Inhaltsverzeichnis[Ausblenden][Zeigen]
Obwohl die meisten Cyberkriminellen geschickte Manipulatoren sind, bedeutet dies nicht, dass sie immer geschickte technologische Manipulatoren sind; andere Cyberkriminelle bevorzugen die Praxis, Menschen zu manipulieren.
Mit anderen Worten, sie nutzen Social Engineering, also die Praxis, einen Cyberangriff zu starten, indem sie Fehler in der menschlichen Natur ausnutzen.
In einem einfachen Fall von Social Engineering könnte dies passieren, wenn sich ein Cyberkrimineller als IT-Experte ausgibt und nach Ihren Anmeldedaten fragt, um eine Sicherheitslücke in Ihrem System zu schließen.
Wenn Sie die Informationen preisgeben, haben Sie gerade einer böswilligen Person Zugriff auf Ihr Konto gewährt, ohne dass sie sich auch nur um den Zugriff auf Ihre E-Mails oder Ihren Computer kümmern muss.
In jeder Sicherheitskette sind wir fast immer das schwächste Glied, da wir anfällig für eine Vielzahl von Tricks sind. Social-Engineering-Techniken nutzen diese Schwachstelle bei Menschen, um Opfer dazu zu bringen, private Informationen preiszugeben.
Social Engineering entwickelt sich ständig weiter, ebenso wie die meisten Cyber-Bedrohungen.
In diesem Artikel besprechen wir den aktuellen Stand von Social Engineering, verschiedene Arten von Angriffen, auf die Sie achten sollten, und Warnzeichen, auf die Sie achten sollten.
Beginnen wir mit der Einführung in Social Engineering.
Was ist Social Engineering?
Social Engineering in der Computertechnik bezieht sich auf die Techniken, die Cyberkriminelle anwenden, um Opfer zu einer zweifelhaften Handlung zu überreden, die häufig eine Sicherheitsverletzung, die Übertragung von Geld oder die Preisgabe persönlicher Informationen zur Folge hat.
Diese Aktivitäten stellen häufig die Logik in Frage und widersprechen unserem besseren Wissen.
Betrüger können uns jedoch davon überzeugen, mit dem logischen Denken aufzuhören und instinktiv zu handeln, ohne darüber nachzudenken, was wir eigentlich tun, indem sie unsere Emotionen – sowohl positive als auch negative – wie Wut, Angst und Liebe manipulieren.
Einfach definiert ist Social Engineering, wie Hacker unser Gehirn kompromittieren, genauso wie sie es mit Malware und Viren tun, um unsere Maschinen zu kompromittieren.
Angreifer nutzen häufig Social Engineering, da es häufig einfacher ist, Einzelpersonen auszunutzen, als eine Netzwerk- oder Softwareschwäche zu identifizieren.
Da die Kriminellen und ihre Opfer nie persönlich interagieren müssen, ist Social Engineering immer eine Komponente eines umfassenderen Betrugs.
Die Opfer dazu zu bringen: ist im Allgemeinen das Hauptziel:
- Schädliche Software auf ihrem Smartphone.
- Verzichten Sie auf Ihren Benutzernamen und Ihr Passwort.
- Erteilen Sie die Erlaubnis für ein bösartiges Plug-in, eine Erweiterung oder eine Anwendung eines Drittanbieters.
- Senden Sie Geld per Zahlungsanweisung, elektronische Überweisung oder Geschenkkarten.
- Spielen Sie die Rolle eines Geldkuriers, um illegales Geld zu überweisen und zu waschen.
Social-Engineering-Techniken werden von Kriminellen eingesetzt, weil es häufig einfacher ist, Ihre angeborene Neigung, anderen zu vertrauen, auszunutzen, als herauszufinden, wie Sie Ihr Programm hacken können.
Wenn das Passwort beispielsweise nicht wirklich schwach ist, ist es wesentlich einfacher, jemanden dazu zu bringen, Ihnen sein Passwort zu sagen, als zu versuchen, es zu hacken.
Wie funktioniert Social-Engineering?
Social Engineers führen Cyberangriffe mit einer Reihe von Strategien durch. Die meisten Social-Engineering-Angriffe beginnen damit, dass der Angreifer das Opfer auskundschaftet und recherchiert.
Wenn das Ziel beispielsweise ein Unternehmen ist, könnte der Hacker etwas über die Organisationsstruktur des Unternehmens, interne Prozesse, Branchenjargon, potenzielle Geschäftspartner und andere Details erfahren.
Die Konzentration auf die Handlungen und Gewohnheiten von Mitarbeitern mit niedrigem, aber anfänglichem Zugriff, wie z. B. einem Wachmann oder einer Empfangsdame, ist eine Strategie, die von Social Engineers angewendet wird.
Angreifer können suchen Social Media Konten für personenbezogene Daten und beobachten ihr Verhalten sowohl online als auch persönlich.
Als nächstes kann der Social Engineer die gesammelten Beweise verwenden, um einen Angriff zu planen und die während der Aufklärungsphase entdeckten Schwachstellen auszunutzen.
Wenn der Angriff tatsächlich stattfindet, könnte der Angreifer geschützte Systeme oder Netzwerke, Geld von den Zielen oder Zugriff auf private Daten wie Sozialversicherungsnummern, Kreditkartendaten oder Bankdaten erhalten.
Gängige Arten von Social-Engineering-Angriffen
Das Erlernen der typischen Techniken des Social Engineering ist eine der besten Strategien, um sich gegen einen Social-Engineering-Angriff zu verteidigen.
Heutzutage findet Social Engineering häufig online statt, auch durch Social-Media-Betrug, wenn Angreifer die Identität einer zuverlässigen Quelle oder eines hochrangigen Beamten annehmen, um Opfer dazu zu bringen, vertrauliche Informationen preiszugeben.
Hier sind einige andere weit verbreitete Social-Engineering-Angriffe:
Phishing
Phishing ist eine Art Social-Engineering-Ansatz, bei dem die Kommunikation so getarnt wird, dass sie aus einer vertrauenswürdigen Quelle stammt.
Diese Mitteilungen, bei denen es sich häufig um E-Mails handelt, sollen die Opfer dazu verleiten, persönliche oder finanzielle Informationen preiszugeben.
Warum sollten wir schließlich die Legitimität einer E-Mail von einem Freund, Familienmitglied oder einer Firma vermuten, die wir kennen? Betrüger machen sich dieses Vertrauen zunutze.
Vishing
Vishing ist eine komplexe Art von Phishing-Angriff. Es wird auch als „Voice-Phishing“ bezeichnet. Bei diesen Angriffen wird häufig eine Telefonnummer gefälscht, um authentisch zu wirken – Angreifer können sich als IT-Mitarbeiter, Kollegen oder Banker ausgeben.
Einige Angreifer setzen möglicherweise Sprachwechsler ein, um ihre Identität noch mehr zu verschleiern.
Speerfischen
Große Unternehmen oder bestimmte Personen sind das Ziel von Spear-Phishing, einer Art Social-Engineering-Angriff. Das Ziel von Spear-Phishing-Angriffen sind starke Einzelpersonen oder kleine Gruppen, wie z. B. Unternehmensführer und Persönlichkeiten des öffentlichen Lebens.
Diese Form des Social-Engineering-Angriffs ist häufig gut erforscht und täuschend getarnt, was es schwierig macht, sie zu erkennen.
Schmunzelnd
Smishing ist eine Art Phishing-Angriff, bei dem Textnachrichten (SMS) als Kommunikationsmedium verwendet werden. Indem schädliche URLs zum Anklicken oder Telefonnummern zum Kontaktieren angezeigt werden, erfordern diese Angriffe in der Regel schnelles Handeln von ihren Opfern.
Die Opfer werden häufig aufgefordert, private Informationen preiszugeben, die die Angreifer gegen sie verwenden können.
Um die Opfer davon zu überzeugen, schnell zu handeln und auf den Angriff hereinzufallen, vermitteln Smishing-Angriffe häufig ein Gefühl der Dringlichkeit.
Scareware
Der Einsatz von Social Engineering, um Einzelpersonen dazu zu bringen, gefälschte Sicherheitssoftware zu installieren oder auf mit Malware infizierte Websites zuzugreifen, wird als Scareware bezeichnet.
Scareware manifestiert sich normalerweise als Popup-Fenster, die Ihnen dabei helfen, eine angebliche Computerinfektion von Ihrem Laptop zu entfernen. Wenn Sie auf das Popup klicken, können Sie unbeabsichtigt weitere Malware installieren oder auf eine gefährliche Website weitergeleitet werden.
Verwenden Sie ein zuverlässiges Virenbeseitigungsprogramm, um Ihren Computer häufig zu scannen, wenn Sie glauben, dass Sie Scareware oder ein anderes aufdringliches Popup haben. Für die digitale Hygiene ist es wichtig, Ihr Gerät regelmäßig auf Risiken zu untersuchen.
Es kann auch beim Schutz Ihrer persönlichen Daten helfen, indem zukünftige Social-Engineering-Angriffe verhindert werden.
Baiting
Social-Engineering-Angriffe können auch offline beginnen; Sie werden nicht unbedingt online gestartet.
Ködern ist die Praxis eines Angreifers, ein mit Malware infiziertes Objekt, z. B. ein USB-Laufwerk, an einem Ort zu hinterlassen, an dem es wahrscheinlich entdeckt wird. Diese Geräte werden häufig absichtlich gebrandet, um Interesse zu wecken.
Ein Benutzer, der das Gerät aus Neugier oder Gier in die Hand nimmt und es in seinen eigenen Computer steckt, riskiert, diesen Computer unbeabsichtigt mit einem Virus zu infizieren.
Walfang
Einer der gewagtesten Phishing-Versuche mit verheerenden Folgen ist der Walfang. Das typische Ziel dieser Art von Social-Engineering-Angriffen ist eine einzelne, hochrangige Person.
Der Begriff „CEO-Betrug“ wird gelegentlich verwendet, um den Walfang zu beschreiben, was Ihnen einen Hinweis auf das Ziel gibt.
Da sie effektiv einen angemessenen sachlichen Tonfall annehmen und Insider-Branchenwissen zu ihrem Vorteil nutzen, sind Whaling-Angriffe schwieriger zu erkennen als andere Phishing-Angriffe.
Vorab-SMS
Pretexting ist der Prozess, einen falschen Umstand oder „Vorwand“ zu erfinden, den Betrüger verwenden, um ihre Opfer zu täuschen.
Pretexting-Angriffe, die offline oder online stattfinden können, gehören zu den erfolgreichsten Social-Engineering-Techniken, da Angreifer viel Mühe darauf verwenden, sich vertrauenswürdig zu erscheinen.
Seien Sie vorsichtig, wenn Sie private Informationen an Fremde weitergeben, da es schwierig sein kann, einen Schwindel mit Vorwand zu erkennen.
Um einen Social-Engineering-Versuch auszuschließen, wenden Sie sich direkt an das Unternehmen, wenn Sie jemand wegen eines dringenden Bedarfs anruft.
Honigfalle
Eine Honigfalle ist eine Art Social-Engineering-Ansatz, bei dem der Angreifer das Opfer in eine unsichere sexuelle Umgebung verführt.
Der Angreifer nutzt dann den Umstand aus, um Erpressung zu begehen oder sich an Sextortion zu beteiligen. Durch das Versenden von Spam-E-Mails mit dem falschen Vorwand, dass sie „Sie durch Ihre Kamera sehen“ oder etwas ähnlich Schändliches, legen Social Engineers häufig Honigfallen.
Wenn Sie eine solche Nachricht erhalten, vergewissern Sie sich, dass Ihre Webcam geschützt ist.
Bleiben Sie dann einfach gelassen und antworten Sie nicht, denn diese E-Mails sind nichts anderes als Spam.
Gegenleistung
Latein bedeutet „etwas für etwas“, in diesem Fall bezieht es sich darauf, dass das Opfer eine Belohnung für seine Zusammenarbeit erhält.
Ein hervorragendes Beispiel dafür ist, wenn sich Hacker als IT-Assistenten ausgeben. Sie werden so viele Mitarbeiter wie möglich in einer Firma anrufen und behaupten, eine einfache Lösung zu haben, und hinzufügen, dass „Sie nur Ihr AV deaktivieren müssen“.
Wer ihr erliegt, hat Ransomware oder andere Viren auf seinem Computer installiert.
Dicht auffahren
Tailgating, auch Huckepack genannt, tritt auf, wenn ein Hacker einer Person mit einer gültigen Zugangskarte in ein gesichertes Gebäude folgt.
Um diesen Angriff durchzuführen, wird angenommen, dass die Person, die die Erlaubnis hat, das Gebäude zu betreten, so rücksichtsvoll wäre, die Tür für die Person, die hinter ihr kommt, offen zu halten.
Wie können Sie Social-Engineering-Angriffe verhindern?
Durch den Einsatz dieser vorbeugenden Maßnahmen haben Sie und Ihre Mitarbeiter die besten Chancen, Social-Engineering-Angriffe zu vermeiden.
Mitarbeiter schulen
Die Hauptursache für die Fehlbarkeit von Mitarbeitern gegenüber Social-Engineering-Angriffen ist Unwissenheit. Um dem Personal beizubringen, wie es auf typische Angriffsversuche reagieren soll, sollten Unternehmen Schulungen zum Sicherheitsbewusstsein anbieten.
Zum Beispiel, was zu tun ist, wenn jemand versucht, einen Mitarbeiter an den Arbeitsplatz zu schleichen oder nach sensiblen Informationen fragt.
Einige der häufigsten Cyberangriffe sind in der folgenden Liste beschrieben:
- DDoS-Angriffe
- Phishing-Angriffe
- Clickjacking-Angriffe
- Ransomware-Angriffe
- Malware-Angriffe
- Wie man auf Tailgating reagiert
Auf Angriffsresistenz prüfen
Führen Sie kontrollierte Social-Engineering-Angriffe auf Ihr Unternehmen durch, um es zu testen. Senden Sie falsche Phishing-E-Mails und tadeln Sie Mitarbeiter, die Anhänge öffnen, auf schädliche Links klicken oder reagieren.
Anstatt als Cybersicherheitsversagen wahrgenommen zu werden, sollten diese Fälle als hochgradig lehrreiche Situationen betrachtet werden.
Betriebssicherheit
OPSEC ist eine Methode zum Erkennen von freundlichem Verhalten, das für einen zukünftigen Angreifer von Vorteil sein könnte. OPSEC kann sensible oder wichtige Daten offenlegen, wenn sie angemessen verarbeitet und mit anderen Daten gruppiert werden.
Sie können die Menge an Informationen begrenzen, die Social Engineers erhalten können, indem Sie OPSEC-Verfahren verwenden.
Finden Sie Datenlecks
Zu wissen, ob Anmeldeinformationen als Ergebnis eines Phishing-Versuchs offengelegt wurden, kann schwierig sein.
Ihr Unternehmen sollte ständig nach Datenlecks und durchgesickerten Zugangsdaten suchen, da einige Phisher Monate oder sogar Jahre brauchen, um die gesammelten Zugangsdaten auszunutzen.
Implementieren Sie die Multi-Faktor-Authentifizierung
Setzen Sie eine mehrstufige Authentifizierungsmethode durch, bei der Benutzer ein Token besitzen, ein Passwort kennen und über ihre biometrischen Daten verfügen müssen, um Zugriff auf kritische Ressourcen zu erhalten.
Implementieren Sie ein Risikomanagementsystem eines Drittanbieters
Bevor Sie neue Anbieter anwerben oder weiterhin mit aktuellen Anbietern zusammenarbeiten, erstellen Sie ein System zum Management der Risiken Dritter, eine Richtlinie zum Anbietermanagement und führen Sie a Cybersicherheitsrisiko Bewertung.
Insbesondere nach dem Verkauf gestohlener Daten im Dark Web ist es wesentlich einfacher, Datenschutzverletzungen zu vermeiden, als sie zu bereinigen.
Finden Sie Software, die das Anbieterrisiko automatisch verwaltet und die Cybersicherheit Ihrer Anbieter regelmäßig verfolgt, einordnet und bewertet.
Ändern Sie Ihre Spam-E-Mail-Einstellungen.
Das Ändern Ihrer E-Mail-Einstellungen ist eine der einfachsten Methoden, um sich vor Social-Engineering-Versuchen zu schützen. Sie können Ihre Spam-Filter verbessern, um Social-Engineering-Betrugs-E-Mails aus Ihrem Posteingang fernzuhalten.
Sie können auch direkt die E-Mail-Adressen von Personen und Organisationen, von denen Sie wissen, dass sie echt sind, zu Ihren digitalen Kontaktlisten hinzufügen – jeder, der vorgibt, sie zu sein, aber in Zukunft eine andere Adresse verwendet, ist höchstwahrscheinlich ein Social Engineer.
Zusammenfassung
Schließlich ist Social Engineering eine ziemlich einfache Technik, die verwendet werden kann, um Betrug, Betrug oder andere Verbrechen zu begehen. Es kann jedem persönlich, telefonisch oder online passieren.
Social Engineers müssen nicht sehr technisch sein; Sie müssen nur in der Lage sein, Sie dazu zu bringen, ihnen private Informationen zu geben.
Es ist ein potenziell katastrophaler Schwindel, da wir alle in Gefahr sind. Soziale Medien haben es Social Engineers auch ermöglicht, raffinierter zu werden, indem sie es ihnen ermöglichen, falsche Konten zu erstellen, die leicht mit echten verwechselt werden können, oder sich sogar als echte Personen auszugeben.
Seien Sie immer vorsichtig, wenn Sie seltsame oder unbekannte Profile in sozialen Medien sehen.
Hinterlassen Sie uns einen Kommentar