Was ist Social Engineering? [MakeUseOf erklärt]
Sie können die stärkste und teuerste Firewall der Branche installieren. Wie funktioniert eine Firewall? [MakeUseOf erklärt] Wie funktioniert eine Firewall? [MakeUseOf Explains] Es gibt drei Teile von Software, die meiner Meinung nach das Rückgrat einer anständigen Sicherheitskonfiguration auf Ihrem Heim-PC bilden. Dies sind der Virenschutz, die Firewall und der Passwortmanager. Davon ist die… Read More. Sie können die Mitarbeiter über die grundlegenden Sicherheitsverfahren und die Wichtigkeit der Auswahl sicherer Kennwörter informieren. So erstellen Sie sichere Kennwörter, an die Sie sich leicht erinnern können. So erstellen Sie sichere Kennwörter, an die Sie sich leicht erinnern können. Weitere Informationen finden Sie hier. Sie können sogar den Serverraum sperren - aber wie schützen Sie ein Unternehmen vor der Gefahr von Social-Engineering-Angriffen?
In Bezug auf das Social Engineering sind Mitarbeiter das schwache Glied in der Kette von Sicherheitsmaßnahmen. Mit WebsiteDefender ein Sicherheits-Makeover für Ihre WordPress-Website erstellen Mit WebsiteDefender ein Sicherheits-Makeover für Ihre WordPress-Site Mit der zunehmenden Beliebtheit von Wordpress sind Sicherheitsfragen noch nie relevanter gewesen - Aber wie kann ein Anfänger oder ein durchschnittlicher Benutzer nicht nur auf dem neuesten Stand bleiben, sondern auch den Überblick behalten? Würden Sie noch… Lesen Sie mehr an Ort und Stelle. Menschen sind nicht nur anfällig für grundlegende menschliche Fehler, sondern auch gezielte Angriffe von Personen, die sie davon überzeugen wollen, sensible Informationen preiszugeben. Heute werden wir einige soziale Techniken erforschen, die zum Betrug und Betrug verwendet werden.
Die Grundlagen des Social Engineering
Social Engineering ist die Manipulation einer Person, um Zugang zu sensiblen Daten zu erhalten, indem sie grundlegende menschliche Psychologie ausnutzt. Der Unterschied zwischen Social-Engineering-Angriffen und beispielsweise einem Hacker, der versucht, auf eine Website zuzugreifen, besteht in der Wahl der verwendeten Tools. Ein Hacker sucht möglicherweise nach einer Schwachstelle in der Sicherheitssoftware oder nach einer Sicherheitsanfälligkeit auf dem Server, während ein Social Engineer soziale Techniken verwendet, die das Opfer dazu zwingen, Informationen oder Zugriff frei zu geben.
Diese Taktik ist nichts Neues und besteht schon so lange, wie die Leute entschieden haben, dass es ein akzeptabler Weg ist, sich gegenseitig zu täuschen. Nachdem sich die Gesellschaft inzwischen auf das unmittelbare Wesen des Internets und auf Abrufinformationen gestützt hat, sind mehr Menschen als je zuvor Angriffen durch Social Engineering in großem Umfang ausgesetzt.
Meistens wird der Angreifer seinem Opfer nicht von Angesicht zu Angesicht gegenüberstehen. Stattdessen ist er auf E-Mail, Instant Messaging und Telefonanrufe angewiesen, um den Angriff durchzuführen. Es gibt verschiedene Techniken, die weithin als Social-Engineering-Angriffe angesehen werden. Schauen wir uns diese genauer an.
Social Engineering-Techniken erklärt
Phishing
Phishing ist bei weitem eine der bekannteren Techniken, die durch E-Mail-Anbieter wie Google und Yahoo hervorgerufen wurde. Es handelt sich hierbei um ein recht einfaches und weit verbreitetes Beispiel für Social Engineering.
Diese Technik wird meistens per E-Mail durchgeführt. Dabei handelt es sich um eine Art Betrug, bei dem das Opfer davon überzeugt wird, dass Sie vertrauliche Informationen legitimieren. Eine der häufigsten Arten von Phishing-Angriffen ist die Anforderung von Opfern “überprüfen” Ihr Bankkonto oder Ihre PayPal-Informationen Wie Sie Ihr Paypal-Konto vor Hackern schützen können Wie Sie Ihr Paypal-Konto vor Hackern schützen Lesen Sie mehr, um zu verhindern, dass ihre Konten gesperrt werden. Der Angreifer oder Phisher wird häufig eine Domäne erwerben, die eine offizielle Ressource imitieren soll, und Unstimmigkeiten in der URL führen oft dazu, dass das Spiel verloren geht.
Online-Phishing wird dank Filtertechniken, die von E-Mail-Anbietern verwendet werden, einfacher zu erkennen und zu melden. Es ist auch empfehlenswert, niemals vertrauliche oder finanzielle Informationen per E-Mail mitzuteilen - keine rechtmäßige Organisation wird Sie jemals dazu auffordern - und die URLs vor der Eingabe wichtiger Anmeldeinformationen auf Rechtmäßigkeit zu überprüfen.
Telefontechniken oder “Vishing”
Bei interaktiver Sprachantwort (IVR) oder Vishing (Voice Phishing) werden ähnliche Techniken wie oben beschrieben über ein Telefon oder eine VoIP-Schnittstelle verwendet. Es gibt eine Reihe unterschiedlicher Techniken, und zwar folgende:
- Das Opfer direkt mit einem automatisierten Anruf anrufen “Ihre Kreditkarte wurde gestohlen” oder “Dringende Maßnahmen sind erforderlich” Betrug, dann fordern “Sicherheitscheck” um den normalen Zugriff auf das Konto wiederherzustellen.
- E-Mail des Opfers, Anweisung, eine Telefonnummer anzurufen und die Kontoinformationen zu überprüfen, bevor der Zugriff gewährt wird.
- Verwendung von faux interaktiven Telefontechniken oder direkte menschliche Interaktion, um Informationen zu extrahieren, z. “1 drücken für… ” oder “Geben Sie nach dem Signalton Ihre Kreditkartennummer ein”.
- Rufen Sie das Opfer an, überzeugen Sie es von einer Sicherheitsbedrohung auf seinem Computer und weisen Sie es an, Software zu kaufen oder zu installieren (häufig Malware oder Remote-Desktop-Software), um das Problem zu beheben.
Ich war persönlich auf der Empfangsseite des Software-Telefonbetrugs, und obwohl ich mich nicht auf irgendetwas verliebt hätte, wäre ich nicht überrascht, wenn jemand dank der angewandten Angsttaktik das tun würde. Meine Begegnung beinhaltete eine “Microsoft-Mitarbeiter” und einige Viren, die nicht existierten. Sie können alles darüber hier lesen. Kalte Berufung Computertechniker: Fallen Sie nicht auf einen solchen Betrug an [Scam Alert!] Kalter Anruf Computer-Techniker: Fallen Sie nicht auf einen solchen Betrug [Scam Alert!] Sie haben wahrscheinlich gehört der Begriff "Betrug keinen Betrüger", aber ich habe mich schon immer gern mit "Betrüger eines Tech-Autors" beschäftigt. Ich sage nicht, dass wir unfehlbar sind, aber wenn es sich bei Ihrem Betrug um das Internet handelt, ist ein Windows-System… Lesen Sie mehr .
Baiting
Diese spezielle Technik ist eine der größten Schwächen der Menschheit - Neugierde. Durch das bewusste Hinterlassen physischer Medien - sei es eine Diskette (unwahrscheinlich heutzutage), optische Medien oder (meistens) ein USB-Stick, an dem wahrscheinlich entdeckt wird, setzt sich der Betrüger einfach zurück und wartet, bis jemand das Gerät benutzt.
Viele PCs “Autorun” USB-Geräte. Wenn also Malware wie Trojaner oder Keylogger auf dem USB-Gerät gebündelt werden, kann sich eine Maschine infizieren, ohne dass das Opfer dies überhaupt merkt. Betrüger kleiden solche Geräte häufig mit offiziellen Logos oder Aufklebern, die bei potenziellen Opfern Interesse wecken könnten.
Vorwand
Bei dieser Technik wird das Opfer durch ein erfundenes Szenario dazu gebracht, Informationen aufzugeben. Das Szenario wird in der Regel aus Informationen abgeleitet, die über das Opfer gesammelt wurden, um sie davon zu überzeugen, dass der Betrüger tatsächlich eine maßgebliche oder offizielle Zahl ist.
Abhängig davon, nach welchen Informationen der Betrüger nachgeht, kann der Vorwand grundlegende persönliche Informationen wie Heimatadresse oder Geburtsdatum, spezifischere Informationen wie Transaktionsbeträge auf einem Bankkonto oder Gebühren auf einer Rechnung beinhalten.
Zu dichtes Auffahren
Eine der wenigen aufgeführten Techniken, bei denen der Betrüger physisch in den Angriff involviert ist. Tailgating beschreibt die Praxis, sich unbefugt Zugang zu einem eingeschränkten Bereich zu verschaffen, indem ein anderer (rechtmäßiger) Mitarbeiter in den Bereich geführt wird. Für viele Betrüger entfällt dadurch die Notwendigkeit, Zugangskarten oder Schlüssel zu erwerben, und stellt möglicherweise einen schwerwiegenden Sicherheitsverstoß für das betroffene Unternehmen dar.
Diese besondere Taktik ist auf die übliche Höflichkeit, wie das Festhalten einer Tür für jemanden, angewiesen und hat sich zu einem Problem entwickelt, das viele Arbeitsplätze in Angriff genommen haben, um das Problem mit Hinweisen auf Eingängen direkt anzugehen, wie es die Mitteilung von Apple auf dem Bild oben zeigt.
Andere Techniken
Es gibt ein paar andere Techniken, die mit Social Engineering in Verbindung stehen, wie das Etwas für etwas “Gegenleistung” oft gegen Büroangestellte verwendete Technik. Bei der Gegenleistung handelt es sich um einen Angreifer, der sich beispielsweise als Anrufer des technischen Supports ausgibt. Der Angreifer bleibt dabei “zurückrufen” Bis er oder sie jemanden findet, der echt Unterstützung braucht, bietet er diese an, extrahiert aber gleichzeitig andere Informationen oder weist das Opfer auf schädliche Software-Downloads hin.
Eine andere Social-Engineering-Technik ist als bekannt “Ablenkung Diebstahl” und ist nicht wirklich mit Computern, dem Internet oder Phishing verbunden. Stattdessen handelt es sich um eine übliche Technik, mit der legitime Kuriere davon überzeugt werden, dass eine Lieferung an einem anderen Ort erwartet wird.
Fazit
Wenn Sie vermuten, dass eine Person versucht, Sie mit einem Social-Engineering-Betrug zu täuschen, sollten Sie die Behörden und (falls vorhanden) Ihren Arbeitgeber benachrichtigen. Die Techniken sind nicht auf das beschränkt, was in diesem Artikel erwähnt wurde - es werden ständig neue Betrügereien und Tricks entwickelt. Bleiben Sie also auf der Hut, hinterfragen Sie alles und fallen Sie keinem Betrüger zum Opfer.
Die beste Verteidigung gegen diese Angriffe ist Wissen - informieren Sie also Ihre Freunde und Familie, dass Menschen diese Taktik gegen Sie anwenden können und werden.
Haben Sie sich mit Sozialingenieuren getroffen? Hat Ihr Unternehmen die Belegschaft über die Gefahren des Social Engineering informiert? Fügen Sie Ihre Gedanken und Fragen in die Kommentare unten ein.
Bildnachweise: Wolf im Schafspelz (Shutterstock), NetQoS Symposium USB Stick (Michael Coté), Aktenvernichter (Sh4rp_i)
Mehr erfahren über: Phishing, Scams.