Social Engineering

Kurzbeschreibung

Die Gefahren für die Informationssicherheit von Organisationen und Unternehmen haben sich in den letzten Jahrzehnten vollkommen verändert. Dies ist einerseits auf die Komplexität und die natürliche Dynamik von IT Infrastrukturen zurückzuführen, welche den sicheren Betrieb zu einer grossen Herausforderung machen.

Auf der anderen Seite hat dies aber auch mit ausgeklügelten Angriffen zu tun, die bei weitem nicht nur technische Lücken ausnützen. Moderne Angriffe nutzen immer häufiger auch organisatorische Schwachstellen aus, darunter Aspekte der physischen Sicherheit und des menschlichen Verhaltens. Anstelle von automatisierten Exploits geraten die Mitarbeitenden verstärkt in den Fokus der Angreifer.

Aufgrund der Vielzahl sich ereignender Angriffe konzentrieren sich Firmen nun auch darauf, sich vor der Gefahr zu schützen, welche durch Social Engineering (SE) hervorgeht.

Während des Seminars werden wir in die Welt des Social Engineering eintauchen und Methoden, Tools und Tricks kennen und verstehen lernen.

Die Übungen werden online auf www.hacking-lab.com absolviert, wobei die Umgebung für die Kursteilnehmenden bis zu einen Monat nach Kursende zur Verfügung steht.


Lernziel

Die Teilnehmenden sind fähig, die Sicherheit einer Firma einzuschätzen, die Anfälligkeit des Unternehmens zu beurteilen und organisatorische sowie technische Gegenmassnahmen für SE Angriffe auszuarbeiten und einzuführen.

Sie verfügen über eine umfangreiche Sammlung an Instrumenten und Fertigkeiten, welche Sie unterstützen bei

  • der Einschätzung der Sicherheit des Unternehmens hinsichtlich Social Engineering Angriffen,
  • der Verbesserung der Sensibilisierung im Unternehmen,
  • der Verteidigung von sich selbst und dem Unternehmen gegen Social Engineering Angriffe und
  • bei der Ausarbeitung und Einführung technischer und organisatorischer Gegenmassnahmen


Highlights aus dem Programm

Einführung

  • Was ist Social Engineering?
  • Aktuelle Situation (Trends/Zukunft)
  • Phishing
  • SMShing
  • Vishing
  • Baiting
  • Impersonation
  • Dumpster Diving
  • Elicitation/Influence/Manipulation
  • Tools (Software, Hardware)

 

Social Engineering Pentest Methodology

  • Information Gathering
  • Fingerprinting einer Firma/Person
  • Open Source Intelligence (Maltego/Google Dorks/Impersonation/Others)

 

Pretext Development

  • Modellierung von Angriffen aufgrund gesammelter Informationen
  • Elicitation Techniques
  • Manipulation Techniques

 

Planung von Angriffen

  • Organisatorische Vorkehrungen
  • Zeitliche Planung basierend auf aktuellen Statistiken

 

Reporting

  • Welche Informationen enthält ein guter Report?
  • Wie werden diese Informationen dargestellt?

 

Awareness

  • Wie werden die Mitarbeitenden für Social Engineering Angriffe sensibilisiert?
  • Wie wird eine effektive Awareness-Kampagne aufgebaut?

 

Massnahmen

  • Technische Gegenmassnahmen
  • Organisatorische Gegenmassnahmen


Zielgruppe

  • CISO
  • Security Officer
  • Pentester
  • Auditoren
  • an Social Engineering interessierte Personen


Voraussetzung

  • Grundkenntnisse in IT-Security
  • OSINT Kenntnisse von Vorteil
  • Keine Programmierkenntnisse notwendig

    AGENDA

    Beer-Talk in Bern: Bluetooth Low Energy: Protocol, Security & Attacks

    Immer mehr Geräte und Gadgets können über Bluetooth Low Energy (BLE) miteinander kommunizieren. Haben Sie sich schon gefragt, was dieses BLE überhaupt... Weiterlesen

    Compass Security an der ETH Kontaktparty

    Wir nehmen teil an der schweizweit grössten akademischen IT-Recruitingmesse. Komme am Samstag, 29. Februar 2020 an die ETH Zürich und besuche uns am... Weiterlesen

    Beer-Talk #21 in Berlin: Lessons learned from SHITRIX

    Gefahr für tausende Firmen, öffentliche Einrichtungen und Behörden. Wir berichten von unseren gewonnenen Erkenntnissen aus Shitrix. Besuchen Sie uns... Weiterlesen

    KOMPLETTE agenda

    aktuelles

    KMU im Visier von Cyberkriminellen

    In der Sendung «Fokus KMU» erzählt ein Betroffener über die Auswirkungen der Cyber Attacke auf sein Unternehmen. Cyrill Brunschwiler von Compass... Weiterlesen

    Daten als Wettbewerbsvorteil

    Das Basel Economic Forum ist das Wirtschaftsforum für die trinationale Metropolitanregion Basel und die Nordwestschweiz. Im November fand die 6.... Weiterlesen

    Schwachstelle in Apache Olingo OData 4.0

    Das Compass Analysten-Team hat eine XXE-Schwachstelle in Apache Olingo OData 4.0 identifiziert. Weiterlesen

    ArCHIV

    Compass Security Blog

    OWASP – Toronto January 2020

    A write-up of the OWASP Toronto January talk which mainly focused on the correlation and integration of results generated by automated tools in application security such as SAST, DAST and SCA.... mehr

    Interview with Jim McKay

    “I love hacking can be used for the greater good.” During the Solothurn Film Festival 2020 we had the opportunity to meet Jim McKay, who directed, among others, two episodes for Mr. Robot season one.... mehr

    ZUM BLOG