Inhaltsverzeichnis:
- Verwenden Sie das Internet
- Müllcontainer-Taucher
- Angreifer können Informationen über die in den meisten Voicemail-Systemen integrierten Dial-by-Name-Funktionen abrufen. Um auf diese Funktion zuzugreifen, drücken Sie normalerweise einfach 0, nachdem Sie die Hauptnummer des Unternehmens angerufen haben oder nachdem Sie die Mailbox einer anderen Person aufgerufen haben. Dieser Trick funktioniert am besten nach Stunden, um sicherzustellen, dass niemand antwortet.
- Die neueste kriminelle Hacker-Verrücktheit ist
Video: How I hacked online dating | Amy Webb 2024
Sobald Sozialingenieure ein Ziel vor Augen haben, beginnen sie normalerweise mit dem Angriff, indem sie öffentliche Informationen über ihre Opfer sammeln. Viele Social Engineers informieren sich im Laufe der Zeit langsam, um keinen Verdacht zu erregen. Offensichtliche Informationsgewinnung ist ein Hinweis, wenn man sich gegen Social Engineering verteidigt.
Unabhängig von der anfänglichen Recherchemethode, muss ein Hacker in eine Organisation eindringen, sei es eine Mitarbeiterliste, ein paar wichtige interne Telefonnummern, die neuesten Nachrichten von einer Social-Media-Website oder ein Firmenkalender.
Verwenden Sie das Internet
Ein paar Minuten Suche auf Google oder anderen Suchmaschinen, mit einfachen Stichwörtern, wie dem Namen des Unternehmens oder bestimmten Mitarbeitern, produziert oft eine Menge Informationen. Noch mehr Informationen finden Sie in den SEC-Einreichungen an und auf solchen Websites wie Hoover's und Yahoo Finance. Durch die Verwendung dieser Suchmaschineninformationen und das Durchstöbern der Unternehmenswebsite verfügt der Angreifer häufig über genügend Informationen, um einen Social Engineering-Angriff zu starten.
Die Bösen können für eine umfassende Online-Hintergrundüberprüfung von Einzelpersonen nur ein paar Dollar bezahlen. Diese Suchvorgänge können praktisch jede öffentliche - und manchmal auch private - Information über eine Person innerhalb von Minuten aufdecken.
Müllcontainer-Taucher
Müllcontainer-Tauchen ist ein bisschen riskanter - und es ist sicherlich unordentlich. Aber es ist eine sehr effektive Methode, um Informationen zu erhalten. Diese Methode beinhaltet das Durchsuchen von Papierkörben nach Informationen über ein Unternehmen.
Dumpster Diving kann die vertraulichsten Informationen aufdecken, da viele Mitarbeiter davon ausgehen, dass ihre Informationen sicher sind, nachdem sie in den Papierkorb gegangen sind. Die meisten Menschen denken nicht über den potenziellen Wert des Papiers nach, das sie wegwerfen. Diese Dokumente enthalten oft eine Fülle von Informationen, die dem Social Engineer Informationen liefern können, die er benötigt, um in die Organisation einzudringen. Der schlaue Social Engineer sucht nach folgenden gedruckten Dokumenten:
-
Interne Telefonlisten
-
Organigramme
-
Mitarbeiterhandbücher, die häufig Sicherheitsrichtlinien enthalten
-
Netzwerkdiagramme
-
Passwortlisten
-
Besprechungsnotizen > Tabellen und Berichte
-
Ausdrucken von E-Mails, die vertrauliche Informationen enthalten
-
Das Vernichten von Dokumenten ist nur wirksam, wenn das Papier
in winzige Konfetti-Stücke zerschnitten wird. Preiswerte Aktenvernichter, die Dokumente nur in langen Streifen zerkleinern, sind gegen einen entschlossenen Social Engineer grundsätzlich wertlos. Mit etwas Zeit und Tonband kann ein Social Engineer ein Dokument wieder zusammenfügen, wenn es das ist, was er entschlossen ist. Die Bösewichter schauen auch in den Papierkorb nach CD-ROMs und DVDs, alten Computergehäusen (besonders solchen mit intakten Festplatten) und Sicherungsbändern.
Telefonsysteme
Angreifer können Informationen über die in den meisten Voicemail-Systemen integrierten Dial-by-Name-Funktionen abrufen. Um auf diese Funktion zuzugreifen, drücken Sie normalerweise einfach 0, nachdem Sie die Hauptnummer des Unternehmens angerufen haben oder nachdem Sie die Mailbox einer anderen Person aufgerufen haben. Dieser Trick funktioniert am besten nach Stunden, um sicherzustellen, dass niemand antwortet.
Angreifer können ihre Identität schützen, wenn sie sich dort verstecken können, wo sie anrufen. Hier sind einige Möglichkeiten, wie sie ihre Standorte verstecken können:
Privat-Telefone
-
können ihre Nummern manchmal vor der Anrufer-ID verbergen, indem sie vor der Telefonnummer * 67 wählen. Diese Funktion ist nicht wirksam, wenn Sie gebührenfreie Nummern (800, 888, 877, 866) oder 911 anrufen.
Geschäftstelefone
-
in einem Büro mit einem Telefonschalter sind schwieriger zu fälschen. Der Angreifer benötigt jedoch in der Regel das Benutzerhandbuch und das Administratorkennwort für die Telefonvermittlungssoftware. In vielen Schaltern kann der Angreifer die Quellennummer eingeben - einschließlich einer gefälschten Nummer, wie z. B. die private Telefonnummer des Opfers. Voice over Internet Protocol (VoIP) -Telefonsysteme machen dies jedoch zu einem Nicht-Problem. VoIP Server
-
wie der Open Source Asterisk kann verwendet und konfiguriert werden, um jede gewünschte Nummer zu senden. Phish E-Mails
Die neueste kriminelle Hacker-Verrücktheit ist
Phishing - Kriminelle senden gefälschte E-Mails an potenzielle Opfer, um sensible Informationen preiszugeben oder auf schädliche Links zu klicken. Phishing gibt es schon seit Jahren, aber es hat in letzter Zeit eine größere Sichtbarkeit erhalten, wenn es um hochkarätige Exploits gegen scheinbar undurchdringliche Organisationen geht. Die Effektivität von Phishing ist erstaunlich und die Konsequenzen sind oft hässlich. Ein paar gut platzierte E-Mails sind alles, was Kriminelle brauchen, um Passwörter zu sammeln, vertrauliche Informationen zu stehlen oder Malware in die Zielcomputer zu injizieren.
Sie können Ihre eigene Phishing-Übung durchführen. Eine rudimentäre Methode besteht darin, ein gefälschtes E-Mail-Konto einzurichten, das Informationen oder Verknüpfungen zu einer bösartigen Website anfordert, E-Mails an Mitarbeiter oder andere Benutzer sendet, die Sie testen möchten, und zu sehen, was passiert. Es ist wirklich so einfach.
Sie wären erstaunt, wie anfällig Ihre Nutzer wirklich für diesen Trick sind. Die meisten Phishing-Tests haben eine Erfolgsquote von 10-15 Prozent. Es kann bis zu 80 Prozent betragen. Diese Preise sind nicht gut für die Sicherheit oder für das Geschäft!
Ein formaleres Mittel zur Ausführung Ihrer Phishing-Tests ist die Verwendung eines Tools, das speziell für diese Aufgabe entwickelt wurde. Selbst wenn Sie gute Erfahrungen mit kommerziellen Anbietern haben, müssen Sie lange und gründlich darüber nachdenken, potenziell sensible Informationen aufzugeben, die direkt oder versehentlich an einen anderen Ort geschickt werden könnten, um nie wieder kontrolliert zu werden.
Wenn Sie diesen Weg beschreiten, stellen Sie sicher, dass Sie genau verstehen, was diesen Phishing-Anbietern von Drittanbietern wie bei jedem anderen Cloud-Service-Provider mitgeteilt wird. Vertraue aber verifiziere.
Eine Open-Source-Alternative zu kommerziellen Phishing-Tools ist das Simple Phishing Toolkit, auch bekannt als spt.Das Einrichten einer spt-Projektumgebung ist nicht unbedingt einfach, aber nachdem Sie es eingerichtet haben, kann es erstaunliche Dinge für Ihre Phishing-Initiativen tun.
Sie haben vorinstallierte E-Mail-Vorlagen, die Möglichkeit, Live-Websites
zu scrapen (von einer Seite zu kopieren), damit Sie Ihre eigene Kampagne anpassen können, und verschiedene Berichterstellungsfunktionen. -Mail-Benutzer nehmen den Köder und scheitern an Ihren Tests. Social Engineers können manchmal interessante Informationen finden, zum Beispiel wenn ihre Opfer außerhalb der Stadt sind, indem sie einfach Voicemail-Nachrichten hören. Sie können sogar die Stimmen von Opfern studieren, indem sie sich ihre Voicemail-Nachrichten, Podcasts oder Webcasts anhören, damit sie lernen, diese Personen zu verkörpern.
