Social Engineering oder People Hacking ist ein Begriff, der verwendet wird, um den Akt zu beschreiben, eine Person durch einen Akt der Täuschung auszutricksen. Beispielsweise könnte jemand ein Unternehmen anrufen und einen Mitarbeiter glauben machen, er sei von der IT. Dann könnten sie die Person bitten, ihr Passwort zu bestätigen, damit sie Zugang zum Netzwerk erhält, oder eine Webseite besuchen, um Informationen zu stehlen.
In seinem Buch „Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker“ beschrieb Kevin Mitnick, wie er Social Engineering einsetzte, um sich unbefugten Zugang zu Netzwerken und Telefonsystemen zu verschaffen. Siehe: Welche Computerbücher würden Sie zum Lesen empfehlen?
Beispiele für Social-Engineering
Nachfolgend finden Sie Beispiele dafür, wie jemand Social Engineering nutzen könnte, um sich Zugang zu Ihrem Netzwerk zu verschaffen, vertrauliche Informationen zu stehlen oder etwas kostenlos zu erhalten.
-
Kollege – Vorgeben, ein Kollege zu sein, der Probleme beim Zugriff auf sein Konto hat und Sicherheits-, Anmelde- oder andere Kontodetails benötigt.
-
Gefälschte IT – Gefälschter IT-Support, der aufgrund eines vorgetäuschten Problems oder einer Sicherheitsbedrohung den Fernzugriff auf einen Computer anfordert.
-
Ehepartner vortäuschen – Geben Sie vor, ein Ehepartner zu sein, der ein Unternehmen wegen Problemen beim Zugriff auf das Konto seines Ehepartners anruft und Kontodetails benötigt.
-
Falscher Student – ​​Falscher Student ruft Supportmitarbeiter an und gibt an, dass eine Website nicht funktioniert. Wenn ein Mitarbeiter die vermeintliche Problemseite besucht, sammelt er Computer- und Netzwerkinformationen oder versucht, diesen Computer mit einem Trojaner oder anderer Malware zu infizieren.
-
Gefälschter Kunde – Gefälschter verärgerter Kunde, der sich über Produkte beschwert, die er nicht gekauft hat, und ohne Kaufbeleg eine Rückerstattung oder Entschädigung verlangt.
-
Vorgetäuschter Wartungstechniker – Jemand druckt einen vorgetäuschten Ausweis, der den Anschein erweckt, er sei ein Mechaniker, der zu Besuch kommt, um einen Computer, Drucker, ein Telefon oder ein anderes System zu reparieren. Nachdem sie Zugang zum Gebäude erhalten haben, erhalten sie Zugang zu vertraulichen Dokumenten oder Computern, die ihnen den Zugang zum Netzwerk ermöglichen würden.
-
Gefälschter Client – ​​Eine E-Mail von einem gefälschten Client, der ein Geschäftsangebot mit einem Anhang sendet, der Malware enthält, die verwendet wird, um Fernzugriff zu erlangen.
-
Schädliche USB- oder CD-Sticks – Einen USB-Stick oder eine CD mit Malware mit einem attraktiven Etikett auf einem Firmenparkplatz zurücklassen, damit jemand sie an seinen Computer anschließt. Zum Beispiel ein infiziertes USB-Flash-Laufwerk, auf dem „Gehaltsabrechnung“ steht.
-
Swatting – Vorgeben, jemand in Gefahr zu sein, wenn man die Polizei anruft, um sie dazu zu bringen, das SWAT-Team zu jemandem nach Hause zu schicken.
Verhindern von Social-Engineering-Angriffen
Ausbildung
Alle Mitarbeiter, Mitarbeiter, Studenten oder Familienmitglieder im selben Netzwerk müssen alle potenziellen Bedrohungen kennen, denen sie möglicherweise ausgesetzt sind. Es ist wichtig, dass alle anderen, die möglicherweise über Fernzugriff verfügen, wie z. B. ein externes IT-Unternehmen oder Auftragnehmer, ebenfalls geschult werden.
Sicherheitsmaßnahmen
Die meisten Unternehmen haben (oder sollten) Sicherheitsmaßnahmen, wie z. B. einen Code, der für den Zugriff auf Kontodaten erforderlich ist. Wenn ein Kunde oder jemand, der angibt, der Kunde zu sein, diese Informationen nicht vorweisen kann, sollten ihm die Kontodaten nicht am Telefon mitgeteilt werden. Die Bereitstellung der Informationen zur Vermeidung von Konflikten mit dem Kunden würde dazu führen, dass ein Mitarbeiter sofort seinen Arbeitsplatz verliert.
Seien Sie immer vorsichtig mit dem, was Sie nicht sehen können
Die meisten Social-Engineering-Angriffe erfolgen über Telefon, E-Mail oder andere Kommunikationsformen, die keine persönliche Kommunikation erfordern. Wenn Sie nicht sehen können, mit wem Sie sprechen, gehen Sie davon aus, dass die Person, mit der Sie sprechen, möglicherweise nicht die Person ist, für die sie sich ausgibt.
Sicherheit oder Rezeption
Nicht alle Social-Engineering-Angriffe erfolgen über das Telefon oder das Internet. Ein Angreifer könnte das Unternehmen auch mit einem vorgetäuschten Ausweis oder Ausweis besuchen. Jedes Unternehmen sollte eine Rezeption oder einen Wachmann haben, der sich auch aller Sicherheitsbedrohungen bewusst ist und weiß, dass niemand ohne entsprechende Genehmigung passieren kann. Sie sollten sich auch darüber im Klaren sein, dass die Nichtbeachtung dieser Vorsichtsmaßnahmen (z. B. wenn jemand sagt, er habe seinen Ausweis vergessen) dazu führen würde, dass er seinen Arbeitsplatz verliert.
Es ist auch eine gute Idee, sensiblere Bereiche wie einen Serverraum zu haben, die zusätzliche Sicherheit erfordern, wie z. B. ein Ausweislesegerät, das nur autorisierten Mitarbeitern den Zugang zum Raum ermöglicht. Auch Mitarbeiter, die mit einem Badge Zugang zu einem Gebäude oder Raum haben, sollten sich darüber im Klaren sein, dass auch sie niemandem erlauben sollten, gleichzeitig mit ihnen durch die Tür zu kommen.
Bewahren Sie schließlich alle Zugänge zu einem Gebäude sicher auf. Wenn ein Geschäft beispielsweise eine Rauchertür hat, an der die Leute eine Rauchpause einlegen, sollte sie geschützt und überwacht werden. Jemand könnte vorgeben, ein rauchender Angestellter zu sein, und eintreten, wenn andere Raucher herauskommen.
Fetzen
Manche Leute scheuen sich nicht, in den Müll zu tauchen, um vertrauliche Unternehmensinformationen oder andere Informationen zu finden, die ihnen Zugang zu einem Netzwerk verschaffen würden. Alle Papiere, die Ihre Mitarbeiter wegwerfen, sollten geschreddert werden.
Firmenausrüstung ordnungsgemäß entsorgen
Stellen Sie sicher, dass alle Geräte ordnungsgemäß zerstört oder entsorgt werden. Die meisten Menschen werden erkennen, dass eine Computerfestplatte (selbst wenn sie gelöscht wurde) sensible Daten enthalten kann, die wiederhergestellt werden können. Allerdings wissen nicht viele Menschen, dass Geräte wie Kopierer, Drucker und Faxgeräte auch Speicher enthalten und dass sensible Daten auch von diesen Geräten wiederhergestellt werden können. Wenn Sie nicht der Meinung sind, dass jemand alles liest, was Sie jemals gedruckt, gescannt oder gefaxt haben (wahrscheinlich nicht), entsorgen Sie das Gerät.
Blagging, Computersicherheit, Identität, Sicherheitsbestimmungen, Schultersurfen
