Bulk-Phishing

Bulk-Phishing – Mails an viele Empfänger

Unter dem Begriff „Bulk-Phishing“ ist eine auf Social Engineering basierende Angriffsform zu verstehen, bei der nach Benutzerdaten „gefischt“ wird. Dabei werden häufig generische Emails verwendet, welche an eine möglichst große Anzahl potenzieller Opfer gesendet werden können. Typischerweise beziehen sich diese Emails daher auf weit verbreitete Software (z.B. Apple oder Microsoft Produkte) oder auf allgemeine Gewinnspiele. Da viele persönliche Daten digital frei verfügbar sind oder zu einem vorherigen Zeitpunkt bereits kompromittiert worden sind, fügen einige moderne Phishing Kampagnen persönliche Informationen, wie z.B. Accountnamen automatisch in die E-Mail ein. Trotzdem zielen auch diese Emails auf die breite Masse oder z.B. alle Mitarbeiter eines Unternehmens ab.

Bulk-Phishing Szenarien als Sensibilisierungsmethode – unser Vorgehen

Im Rahmen eines Bulk-Phishing Szenarios wird eine generische, nicht auf den individuellen Mitarbeiter personalisierte, E-Mail erstellt und bietet damit die Möglichkeit eine möglichst große Anzahl Mitarbeiter zeitgleich zu sensibilisieren.

Vor Beginn der Kampagne werden die für das beauftragende Unternehmen relevanten mitbestimmungsrechtlichen und datenschutzrechtlichen Bestimmungen gemäß Art. 39 DS GVO ermittelt, um bei der konkreten Ausführung berücksichtigt werde zu können. Anschließend wird in individueller Abstimmung eine Software des Unternehmens gewählt, die als Ausgangspunkt für das Phishing Angriffsszenario dienen soll. Dies können neben weit verbreiteter Standardsoftware wie z.B. Microsoft Office 365 oder Google G Suite, auch unternehmensspezifische Anwendungen sein. Typischerweise wird der Empfänger in einer Phishing E-Mail dazu aufgefordert, einem Link zu einer Phishing Website zu folgen. Auf dieser wird er anschließend dazu veranlasst, seine Zugangsdaten einzugeben. Im Anschluss an die Erstellung des Szenarios wird in Zusammenarbeit mit dem Auftraggeber die Zustellbarkeit und Plausibilität des Szenarios geprüft.

In der Durchführungsphase wird die Phishing E-Mail an alle Teilnehmenden des Szenarios gesendet und die Reaktion dieser untersucht. Dabei kann ermittelt werden, wie viele Empfänger die E-Mail geöffnet haben, dem Link gefolgt sind oder ihre Benutzerdaten auf der gefälschten Website eingegeben haben.

In der Auswertungsphase erstellt der Prüfer einen Bericht, welcher die Erkenntnisse der Untersuchungen zusammenfasst und das Sensibilisierungsniveau der Teilnehmenden bewertet. Die Ergebnisse werden in einem kurzen Abschlussgespräch besprochen und anschließend Schulungsmaßnahmen in Form von E-Learning und Live-Online-Schulung durchgeführt.

Haben Sie Fragen oder Beratungsbedarf?

Gerne stehen wir Ihnen in einem unverbindlichen und persönlichen Gespräch zur Verfügung.

Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.
05221 87292-0

Wir freuen uns auf Sie.