Leistungen › Social Engineering
Social Engineering
Eure Firewall ist perfekt konfiguriert. Euer Mitarbeiter hat trotzdem geklickt. Menschen sind der am leichtesten ausnutzbare Angriffsvektor – und der einzige, den ihr nicht patchen könnt. Wir testen ihn, damit ihr ihn trainieren könnt.
„Menschen sind der einzige Angriffsvektor mit CVE-Score ∞."
42 % aller Sicherheitsvorfälle haben eine menschliche Komponente: gestohlene Zugangsdaten, Phishing-Links, kompromittierte Accounts nach Social-Media-OSINT. Kein technisches Kontrollsystem der Welt schützt vor einem Mitarbeiter, der einem freundlichen „IT-Support" sein Passwort nennt. Wir simulieren genau diese Angriffe – realistisch, kontrolliert, mit vollständiger Autorisierung – damit ihr wisst, wo euer menschlicher Perimeter steht.
Unsere Assessments sind keine Massenphishing-Kampagnen mit
Standard-Templates. Wir recherchieren, verstehen euren Kontext
und bauen Szenarien, die täuschend echt wirken – weil echte
Angreifer das auch tun. Nach dem Assessment wisst ihr nicht nur,
wer geklickt hat. Ihr versteht, warum – und könnt gezielt
trainieren.
Was wir simulieren:
Phishing-Kampagnen
Zielgerichtete E-Mail-Angriffe – von generisch bis
spear-phishing. Mit realen Lookalike-Domains, geklonten
Login-Seiten und kontextspezifischen Pretexts.
Vishing & Pretexting
Telefonbasierte Angriffe. Wir rufen an, geben uns als
IT-Support, Lieferant oder Behörde aus – und sehen, wie weit
wir kommen. Spoiler: meistens weit.
OSINT-Profiling
Was ein Angreifer über euch und eure Mitarbeitenden aus
öffentlichen Quellen zusammenstellen kann. LinkedIn, XING,
GitHub, Shodan – die Ergebnisse sind immer überraschend.
Physische Intrusion
Tailgating, gefälschte Badges, der klassische „Ich bin vom
Kopierer-Service"-Ansatz. Der USB-Stick auf dem Parkplatz
funktioniert immer noch. Wir haben Beweise.
Was ihr bekommt
Klick- und Kompromittierungsrate
Wer hat geklickt, wer hat Credentials eingegeben, wer hat den Anhang geöffnet. Aufgeschlüsselt nach Abteilung, Rolle und Szenario.
Angriffspfad-Dokumentation
Wie aus einer Phishing-Mail ein kompromittierter Account und daraus ein Netzwerkzugang wird. Der vollständige Weg – mit Screenshots.
OSINT-Expositionsbericht
Was über euer Unternehmen und eure Mitarbeitenden öffentlich verfügbar ist – und wie Angreifer das ausnutzen würden.
Trainingsempfehlungen
Keine generischen Awareness-Folien. Zielgerichtete Empfehlungen basierend auf den konkreten Schwachstellen, die wir gefunden haben.
Wie weit kommt ein Angreifer bei euch?