo …), Social Networks (Faxebook, Twitter …) etc., herangezogen werden, wird ein Datenbasis aufgebaut, welche einem Angreifer ebenso zur Verfügung stehen würde.
  2. Auf der Basis der Recherchedaten werden einzelne, für das Unternehmen maßgebliche und erfolgsversprechende Angriffsvektoren erarbeitet.
  3. Über mehrerer, sich gegenseitig ergänzenden Kanälen werden die Angriffsvektoren zum jeweilig optimalen Zeitpunkt gegen das Unternehmen gerichtet – mit dem Ziel – Geldbeträge in glaubwürdiger Höhe auf ein notariell verwaltetes Treuhandkonto transferiert zu bekommen.
  4. Es erfolgt eine lückenlose Aufzeichnung alle durchgeführten Maßnahmen.
  5. Ein Abschlussbericht dokumentiert die exakte Durchführung, belegt die Lücken, sowie enthält Empfehlungen zur Verbesserung von Technologie und Prozessen. Selbstverständlich erfolgt die Rückführung der überwiesenen Geldbeträge vom Treuhandkonto.
  6. In weiterführenden Mitarbeiterschulungen können anhand der realen Ergebnisse, ausgewählte Mitarbeiter sensibilisiert werden.

Höchster Wert wird darauf gelegt, dass einzelne Mitarbeiter nicht diskreditiert werden, sondern an den eigenen Erfahrungen der erlebten Beispiele, die Mächtigkeit des Momentums reflektieren und anderen Mitarbeitern aus erster Hand weitergeben, um hierdurch die Sinne gegen potentielle Angriffe zu schärfen.