Was ist Social Engineering? | Angriffe | Verhütung


Da ich die Hälfte meines Lebens als Journalist für Cybersicherheit verbracht habe, war Social Engineering der Kern meiner Arbeit. Jetzt habe ich es verstanden! Sie alle müssen sich fragen: „Social Engineering und Cybersicherheit? Das klang nach einer Sache zur Unterstützung der Sozialarbeit! Was muss das mit Cyberkriminalität zu tun haben? “

Ja, hatten Sie jemals einen Malware-Angriff, indem Sie beim Surfen im Internet auf hinterhältige Popups geklickt haben? Ja, das ist Social Engineering! Nicht sehr unterstützend, ja?

Bevor ich mit irgendetwas fortfahre, möchte ich erklären, was Social Engineering ist.

Was ist Social Engineering??

Social Engineering ist bekannt als die Kunst, jemanden psychologisch zu manipulieren, um seine privaten Informationen preiszugeben. Ein Sozialingenieur arbeitet daran, die grundlegende menschliche Natur auszunutzen und spielt mit den Instinkten des Opfers.

Es ist die beliebteste Methode zum Hacken unter Kriminellen, da es viel einfacher ist, die Schwächen einer Person zu manipulieren, als in ein Softwaresystem einzudringen.

Wie könnte ein Social Engineer auf Sie einwirken??

Nachdem festgestellt wurde, dass Social Engineering durch das Spielen mit den allgemeinen Instinkten einer Person funktioniert, ist hier der Denkanstoß, wie ein Social Engineering einen Angriff orchestrieren kann?

Erinnerst du dich an den berühmten Film “The Sting”? Der eine von zwei Betrügern (Vertrauensmännern), die Wege finden, um einen Multimillionärs-Gangster (Mark) zu betrügen?

Die beiden orchestrieren ein ausgeklügeltes Schema, in dem sie die allgemeinen Informationen verwenden, die sie über den Gangster wussten. Sie nutzten diese Informationen weiter, um sein Vertrauen durch verschiedene Possen zu gewinnen.

Die Filme spielen damit, dass Mark den beiden Betrügern vertraut, und die beiden Betrüger betrügen ihn schließlich.

Ähnlich wie im Film dargestellt, arbeitet ein Social Engineer genau so mit einigen Taktiken, um einen Angriff zu organisieren. Die wichtigste Aufgabe besteht darin, Informationen über das Ziel zu recherchieren und zu sammeln.

Da diese Angriffe in der Regel auf große Unternehmen gerichtet sind, beginnt die Planung mit der Untersuchung der Mitarbeiterstruktur des Unternehmens, der internen Angelegenheiten, der Arbeitsweise des Unternehmens, der Geschäftspartner, der Aktionäre sowie einiger anderer Informationen.

Eine andere Möglichkeit, wie ein Sozialingenieur ein Unternehmen infiltrieren kann, besteht darin, seine Mitarbeiter am Boden wie die Sicherheitskräfte oder die Rezeptionisten zu untersuchen und zu beobachten.

Hacker können sie auch in sozialen Medien nachschlagen und alle ihre persönlichen Informationen abrufen sowie ihr Verhalten online und persönlich untersuchen.

Diese Informationen werden dann verwendet, um die Fehler und Schwachstellen herauszufinden, die zur Durchführung des Angriffs verwendet werden können.

Diese Angriffe können verwendet werden, um Debitkarteninformationen, Bankkontodaten und andere vertrauliche Informationen herauszufinden, oder um Zugriff auf sichere Systeme und Netzwerke zu erhalten.

6 Gesichter eines Social-Engineering-Angriffs

Ein Social-Engineering-Angriff erfolgt auf verschiedene Weise und kann überall dort stattfinden, wo menschliche Interaktion stattfindet. Hier habe ich sechs Arten von Social-Engineering-Angriffen erwähnt, um Ihnen das Erkennen möglicher Angriffe zu erleichtern:

1. Phishing

Phishing ist die am häufigsten verwendete Methode und richtet sich an eine große Zielgruppe. Dabei werden E-Mails mit einer gefälschten oder einer rechtmäßigen E-Mail-Adresse gesendet. Es kann auch authentische Unternehmensinformationen enthalten.

Die E-Mail kann einen Link, ein Dokument oder Dateien mit Malware enthalten, die das Gerät infizieren, sobald der Benutzer darauf klickt. Phishing-Angriffe werden verwendet, um vertrauliche Benutzerinformationen wie Kreditkarteninformationen, Benutzernamen, Passwörter, Bankkontodaten usw. Zu erhalten.

2. Spear Phishing

Diese Technik beinhaltet die Ausrichtung auf eine bestimmte Person oder ein bestimmtes Unternehmen. Der Hacktivist entwirft dann die E-Mails gemäß den Merkmalen, Stellenbeschreibungen und Kontakten des Opfers, so dass der Angriff prätentiös erscheint.

Spear Phishing ist relativ technisch und erfordert viel Arbeit von der Person, die diesen Angriff ausführen muss. Manchmal kann es Wochen oder Monate dauern, bis es gründlich durchgearbeitet ist. Diese Angriffe sind, wenn sie geschickt durchgeführt werden, schwer zu erkennen und oft erfolgreich.

Ein Beispiel für Spear Phishing kann ein Hacker sein, der sich als CEO eines Unternehmens ausgibt. Er könnte eine E-Mail erstellen, um sie wie eine E-Mail des CEO erscheinen zu lassen, und sie an den Leiter der Finanzabteilung senden, um die Überweisung von Geld auf ein falsches Konto zu fordern.

Die E-Mail wurde sorgfältig ausgearbeitet, um sie originell erscheinen zu lassen, was viel Zeit und harte Arbeit erfordert.

3. Vishing

Dies ist die Gesangsversion von Phishing. Die Arbeit hier ist nicht unbedingt online und erfolgt über Voicemail, VoIP (Voice over IP) oder Festnetz oder Mobiltelefon.

Der Zweck hier ist der gleiche, obwohl es einen Unterschied in den Methoden gibt. Genau wie beim Phishing werden damit vertrauliche Informationen eines Opfers extrahiert.

In einem Vishing-Szenario kann ein Opfer eine Sprachnachricht erhalten, in der festgelegt wird, dass verdächtige Aktivitäten auf dem Kreditkartenkonto, dem Bankkonto usw. Stattgefunden haben.

Das Opfer wird aufgefordert, eine bestimmte Nummer anzurufen, unter der es aufgefordert wird, weitere Informationen im Namen der “Identitätsprüfung” einzugeben oder “sicherzustellen, dass der Betrug nicht aufgetreten ist”.

Vishing ist besonders unauffindbar und wird häufig an ausländischen Nummern durchgeführt, wodurch die Strafverfolgung machtlos wird.

4. Vorwand

Eine Reihe sorgfältig ausgearbeiteter Lügen wird verwendet, um diese Methode durchzuführen. Das Opfer wird vom Angreifer belogen, um persönliche Informationen zu erhalten.

Der Vorwandler beginnt damit, das Vertrauen des Opfers zu gewinnen, indem er als Mitarbeiter, Bankangestellter, Polizeibeamter oder Autoritätsperson handelt, auf die sich eine Person verlassen kann.

Es werden scheinbar wesentliche Fragen gestellt, die zur Bestätigung der Identität einer Person erforderlich sind, was dazu führt, dass das Opfer die meisten wichtigen Daten eingibt.

Durch diesen Betrug kann der Angreifer alle möglichen relevanten Informationen wie Sozialversicherungsnummer, Bankkontodaten, persönliche Adressen, Sicherheitsdaten usw. Erfassen.

5. Ködern

Schon mal angeln gegangen? Ja, während Sie einen Fisch fangen, werfen Sie ihn mit einem Wurm in die Schnur und warten dann, bis der Fisch kommt. Genau das ist Köder.

Ähnlich wie in der Cyberwelt, wenn der Name andeutet, werden falsche Versprechungen verwendet, um das Interesse einer Person zu wecken. Sobald es dem Verbrecher gelingt, ihre Interessen zu erfassen, lockt er sie an und fängt sie in einem Web auf, das ihre persönlichen Informationen stiehlt oder sie mit Malware infiziert.

In der Regel verwenden Kriminelle die physischen Medien, um Malware zu verbreiten. Dies ist die gröbste Form des Köderns. Ein mit Malware infiziertes USB- oder Flash-Laufwerk befindet sich an einer auffälligen Stelle, an der ein Opfer darauf stoßen muss.

Es kann sich in einem Badezimmer, einem Aufzug, einem Parkplatz einer Opferfirma usw. befinden. Der Ingenieur stellt den Köder so her, dass er eingängig und authentisch aussieht, da seine Hauptfunktion darin besteht, ein Opfer anzuziehen.

Es könnte ein Etikett mit einer Liste von Mitarbeitern enthalten, die befördert werden sollen, oder die Gehaltsliste des Unternehmens usw. Das Opfer greift aus Neugier nach dem Köder und fügt ihn in einen Computer ein. Sobald das Opfer das Flash-Laufwerk oder den USB-Stick betreten hat, hat es begonnen, die Malware herunterzuladen und zu installieren. Auf diese Weise ist der Köderangriff erfolgreich.

Eine andere Art des Köderns ist die Online-Methode. Dies beinhaltet ein Opfer, das auf eingängige Werbung oder Popup-Links klickt, die zu Malware-Infektionen oder Informationsdiebstahl führen.

6. Scareware

Die Scareware-Methode beinhaltet wieder Lügen. Das Opfer wird ständig zu Fehlalarmen und gefälschten Bedrohungen aufgefordert. Dies täuscht ihn vor, dass auf dem Computer Malware oder illegale Inhalte heruntergeladen wurden.

Der Hacker bietet dem Opfer dann eine Lösung, mit der das falsche Problem versehentlich behoben werden kann. Diese dem Opfer angebotene „Lösung“ ist jedoch in Wirklichkeit eine Malware, die der Benutzer installiert.

Scareware-Angriffe erfolgen normalerweise in Form von Popups, die Sie häufig online mit beängstigenden Texten wie “Ihr Gerät ist möglicherweise infiziert” finden. Diese Popups bieten weiterhin das Herunterladen eines Tools an, bei dem es sich in Wirklichkeit um eine Malware handelt, die zur Infektion Ihres Geräts freigegeben wurde.

Das Tool kann auch eine nutzlose Anwendung sein, und der Benutzer erhält nur die Eingabeaufforderungen, damit er es herunterlädt und die Möglichkeit erhält, seine Daten zu stehlen.

Abgesehen von Popup-Links wird Scareware auch über die Verwendung von Spam-E-Mails verbreitet, die mit falschen Warnungen versehen sind oder Benutzer zum Kauf nutzloser oder schädlicher Dienste auffordern.

5 Möglichkeiten, Social Engineering zu verhindern

Social-Engineering-Angriffe sind heutzutage weit verbreitet, weshalb es etwas wichtig ist, sich vor ihnen zu schützen. Ich habe mir erlaubt, eine Liste von Möglichkeiten zusammenzustellen, mit denen Sie vor Social-Engineering-Angriffen geschützt bleiben können:

Verwenden Sie aktualisierte Antiviren- / Anti-Malware-Programme

Antivirale und Anti-Malware-Software schützen Ihr Gerät. Es ist jedoch besonders wichtig, dass Ihre antivirale und Anti-Malware-Software regelmäßig aktualisiert wird.

Wenn der Benutzer die Software regelmäßig aktualisiert, bietet dies einen besseren Schutz. Sie sollten Ihr Gerät auch regelmäßig scannen, um noch besser geschützt zu bleiben.

Öffnen Sie keine E-Mails aus unbekannten Quellen

Das häufigste Tor zu Social-Engineering-Angriffen sind E-Mails. Es ist besser, wachsam zu bleiben und E-Mails oder Anhänge von unentdeckten Ressourcen fernzuhalten.

E-Mail-Spoofing ist sehr verbreitet. Aus diesem Grund ist es besser, nicht auf unbekannte E-Mails zu antworten oder von ihnen gesendete Anhänge zu öffnen. Es ist besser, die von versteckten Ressourcen empfangene Nachricht zu überprüfen.

Darüber hinaus ist es besser, wachsam zu bleiben und keine Anhänge zu öffnen, die für Sie verdächtig erscheinen, da sie möglicherweise Malware oder Viren enthalten.

Bleib gebildet und erziehe

Wir leben in einer schnelllebigen Welt, die sich ständig weiterentwickelt. Mit Fortschritten in allen Bereichen werden auch die Hacking-Methoden regelmäßig aktualisiert. In diesem Sinne ist es besser, über die Werbeaktionen auf dem Laufenden zu bleiben.

Da Social-Engineering-Angriffe auch auf Unternehmen abzielen können, ist es außerdem besser, Ihre Mitarbeiter zu schulen. Dies kann es den Mitarbeitern ermöglichen, wachsam zu bleiben und Ihr Unternehmen bleibt geschützt.

Achten Sie auf Ihre Privatsphäre

Seien Sie vorsichtig, bevor Sie auf Anfragen nach Passwörtern oder anderen persönlichen Informationen antworten. Es ist besser, die Quelle erneut zu durchsuchen, bevor Sie antworten.

Quellen, die nach Passwörtern oder anderen persönlichen Informationen fragen, sind häufig Betrug. Daher ist es besser, sich von ihnen fernzuhalten oder Ressourcen zu überprüfen, bevor Sie antworten.

Seien Sie vorsichtig bei Angeboten für Hilfe

Sozialingenieure stellen sich häufig als technische Support-Mitarbeiter vor, um mit Malware in Ihr Gerät einzudringen oder Ihre persönlichen Daten zu stehlen. Manchmal bitten sie Sie um Unterstützung, um Informationen zu erhalten oder um Hilfe anzubieten.

Wenn Sie nicht um Hilfe gebeten haben, ist es besser, auf solche Anfragen nicht zu antworten. Es ist auch sicher, von einer vertrauenswürdigen Quelle aus zu überprüfen. Machen Sie Ihre Recherchen, bevor Sie persönliche Informationen versenden.

Nun bewusst?

Nachdem Sie aufschlussreiche Informationen zu den Präventionstipps erhalten haben, ist es besser, sich von diesen Angriffen fernzuhalten. Sie können jetzt an den Präventionstipps arbeiten, um so sicher wie möglich zu bleiben! Datenschutz ist bei dieser Arbeit besonders wichtig, und Sie sollten daran arbeiten, wie Sie ihn schützen können.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me