Phishing Kampagne während eines Security Awareness Programms

In diesem Jahr, hatten ich so einige Phishing Kampagnen, während eines Penetrationstest, auf das eine oder andere Unternehmen durchgeführt.

Bei meinen Phishing Angriffen auf Unternehmen, habe ich einige Tools ausprobiert, keines dieser Tools hat mich überzeugt, da Grundlegende Funktionen, etwa eine die für eine Massen Phishing Kampagne fehlen. Vielleicht bin ich auch einfach nur zu anspruchsvoll, wenn ich Phishing Angriffe starte.

Deshalb habe ich so einige Phishing Tools und Phishing Websites selbst programmiert, und möchte ihnen diese auch nicht vorenthalten und kostenlos zur Verfügung stellen. Auf Github habe ich bereits einige Phishing Tools veröffentlicht. Am unteren Ende des Artikels, können Sie sich meine neuste Phishing Sensibilisierungsfalle herunterladen. Eine kurze Anleitung stelle ich Ihnen auch kostenlos zur Verfügung.

> Interessieren Sie sich für eine Phishing Kampage?

Wann sollten Sie eine Phishing Kampagne durchführen?

Phishing Kampagnen starten Sie im Rahmen eine Security Awareness Programms.  Bei einer gezielte Phishing Kampagne, oder eines gezielten Phishing Angriffs, werden dabei nur einzelne Personen die in einem Unternehmen arbeiten per Social Engineering> angreifen und so Ihre Mitarbeitersensibilisierung vorantreiben.

Mit gezielten E-Mails werden so, mögliche Mitarbeiter versucht zu fischen, um an Passwörter, Login Daten und sonstige Informationen zu gelangen, die für einen Hacker oder Angreifer nützlich sein könnten. Mit diesen Informationen zu werden dann Cyberangriffe durchgeführt.

Dies trifft insbesondere auf die Informationsbeschaffung zu.

Informationsbeschaffung für Cyberangriffe oder Phishing Angriffe

Wenn ein Cyberangriff auf ein Unternehmen durchgeführt wird, werden Angreifer eine Informationsbeschaffungphase durchführen, um an nötige Informationen zu gelangen. Diese Informationen versetzen den Angreifer in die Lage, Angriffe auf Unternehmen durchzuführen. Zu den Informationsbeschaffung zählt unter anderem:

  • Informationen über die Art des Angriffs
  • Informationen über einzelne Personen
  • Informationen über eingesetzte Sicherheitshardware oder Sicherheitssysteme
  • Informationen über soziale Profile der Mitarbeiter
  • Informationen über mögliche Konten des Unternehmens
  • Informationen über Kreditkarten Daten
  • Informationen über die finanzielle Situation eines Unternehmens oder einer bestimmten Personen
  • Informationen zu Lebensumständen einer Person
  • Informationen über den Erfolg eines Angriffs
  • Informationen über ein bestimmtes Ziel

 

Phishing Angriffe simulieren

Mit Security Awareness Programmen und Phishing Kampagnen, werden Mitarbeitersensibilisierungen durchgeführt, die das Sicherheitsbewusstsein eines Unternehmens im gerammten steigern. Während eines Security Awareness Programms, wird ein Sicherheitsaudit betreffend des Unternehmens durchgeführt, das dem eines realen Cyberangriffs gleicht. Mittels oben genannter simulierter Phishing Angriffen, werden Mitarbeiter geschult und über Risiken informiert.

Phishing Angriffe gefährlicher als Schwachstellen?

In Kooperation mit der Universität Berkeley hat Google bis 2017 untersucht, wie Cyberkriminelle an Zugangsdaten von Internetnutzern gelangen, wozu die Goole Forscher das Angebot auf entsprechenden, kriminellen Plattformen untersucht haben.

Auf dem Schwarzmarkt konnten die Forscher so 788.000 via Keylogger gestohlene Zugangsdaten finden, weitere 12 Millionen wurden via Phishing erbeutet und ganze 3,3 Milliarden durch Einbrüche in die Datenbanken von Internetdiensten. Dabei unterscheiden sich letztlich der Erfolg signifikant, zumal zumindest Einbrüche bei Drittanbieter für den Nutzer nur dann wirklich gefährlich werden, wenn dieser bei mehreren Diensten das gleiche Passwort verwendet, also fahrlässig handelt.

Da kommerzielle Phishing-Tools in vielen Fällen (82%) auch noch weitere Informationen wie etwa den Standort des Nutzers und deren IP zu erfassen versucht, bescheinigt Google Phishing für den einzelnen Nutzer das größte, relative Risiko.

Diesen Artikel auf Google lesen>

Eine mögliche Phishing Security Awareness Kampagne

Sie können Sie meine Phishing Website für Sensibilsierungswzecke jetzt kostenlos herunterladen. Diese ist ausschließlich dafür vorgesehenen, einen Massen Phishing Angriffe zu starten, und Facebook Login Passwörter abzugreifen. Mittels dieser Simulation, zeigen wir Vorständen in Unternehmen sowie Mitarbeitern, wie einfach eine Informationsbeschaffung auf soziale Profile wie Facebook durchgeführt werden kann.

Kurze Einweisung in diese Phishing Kampagnen Website:

Facebook Phishing Awareness Seite 
Diese Webseite verwendet eine von mir entwickelte gefälschte Facebook-Login-Schaltfläche, um das Opfer-Konto durch Phishing zu übernehmen. Die Passwörter und Login Informationen werden auf passwords.php ausgegeben.

Es gibt unzählige Phishing-Seiten-Detektoren im Internet. Diese Website können Sie auf einem freien Server hosten und wird somit nicht verfolgt.

Hinweis: Diese Website ist dafür gemacht eine Sensibilsierungsmaßnahme durchzuführen. Sie soll nicht für kriminelle Zwecke missbraucht werden.

Download>

Security Awareness: Phishing-Prävention durch Phishing Kampagne, Mitarbeiter schulen, Gefahren erkennen.