Test Mitarbeiter

Schaffung einer sicheren Lernumgebung für Ihre Mitarbeiter

Mit Simulationen und Schulungen auf Phishing-Angriffe vorbereiten

Testen Sie die Security Awareness Ihrer Mitarbeitenden mit massgeschneiderten Phishing-Simulationen. LUCY gibt Ihnen dafür die Möglichkeit, in die Rolle eines Angreifers zu schlüpfen. Vielfältige E-Learning Module ermöglichen eine wirksame Mitarbeitersensibilisierung. Nutzen Sie ausserdem unsere Infrastruktur-Tests, um technische Schwachstellen zu identifizieren.

Mit Lucy können Sie die gesamte Bedrohungslandschaft simulieren, die über einfache Phishing-E-Mails hinausgeht:

  • Angriffe auf tragbare Medien
  • SMiShing
  • Angriffe auf die Dateneingabe
  • Hyperlink-Angriffe
  • Leistungsstarkes URL-Umleitungs-Toolkit
  • Gemischte Angriffe
  • Dateibasierte Angriffe
  • Angriffe mit zwei Fässern
  • Java-basierte Angriffe
  • PDF-basierte Angriffe
  • Toolkit zur Validierung der Dateneingabe
  • Mehrsprachige Angriffsvorlage
  • Sektor- und abteilungsspezifisch
  • Angriffs-URL-Variationen
  • URL-Verkürzung
  • Webseiten-Cloner
  • Level-basierte Angriffe
  • Spear-Phishing-Simulation
  • DKIM / S / MIME Unterstützung für Phishing e-Mails
  • Individuelle Homepage-Erstellung

Angriffe auf tragbare Medien

Hacker können tragbare Medienlaufwerke nutzen, um sich Zugang zu sensiblen Informationen zu verschaffen, die auf einem Computer oder in einem Netzwerk gespeichert sind. LUCY bietet die Möglichkeit, Angriffe auf tragbare Datenträger durchzuführen, bei denen eine Dateivorlage (z. B. eine ausführbare Datei, ein Archiv, ein Office-Dokument mit Makros usw.) auf einem tragbaren Datenträger wie einem USB-Stick, einer SD-Karte oder einer CD gespeichert werden kann. Die Aktivierung (Ausführung) dieser einzelnen Dateien kann in LUCY nachverfolgt werden.

SMiShing

Smishing ist in gewissem Sinne "SMS-Phishing". Beim "Phishing" versenden Cyberkriminelle betrügerische E-Mails, die den Empfänger dazu verleiten sollen, einen mit Malware verseuchten Anhang zu öffnen oder auf einen bösartigen Link zu klicken. Beim Smishing werden einfach Textnachrichten anstelle von E-Mails verwendet.

Angriffe auf die Dateneingabe

Angriffe auf die Dateneingabe können eine oder mehrere Webseiten umfassen, die die Eingabe sensibler Informationen abfangen. Die verfügbaren Webseiten können mit einem LUCY-Web-Editor leicht angepasst werden. Zusätzliche Bearbeitungswerkzeuge ermöglichen es Ihnen, Funktionen wie Anmeldeformulare, Downloadbereiche usw. schnell und ohne HTML-Kenntnisse einzurichten.

Hyperlink-Angriffe

Bei einer auf einem Hyperlink basierenden Kampagne wird den Nutzern eine E-Mail mit einer randomisierten Tracking-URL gesendet.

Leistungsstarkes Toolkit zur URL-Umleitung

Die flexiblen Umleitungsfunktionen von LUCY ermöglichen es, den Benutzer im richtigen Moment zu den gewünschten Bereichen der Angriffssimulation oder des Trainings zu leiten. Zum Beispiel kann der Benutzer nach der Eingabe der ersten 3 Zeichen eines Passworts in einer Phishing-Simulation auf eine spezielle Trainingsseite zum Passwortschutz umgeleitet werden.

Gemischte Angriffe

Gemischte Angriffe ermöglichen die Kombination mehrerer Szenariotypen (dateibasiert, Dateneingabe usw.) in ein und derselben Kampagne.

Dateibasierte Angriffe

Dateibasierte Angriffe ermöglichen es dem LUCY-Administrator, verschiedene Dateitypen (Office-Dokumente mit Makros, PDFs, ausführbare Dateien, MP3s usw.) in E-Mail-Anhänge oder auf LUCY generierte Websites zu integrieren und deren Download- oder Ausführungsrate zu messen.

Angriffe mit doppeltem Lauf

Diese Funktion ermöglicht es, in jeder Kampagne mehrere Phishing-E-Mails zu versenden, wobei die erste harmlose E-Mail (der Köder) nichts Böses enthält und keine Antwort vom Empfänger verlangt.

Java-basierte Angriffe

Java-basierte Angriffe ermöglichen es dem LUCY-Administrator, ein vertrauenswürdiges Applet in die in LUCY bereitgestellten dateibasierten oder gemischten Angriffsvorlagen zu integrieren und deren Ausführung durch den Benutzer zu messen.

PDF-basierte Angriffe

Mit diesem Modul können PDF-basierte Phishing-Angriffe simuliert werden. LUCY erlaubt es, ausführbare Dateien als PDF-Anhänge zu "verstecken" und deren Ausführung zu messen. Darüber hinaus können auch dynamische Phishing-Links in PDFs erzeugt werden.

Toolkit zur Validierung der Dateneingabe

Bei Phishing-Simulationen müssen False Positives für Login-Felder verhindert werden (z.B. Logging mit ungültiger Syntax). Die Unternehmensrichtlinien können auch die Übermittlung von sensiblen Daten wie Passwörtern untersagen. Hierfür bietet LUCY eine flexible Input-Filtering-Engine, die für jede Anforderung eine passende Lösung bietet.

Mehrsprachige Angriffsvorlagen-Bibliothek

LUCY enthält Hunderte von vordefinierten Angriffsvorlagen in mehr als 30 Sprachen in den Kategorien Dateneingabe (Vorlagen mit einer Website), dateibasiert (E-Mails oder Websites mit einem Dateidownload), Hyperlink (E-Mails mit einem Link), gemischt (Kombination aus Dateneingabe und Download) und portable Medien.

Sektor- und abteilungsspezifische Vorlagen

Es gibt Angriffsvorlagen für bestimmte Branchen oder Abteilungen.

Angriffs-URL-Variationen

Take control of the generated URLs to identify the recipients. Use automated short (< 5 characters) or long URL strings or set individual URLs for each user. The manual URL creation allows you to form links that a user can easily remember. In environments where link clicks are disabled in e-mails, this is a must.

URL-Verkürzung

URL-Verkürzer sind ein relativ neuer Internetdienst. Da viele soziale Online-Dienste eine Zeichenbeschränkung vorsehen (z. B. Twitter), sind diese URLs sehr praktisch. URL-Verkürzer können jedoch von Cyber-Kriminellen genutzt werden, um das eigentliche Ziel eines Links zu verschleiern, z. B. Phishing oder infizierte Websites. Aus diesem Grund bietet LUCY die Möglichkeit, verschiedene Verkürzungsdienste in eine Phishing- oder Smishing-Kampagne zu integrieren.

Webseiten-Cloner

Erstellen Sie im Handumdrehen hochprofessionelle Landing Pages für Ihre Kampagnen. Klonen Sie bestehende Websites und fügen Sie zusätzliche Ebenen mit Dateneingabefeldern, Dateien zum Herunterladen und mehr hinzu.

Level-basierte Angriffe

Ein stufengerechtes Phishing-Training für Mitarbeiter dient dazu, das Risiko von Social Hacking messbar zu machen. Durch wissenschaftliche Analysen sollen zudem die wichtigsten Risikofaktoren identifiziert werden, so dass automatisch individuelle Schulungsinhalte angeboten werden können.

Spear-Phishing-Simulation

Das Spear Phish Tailoring arbeitet mit dynamischen Variablen (Geschlecht, Uhrzeit, Name, E-Mail, Links, Nachrichten, Abteilung, Land usw.), die Sie in Landing- und Message-Templates verwenden können.

DKIM / S / MIME Unterstützung für Phishing e-Mails

Digitale Signaturen für E-Mails: Senden Sie signierte Phishing-Simulations-E-Mails (s/mime). Verwenden Sie DKIM, um eine bessere Absenderbewertung zu erhalten.

Individuelle Homepage-Erstellung

Technisch versierte Empfänger könnten mit ihrem Browser die mit dem zufällig generierten Phishing-Link verbundene Domain oder IP-Adresse aufrufen. Um zu verhindern, dass Fehlermeldungen angezeigt werden oder der Endbenutzer überhaupt in den Login-Bereich der Verwaltungskonsole gelangt, können Sie in LUCY generische "Homepages" für die in der Phishing-Simulation verwendeten Domains erstellen.

Benutzerdefinierte Phishing-Vorlagen in Minutenschnelle erstellen

Erstellen Sie mit unserem Editor Ihre eigenen Phishing-Vorlagen und simulieren Sie jede Art von Phishing-Angriff. Es sind keine besonderen technischen Kenntnisse erforderlich.

Wie funktioniert also ein solcher simulierter Phishing-Angriff funktionieren?

SCHRITT 1: Besprechen Sie Ihre Anforderungen

Besprechen Sie Ihre Anforderungen

Phishing-Simulationen liefern quantifizierbare Ergebnisse, die gemessen werden können. Unsere Simulationen umfassen SMS-Phishing, Corporate Phishing (simulierte E-Mails, die scheinbar von "innerhalb" Ihrer eigenen Organisation stammen), Spear-Phishing für Vorstandsmitglieder (zielen auf eine Handvoll hochrangiger Personen in einer einflussreichen Position ab), Ransomware-Simulation, Personal Phishing (Simulationen, die auf bekannte Marken wie Amazon, Apple, eBay usw. abzielen) und viele weitere Techniken. Diese Messungen ermöglichen es, Verbesserungen zu erkennen und zu verfolgen. Durch den beratenden Ansatz unseres Teams wird sichergestellt, dass alle Phishing-Simulationen und -Kampagnen auf die Bedrohungen zugeschnitten sind, denen Ihr Unternehmen ausgesetzt ist. Vor der Phishing-Simulation werden die Bedürfnisse und Ziele geklärt und mit den geplanten Aktivitäten abgestimmt. Ziel ist es, die Schlüsselelemente der Kampagne zu definieren:

  • Erst angreifen oder aufklären? Ein Simulationstest kann mit einer Einführungsschulung beginnen, in der die Mitarbeiter über E-Mail-Sicherheit und die Auswirkungen von Phishing aufgeklärt werden. Ein Unternehmen kann auch ein Anti-Phishing-E-Mail-Konto einrichten, über das die Mitarbeiter ihre Erfahrungen, Verdachtsmomente und andere Anforderungen in Bezug auf Cyber-Bedrohungen austauschen können, bevor die Simulation beginnt.
  • Häufigkeit der Simulation: Die Simulationshäufigkeit sollte auf der Grundlage der wahrgenommenen Bedrohungen angepasst werden. Die Benutzerabdeckung und die Simulationshäufigkeit sollten in Abhängigkeit vom wahrgenommenen Risiko festgelegt werden (z. B. Finanzen und Zahlungsverkehr - 2 Themen / X Monate, leitende Angestellte - 1 Thema / X Monate). Funktionen/Abteilungen mit hohem Risiko und Personen, die in der Organisation eine wichtige Rolle spielen, sollten im Rahmen der Simulation häufiger behandelt werden.
  • Dauer der Simulation: Die meisten Phishing-Simulationstests werden in der Regel für einen Zeitraum von 12 Monaten geplant. Es kann jedoch bestimmte Ad-hoc-Kampagnen geben, die situationsbedingt sind.
  • Timing - wann werden die E-Mails versendet? Bei der Planung der Kampagne für jede Funktion/Abteilung oder Person sollten die Phishing-E-Mails mit den Elementen "Wochentag" und "Tageszeit" eingeleitet werden.
  • Nachbereitung: Auf eine Phishing-Simulationskampagne müssen möglicherweise einschlägige E-Mails der IT-Abteilung folgen, in denen die betroffenen Mitarbeiter über die Realität von Phishing-E-Mails und die Erwartungen an sie informiert werden. Wenn Benutzer wiederholt scheitern, sollten Sie ein Gespräch mit ihnen planen, um zu verstehen, welche Schwierigkeiten sie haben und warum. Vereinbaren Sie dementsprechend Sensibilisierungs-/Schulungsmaßnahmen für diese Benutzer.
  • Kohärenz mit den aktuellen Richtlinien: Sobald der Prozess implementiert ist, muss er für alle Beteiligten gleichmäßig ausgeführt werden. Die Integration in bestehende Informationssicherheitsrichtlinien und -verfahren wird ebenfalls dazu beitragen, der Kampagne zusätzliche Bedeutung zu verleihen.
  • Wählen Sie das richtige Phishing-Thema: Siehe nächster Abschnitt.
  • Unternehmenskommunikation: Bevor Sie die Phishing-Simulationskampagne einleiten, sollten Sie mit dem Funktions-/Abteilungsleiter einen Kommunikationsplan für die Phishing-Simulation ausarbeiten. Die Mitarbeiter müssen über das neue Verfahren, die Erwartungen, die Konsequenzen bei Nichteinhaltung und den Zeitpunkt des Inkrafttretens aufgeklärt werden.
  • Zielgruppen: Wenn die Kampagne auf eine große Gruppe von Nutzern abzielt, die der gleichen Funktion/Abteilung angehören, könnten sie andere in der Gruppe informieren. Daher sollten Phishing-E-Mails nicht an das gesamte Unternehmen weitergeleitet werden, da dies Verdacht erregt. Stattdessen sollte der Prozess organisch ablaufen und sich immer nur an eine kleine Gruppe ausgewählter Mitarbeiter richten.
  • Sicherstellung des Engagements auf höchster Ebene: Die Unterstützung des Managements ist entscheidend für die Wirksamkeit des Prozesses. Daher müssen die Benutzer auf höherer Ebene bereit sein, den Prozess durchzuziehen.
  • Technische Vorbereitungen: White-Listing von Phishing-Domänen, Einrichtung von Testkonten, Tests der E-Mail-Zustellung sind einige der Aktivitäten, die sorgfältig geplant werden müssen.
SCHRITT ZWEI: Wählen Sie Ihr Thema für den simulierten Angriff

Bei jeder Phishing-Simulationsaktivität spielt das Thema eine wichtige Rolle bei der Erreichung des Ziels, die Benutzer über reale Bedrohungen aufzuklären. Um eine reale Erfahrung zu vermitteln und das Bewusstsein zu schärfen, sollte das gewählte Thema der Phishing-Simulation auf ein Ereignis oder einen Kontext abgestimmt sein, der für die Zielperson oder -gruppe relevant ist. Hier sind einige Punkte, die für effektive Simulationsaktivitäten zu beachten sind:

  • Jedes Thema, das für eine Phishing-Simulation ausgewählt wird, sollte auf den geschäftlichen Kontext und das wahrgenommene Risiko für die Rolle/Funktion/Abteilung des Benutzers abgestimmt sein.
  • Das ausgewählte Thema der Phishing-Simulation sollte für die Zielperson oder -gruppe von Bedeutung sein.
  • Um bessere Ergebnisse und Lernerfahrungen zu erzielen, sollte die Komplexität des gewählten Themas allmählich auf ein höheres Niveau gebracht werden.
  • Wenn Sie mit einem hochkomplexen Phishing-Thema beginnen, werden viele scheitern und das Ziel nicht erreichen.
  • Jedes täuschende Element einer Phishing-E-Mail muss mit anderen Tricks kombiniert werden, die typischerweise von Angreifern verwendet werden (z. B. ähnliche Domain mit getarntem Hyperlink, gefälschte Domain mit doppelter Dateierweiterung usw.).
  • Jede Simulationsaktivität sollte zeitlich begrenzt sein; kontextbezogene Themen, die ausserhalb eines festgelegten Zeitrahmens durchgeführt werden, verlieren ihren Wert.
SCHRITT DREI: Wählen Sie Ihre zusätzlichen Dienstleistungen

Die LUCY-Phishing-Simulation kann mit Dienstleistungen kombiniert werden, die dem Unternehmen helfen, das Risiko besser einzuschätzen. Hier sind ein paar Beispiele:

  • Individuelle Schulungen: Jeder Mitarbeiter kann im Vorfeld oder direkt im Anschluss an die Angriffssimulation individuell geschult werden. Die Inhalte der Schulungen können an die bestehenden Unternehmensrichtlinien angepasst werden. Interaktive Tests können den Wissensstand erfassen.
  • Mail- und Webfiltertest: Er bietet eine technische Analyse der möglichen Eintrittskanäle für Malware. Welche Dateitypen können per E-Mail zugestellt werden? Welche gefährlichen Dateitypen können heruntergeladen werden?
  • Lokaler Sicherheitstest: Wie hoch ist das tatsächliche Risiko, wenn ein Mitarbeiter einen gefährlichen Dateityp ausführt? Wie gut funktioniert der technische Schutz, um Datenverluste zu verhindern?
  • Analyse des Angriffspotenzials: Welche sensiblen Mitarbeiterinformationen können im Internet eingesehen werden? Was kommunizieren Mitarbeiter über eine Firmen-E-Mail-Adresse im Internet?
  • Analyse der Sicherheitskultur: Mittels Interviews, Umfragen und Analysen bestehender Richtlinien soll die aktuelle Sicherheitskultur erfasst und bewertet werden.
  • Darknet-Analyse: Wir durchsuchen das Darknet nach bestehenden Datenlecks und zeigen so ein umfassendes Risikobild, das nicht nur die Innensicht beinhaltet.
  • Vollständig verwaltete wiederkehrende Kampagnen: Sie bevorzugen wiederkehrende Kampagnen, die komplett von uns verwaltet werden? Gerne können Sie das Thema IT Security Awareness komplett an uns auslagern.
SCHRITT VIER: Legen Sie los!

Starten Sie noch heute mit Lucy

Demo

datenschutz

Adresse: Europa
Lucy Security AG
Hammergut 6 | 6330 Cham | Schweiz

Anschrift: Nordamerika
Lucy Security USA
13785 Research Blvd
Suite 125
Austin, TX 78750

SUCHEN

Verbinden Sie

Alle Rechte vorbehalten 2022

cybersecurity_award_2021_Winner_Gold-1-1 Logo4 2021-CSGEA-Gold-PNG-2-e1618372246427 Logo6 Logo7 Cyber-Essentials-Anstecker-Medium-72dpi-2 d cv-award image_2021_06_09T14_55_37_887Znew Lucy-Security-Award-Logo-sizee-update