Social Awareness Check

Omschrijving

Met een social awareness campagne maakt u uw medewerkers bewust van de risico’s die ze lopen en die ze vaak zelf creëren. Door de juiste security-gewoontes aan te leren verlaag je de risico’s voor de organisatie. Social awareness campagne kunnen worden ingezet via e-mail, telefoon, fysiek of als een combinatie van deze middelen. Tijdens een aanval zal een hacker proberen toegang te krijgen tot vertrouwelijke informatie. Wij hanteren 4 verschillende soorten social engineering aanvallen/onderzoeken.

Werkwijze

Het verkrijgen van toegang tot uw netwerk wordt vaak gedaan met behulp van verschillende soorten social engineering-aanvallen. Phishing is in basis afhankelijk van angst, urgentie of iets dat gewoon te mooi is om waar te zijn. Hierbij werken angst en urgentie vaak het beste.

Afhankelijk van de behoefte of welk pakket er gekozen wordt zien we in de praktijk dat geautomatiseerde programma’s ideaal zijn voor eenvoudige phishing-campagnes maar dat over het algemeen aanvallen met een handmatige aanpak beter werken. Dit komt omdat werknemers van bedrijven steeds slimmer worden. In de praktijk wordt ten minste 1 op de 10 e-mails gerapporteerd. In sommige gevallen zijn de aantallen veel hoger.

Doormiddel van handmatige campagnes kan er bijvoorbeeld worden ontdekt dat de cliënt Office 365 gebruikt of dat deze gebruik maakt van een bepaalde leasemaatschappij.  Deze informatie kan dan weer worden gebruikt om gerichte e-mails te sturen. Daarnaast proberen we via OSINT gelekte e-mails te vinden, programma’s die worden gebruikt te achterhalen, nieuwe functies van applicaties of systeem upgrades te misbruiken etc.

Proces

Stap 1. Inventarisatie

Tijdens de inventarisatie bepalen we samen met de opdrachtgever de scope van het onderzoek en zetten we een brainstorm op over de op te zetten campagne.

Stap 2. Start onderzoek

Tijdens dit onderzoek raadplegen wij meer dan 100 openbare gegevensbronnen (OSINT) om informatie te verzamelen over IP-adressen, domeinnamen, e-mailadressen, namen en meer. Tevens controleren wij of uw wachtwoorden en e-mail adressen zijn uitgelekt op het darknet.

Hierna zoeken we uit of er slimme doppelganger domeinen zijn en registreren die. bijv. mail.company.com, dan kopen wij mailcompany.com en zetten een fake outlook pagina op, slaan het wachtwoord op en redirecten die naar de echte pagina.

Stap 3. Validatie van gegevens

Tijdens het onderzoek kunnen nieuwe zaken aan het licht komen door de zojuist verzamelde gegevens. Wij controleren en valideren de gegevens waar mogelijke en bepalen samen met de opdrachtgever of de scope eventueel aangepast dient te worden.

Stap 4. Start van de campagne

Nadat alles klaar staat stellen we de sjablonen en doelen in en beginnen we met het versturen (in batches) van de eerste mailtjes.

Stap 5. Resultaten volgen en sturen

Meten is weten, tijdens de campagnes proberen we deze bij te sturen waar nodig.

Stap 6. Rapportage

Nadat alle gegevens zijn nagelopen schrijven wij een rapport met onze bevindingen.

Mogelijke vervolgstappen

Afhankelijk van de gevonden gegevens is het raadzaam om een aanvullende security audits uit te voeren.

Offerte aanvragen

Nu aanvragen