Was ist Social Engineering: Definition, Angriffe

By: Oliver Jones Oliver Jones
Hours Aktualisiert

Was ist Social Engineering? Bedeutet

Social Engineering ist die Kunst, Benutzer eines Computersystems so zu manipulieren, dass sie vertrauliche Informationen preisgeben, die dazu verwendet werden können, sich unbefugten Zugriff auf ein Computersystem zu verschaffen. Der Begriff kann auch Aktivitäten wie die Ausnutzung menschlicher Freundlichkeit, Gier und Neugier umfassen, um Zugang zu Gebäuden mit eingeschränktem Zugang zu erhalten, oder die Benutzer dazu zu bringen, Backdoor-Software zu installieren.

Die Kenntnis der Tricks, mit denen Hacker Benutzer dazu verleiten, wichtige Anmeldeinformationen preiszugeben, ist für den Schutz von Computersystemen von grundlegender Bedeutung.

In diesem Tutorial stellen wir Ihnen die gängigen Social-Engineering-Techniken vor und zeigen Ihnen, wie Sie mit Sicherheitsmaßnahmen dagegen vorgehen können.

Wie funktioniert Social Engineering?

Social-Engineering-Arbeiten

HIER,

  • Informationen sammeln: Dies ist die erste Phase, in der er so viel wie möglich über das beabsichtigte Opfer erfährt. Die Informationen werden auf Unternehmenswebsites, anderen Veröffentlichungen und manchmal durch Gespräche mit den Benutzern des Zielsystems gesammelt.
  • Angriff planen: Der Angreifer legt dar, wie er/sie den Angriff ausführen will
  • Erwerben Sie Werkzeuge: Dazu gehören Computerprogramme, die ein Angreifer zum Starten des Angriffs verwendet.
  • Attacke: Schwachstellen im Zielsystem ausnutzen.
  • Nutzen Sie erworbenes Wissen: Informationen, die während der Social-Engineering-Taktiken gesammelt werden, wie z. B. Kosenamen, Geburtsdaten der Gründer der Organisation usw., werden für Angriffe wie das Erraten von Passwörtern verwendet.

Arten von Social-Engineering-Angriffen

Social-Engineering-Techniken können viele Formen annehmen. Nachfolgend finden Sie eine Liste der häufig verwendeten Techniken.

Vertrautheits-Exploit:

Benutzer sind gegenüber Personen, mit denen sie vertraut sind, weniger misstrauisch. Ein Angreifer kann sich vor dem Social-Engineering-Angriff mit den Benutzern des Zielsystems vertraut machen. Der Angreifer kann mit Benutzern während des Essens interagieren, wenn Benutzer rauchen, an gesellschaftlichen Veranstaltungen usw. teilnehmen, usw. Dadurch wird der Angreifer den Benutzern bekannt. Nehmen wir an, dass der Benutzer in einem Gebäude arbeitet, für dessen Zugang ein Zugangscode oder eine Karte erforderlich ist. Der Angreifer kann den Benutzern folgen, wenn sie solche Orte betreten. Die Benutzer halten dem Angreifer am liebsten die Tür offen, damit sie hineingehen können, da sie damit vertraut sind. Der Angreifer kann auch nach Antworten auf Fragen fragen, beispielsweise nach dem Ort, an dem Sie Ihren Ehepartner kennengelernt haben, nach dem Namen Ihres Mathematiklehrers an der High School usw. Die Wahrscheinlichkeit, dass die Benutzer Antworten preisgeben, ist höher, da sie dem vertrauten Gesicht vertrauen. Diese Informationen könnten dazu genutzt werden E-Mail-Konten hacken und andere Konten, die ähnliche Fragen stellen, wenn man sein Passwort vergisst.

Einschüchternde Umstände:

Menschen neigen dazu, Menschen zu meiden, die andere in ihrer Umgebung einschüchtern. Mit dieser Technik kann der Angreifer vorgeben, am Telefon oder mit einem Komplizen einen hitzigen Streit zu führen. Der Angreifer kann dann Benutzer nach Informationen fragen, die dazu dienen würden, die Sicherheit des Benutzersystems zu gefährden. Die Benutzer geben höchstwahrscheinlich die richtigen Antworten, nur um eine Konfrontation mit dem Angreifer zu vermeiden. Diese Technik kann auch verwendet werden, um eine Kontrolle an einer Sicherheitskontrollstelle zu vermeiden.

Phishing:

Diese Technik nutzt Tricks und Täuschung, um an private Daten von Benutzern zu gelangen. Der Social Engineer versucht möglicherweise, sich als echte Website wie Yahoo auszugeben und bittet dann den ahnungslosen Benutzer, seinen Kontonamen und sein Passwort zu bestätigen. Diese Technik könnte auch verwendet werden, um Kreditkarteninformationen oder andere wertvolle persönliche Daten abzurufen.

Zu dichtes Auffahren:

Bei dieser Technik folgt man Benutzern, wenn diese Sperrbereiche betreten. Aus menschlicher Höflichkeit lässt der Benutzer den Social Engineer höchstwahrscheinlich in den Sperrbereich.

Die menschliche Neugier ausnutzen:

Mit dieser Technik kann der Social Engineer absichtlich eine mit Viren infizierte Flash-Disk in einem Bereich ablegen, wo die Benutzer sie leicht aufheben können. Der Benutzer wird die Flash-Disk höchstwahrscheinlich an den Computer anschließen. Die Flash-Disk kann den Virus automatisch ausführen oder den Benutzer dazu verleiten, eine Datei mit einem Namen wie „Mitarbeiter“ zu öffnen. Revaluation Report 2013.docx, bei dem es sich tatsächlich um eine infizierte Datei handeln könnte.

Ausnutzung der menschlichen Gier:

Mit dieser Technik kann der Social Engineer den Benutzer mit dem Versprechen ködern, online viel Geld zu verdienen, indem er ein Formular ausfüllt und seine Angaben mit Kreditkartendaten usw. bestätigt.

Wie kann man Social-Engineering-Angriffe verhindern?

Hier sind einige wichtige Möglichkeiten zum Schutz vor allen Arten von Social-Engineering-Angriffen:

  • Vermeiden Sie es, einen unbekannten USB-Stick an Ihren Computer anzuschließen.
  • Klicken Sie niemals auf Links in E-Mails oder Nachrichten.
  • Verwenden Sie sichere Passwörter (und einen Passwort-Manager).
  • Verwenden Sie die Multi-Faktor-Authentifizierung.
  • Seien Sie sehr vorsichtig beim Aufbau reiner Online-Freundschaften.
  • Halten Sie Ihre gesamte Software auf dem neuesten Stand.
  • Sichern Sie Ihre Computergeräte.
  • Kaufen Sie Antivirensoftware.
  • Sichern Sie Ihre Daten regelmäßig.
  • Vernichten Sie regelmäßig sensible Dokumente.
  • Verwenden Sie ein VPN.
  • Sperren Sie Ihren Laptop

Social-Engineering-Gegenmaßnahmen

Social-Engineering-Gegenmaßnahmen

Die meisten Techniken, die von Social Engineers eingesetzt werden, beinhalten die Manipulation menschlicher Vorurteile. Um solchen Techniken entgegenzuwirken, kann eine Organisation:

  • Um dem Vertrautheits-Exploit entgegenzuwirken, müssen die Benutzer darin geschult werden, sich nicht mit Sicherheitsmaßnahmen vertraut zu machen. Auch die Personen, mit denen sie vertraut sind, müssen nachweisen, dass sie berechtigt sind, auf bestimmte Bereiche und Informationen zuzugreifen.
  • Um Angriffen unter einschüchternden Umständen entgegenzuwirken, Benutzer müssen darin geschult werden, Social-Engineering-Techniken zu erkennen, die nach sensiblen Informationen suchen, und höflich „Nein“ zu sagen.
  • Um Phishing-Techniken entgegenzuwirken, verwenden die meisten Websites wie Yahoo sichere Verbindungen zu Daten verschlüsseln und beweisen, dass sie die sind, für die sie sich ausgeben. Die Überprüfung der URL kann Ihnen dabei helfen, gefälschte Websites zu erkennen. Antworten Sie nicht auf E-Mails, in denen Sie aufgefordert werden, persönliche Informationen anzugeben..
  • Um Tailgating-Angriffen entgegenzuwirken, Benutzer müssen darin geschult werden, anderen nicht zu gestatten, ihre Sicherheitsfreigabe zu nutzen, um Zutritt zu Sperrbereichen zu erhalten. Jeder Benutzer muss seine eigene Zugangsberechtigung verwenden.
  • Um der menschlichen Neugier entgegenzuwirken, es ist besser, abgeholte Flash-Disks an zu senden Systemadministratoren, die sie auf Viren oder andere Infektionen scannen sollten vorzugsweise auf einer isolierten Maschine.
  • Um Techniken entgegenzuwirken, die die menschliche Gier ausnutzen, Mitarbeiter müssen sein trainiert über die Gefahren, auf solche Betrügereien hereinzufallen.

Zusammenfassung

  • Social Engineering ist die Kunst, die menschlichen Elemente auszunutzen, um Zugang zu nicht autorisierten Ressourcen zu erhalten.
  • Social Engineers verwenden eine Reihe von Techniken, um Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben.
  • Organisationen müssen über Sicherheitsrichtlinien verfügen, die Social-Engineering-Gegenmaßnahmen beinhalten.

Du magst vielleicht: