So schützen Sie sich vor Social-Engineering-Angriffen
Letzte Woche haben wir uns einige der wichtigsten Social-Engineering-Bedrohungen angesehen. Was ist Social Engineering? [MakeUseOf erklärt] Was ist Social Engineering? [MakeUseOf erklärt] Sie können die stärkste und teuerste Firewall der Branche installieren. Sie können die Mitarbeiter über grundlegende Sicherheitsverfahren und die Wichtigkeit der Wahl sicherer Kennwörter informieren. Sie können sogar den Serverraum sperren - aber wie… Lesen Sie mehr, worauf Sie, Ihr Unternehmen oder Ihre Mitarbeiter achten sollten. Kurz gesagt, ähnelt Social Engineering einem Trick, bei dem ein Angreifer durch das Vertrauen des Opfers Zugang, Informationen oder Geld erhält.
Diese Techniken reichen von Phishing-Scams per E-Mail über ausgeklügelte Telefon-Tricks bis hin zu invasiven Vorwand-Angriffen. Es gibt zwar keine definitive Möglichkeit, Social Engineers aufzuhalten, aber es gibt ein paar Dinge, an die man denken muss, um zu verhindern, dass diese Art von Angriffen zu ernst wird. Nach wie vor ist Wissen und ständige Wachsamkeit Ihre beste Verteidigung.
Schutz vor physischen Angriffen
Viele Unternehmen informieren ihr Netzwerksicherheitsteam über die Gefahren physischer Angriffe. Eine Methode, die als bekannt ist “Zu dichtes Auffahren” wird in vielen physischen Angriffen verwendet, um Zugang zu Bereichen zu erhalten, die ohne Autorisierung eingeschränkt sind. Bei diesem Angriff geht es um grundlegende menschliche Höflichkeit - eine Tür für jemanden zu halten -, aber sobald der Angreifer physischen Zugriff hat, wird die Sicherheitslücke sehr ernst.
Während dies in einem Heimszenario nicht wirklich zutrifft (Sie werden wahrscheinlich nicht die Tür für einen Fremden offen halten, oder?), Gibt es ein paar Möglichkeiten, um die Wahrscheinlichkeit zu verringern, dass Sie einem Social Engineering zum Opfer fallen Angriff, der von physischen Materialien oder einem Standort abhängt.
Pretexting ist eine Technik, die von Angreifern verwendet wird, die zuerst Informationen über ihr Opfer finden (z. B. aus einer Rechnung oder einer Kreditkartenabrechnung), die sie dann gegen ihr Opfer einsetzen können, indem sie sie überzeugen, dass sie ein Gefühl der Autorität haben. Der grundlegendste Schutz gegen diese Art von Angriff (manchmal auch als. Bezeichnet) “Müllcontainertauchen”) ist das Zerstören von Materialien, die wichtige persönliche Informationen enthalten.
Dies gilt auch für digitale Daten. Alte Festplatten sollten daher (physisch) ausreichend zerstört werden, und optische Medien können auch geschreddert werden. Einige Unternehmen gehen sogar so weit, dass sie ihren Müll sperren und von einer Sicherheitsüberwachung überwacht werden. Betrachten Sie die ungeschlitzten Papiere, die Sie wegwerfen - Kalender, Belege, Rechnungen und sogar persönliche Notizen - und überlegen Sie dann, ob diese Informationen gegen Sie verwendet werden könnten.
Der Gedanke eines Einbruchdiebstahls ist nicht besonders schön, aber wenn Ihr Laptop gestohlen wurde Aufspüren und Wiederherstellen Ihres gestohlenen Laptops mit Beute Aufspüren und Wiederherstellen Ihres gestohlenen Laptops mit Beute Lesen Sie mehr morgen, wäre er ausreichend gesperrt? Laptops, Smartphones und andere Geräte, die auf Ihre persönlichen Informationen, E-Mail- und Social Networking-Konten zugreifen, sollten immer durch sichere Kennwörter geschützt werden. So erstellen Sie ein sicheres Kennwort, das Sie nicht vergessen werden. So erstellen Sie ein starkes Kennwort, das Sie nicht vergessen. Wissen Sie, wie ein gutes Passwort erstellen und merken? Hier sind einige Tipps und Tricks, mit denen Sie für alle Ihre Online-Konten starke, separate Kennwörter verwenden können. Lesen Sie mehr und Codes. Wenn Sie über Diebstahl wirklich paranoid sind, möchten Sie vielleicht sogar die Daten auf Ihrer Festplatte mit TrueCrypt verschlüsseln. So erstellen Sie verschlüsselte Ordner, die andere nicht mit Truecrypt 7 anzeigen können So erstellen Sie verschlüsselte Ordner, die andere nicht mit Truecrypt 7 anzeigen können Lesen Sie mehr oder BitLocker.
Denken Sie daran, dass Informationen, die ein Dieb entnehmen kann, bei zukünftigen Angriffen, Monate oder Jahre nach dem Vorfall, gegen Sie verwendet werden können.
Ködern - ein bösartiges Gerät, z. B. ein gefährdeter USB-Stick, an einem Ort, an dem es leicht gefunden werden kann, lässt sich leicht vermeiden, indem die Neugier nicht von Ihnen überwältigt wird. Wenn Sie einen USB-Stick auf Ihrer Veranda finden, behandeln Sie ihn mit größtmöglichem Misstrauen. Mit USB-Sticks können Keylogger, Trojaner und andere unerwünschte Software installiert werden, um Informationen zu extrahieren und eine sehr reale Bedrohung darzustellen.
Psychologische Angriffe verhindern
Nahezu alle Social-Engineering-Angriffe sind ihrer Definition nach psychologisch, aber im Gegensatz zu Vorwand, für die Vorkenntnisse erforderlich sind, sind einige Angriffe rein psychologisch. Der Schutz gegen diese Art von Angriffen hat derzeit für viele Unternehmen einen hohen Stellenwert. Dazu gehören Aufklärung, Wachsamkeit und das Denken wie ein Angreifer.
Die Unternehmen beginnen jetzt, Mitarbeiter auf allen Ebenen auszubilden, da die meisten Angriffe mit dem Wachmann am Tor oder der Rezeptionistin an der Rezeption beginnen. Dazu gehört in der Regel, dass die Mitarbeiter angewiesen werden, auf verdächtige Anfragen, aufdringliche Personen oder auf etwas zu achten, das einfach nicht passt. Diese Wachsamkeit lässt sich leicht in Ihren Alltag übertragen, hängt jedoch von Ihrer Fähigkeit ab, Anfragen nach Informationen zu identifizieren, die vertraulich sind.
Während Online-Angriffe per E-Mail und Instant Messaging immer häufiger vorkommen, sind Social-Engineering-Angriffe per Telefon (und VoIP, die das Auffinden der Quelle erschweren) immer noch eine echte Bedrohung. Die einfachste Möglichkeit, einen Angriff zu vermeiden, besteht darin, den Anruf zu beenden, sobald Sie etwas vermuten.
Es ist möglich, dass Sie von Ihrer Bank angerufen werden. In seltenen Fällen werden Sie jedoch nach Ihrem Passwort oder anderen Informationen gefragt. Wenn ein solcher Anruf stattfindet, fordern Sie die Telefonnummer der Bank an, überprüfen Sie sie nochmals und rufen Sie sie an. Es kann zusätzliche fünf Minuten dauern, aber Ihr Geld und Ihre persönlichen Daten sind sicher und die Bank werden verstehen. Ebenso ist es sehr unwahrscheinlich, dass ein Sicherheitsunternehmen anruft, um Sie vor Problemen mit Ihrem Computer zu warnen. Behandeln Sie alle Anrufe als Betrug, seien Sie misstrauisch und gehen Sie keine Kompromisse ein. Computertechniker "Cold Calling": Fallen Sie nicht auf einen solchen Betrug ein [Scam Alert!] Computertechniker "Cold Calling": Fallen Sie nicht auf einen solchen Betrug [ Scam Alert!] Sie haben wahrscheinlich den Begriff "Betrug nicht betrügerisch" gehört, aber ich habe es immer schon gemocht, dass ich keinen "Tech Writer" betrüge. Ich sage nicht, dass wir unfehlbar sind, aber wenn Ihr Betrug das Internet, ein Windows-System oder einen Betrug beinhaltet, lesen Sie mehr oder kaufen Sie, was sie verkaufen!
Bildung ist die beste Verteidigung. Wenn Sie also über Sicherheitstechniken und Neuigkeiten auf dem Laufenden sind, können Sie einen potenziellen Angriff erkennen. Ressourcen wie Social-Engineer.org versuchen, die Leute über die von Sozialingenieuren angewandten Techniken aufzuklären, und es stehen viele Informationen zur Verfügung.
Ein paar Dinge, an die man denken muss
Vertrauen ist die Haupttaktik eines Social Engineers und wird verwendet, um Zugang zu physischen Standorten, vertraulichen Informationen und in größerem Umfang sensiblen Unternehmensdaten zu erhalten. Ein System ist nur so stark wie seine schwächste Verteidigung, und im Falle von Social Engineering sind dies Personen, die sich der Bedrohungen und Techniken nicht bewusst sind.
Fazit
Um Kevin Mitnick zu zitieren, der es geschafft hat, die größte Sicherheitskonferenz der Welt zu durchqueren, unbehelligt und unkontrolliert (RSA 2001): “Sie könnten ein Vermögen für den Kauf von Technologie und Dienstleistungen von jedem Aussteller, Sprecher und Sponsor auf der RSA Conference ausgeben, und Ihre Netzwerkinfrastruktur könnte nach wie vor anfällig für Manipulationen sein”. Dies gilt für die Schlösser an Ihren Türen und den Alarm in Ihrem Haus. Achten Sie daher auf Social-Engineering-Taktiken bei der Arbeit und zu Hause.
Haben Sie solche Angriffe erlebt? Arbeiten Sie für ein Unternehmen, das kürzlich begonnen hat, Mitarbeiter über die Gefahren aufzuklären? Teilen Sie uns in den Kommentaren mit, was Sie davon halten.
Bildnachweise: Wolf im Schafspelz (Shutterstock) Aktenvernichter (Chris Scheufele), Festplatte (jon_a_ross), Telefon am Schreibtisch (Radio.Guy), Mozilla-Empfang (Niall Kennedy),
Mehr erfahren über: Phishing, Scams.