Zuhause Persönliche Finanzen Wie Social Engineers Informationen für Hacks suchen - Dummies

Wie Social Engineers Informationen für Hacks suchen - Dummies

Inhaltsverzeichnis:

Video: How I hacked online dating | Amy Webb 2025

Video: How I hacked online dating | Amy Webb 2025
Anonim

Sobald Sozialingenieure ein Ziel vor Augen haben, beginnen sie normalerweise mit dem Angriff, indem sie öffentliche Informationen über ihre Opfer sammeln. Viele Social Engineers informieren sich im Laufe der Zeit langsam, um keinen Verdacht zu erregen. Offensichtliche Informationsgewinnung ist ein Hinweis, wenn man sich gegen Social Engineering verteidigt.

Unabhängig von der anfänglichen Recherchemethode, muss ein Hacker in eine Organisation eindringen, sei es eine Mitarbeiterliste, ein paar wichtige interne Telefonnummern, die neuesten Nachrichten von einer Social-Media-Website oder ein Firmenkalender.

Verwenden Sie das Internet

Ein paar Minuten Suche auf Google oder anderen Suchmaschinen, mit einfachen Stichwörtern, wie dem Namen des Unternehmens oder bestimmten Mitarbeitern, produziert oft eine Menge Informationen. Noch mehr Informationen finden Sie in den SEC-Einreichungen an und auf solchen Websites wie Hoover's und Yahoo Finance. Durch die Verwendung dieser Suchmaschineninformationen und das Durchstöbern der Unternehmenswebsite verfügt der Angreifer häufig über genügend Informationen, um einen Social Engineering-Angriff zu starten.

Die Bösen können für eine umfassende Online-Hintergrundüberprüfung von Einzelpersonen nur ein paar Dollar bezahlen. Diese Suchvorgänge können praktisch jede öffentliche - und manchmal auch private - Information über eine Person innerhalb von Minuten aufdecken.

Müllcontainer-Taucher

Müllcontainer-Tauchen ist ein bisschen riskanter - und es ist sicherlich unordentlich. Aber es ist eine sehr effektive Methode, um Informationen zu erhalten. Diese Methode beinhaltet das Durchsuchen von Papierkörben nach Informationen über ein Unternehmen.

Dumpster Diving kann die vertraulichsten Informationen aufdecken, da viele Mitarbeiter davon ausgehen, dass ihre Informationen sicher sind, nachdem sie in den Papierkorb gegangen sind. Die meisten Menschen denken nicht über den potenziellen Wert des Papiers nach, das sie wegwerfen. Diese Dokumente enthalten oft eine Fülle von Informationen, die dem Social Engineer Informationen liefern können, die er benötigt, um in die Organisation einzudringen. Der schlaue Social Engineer sucht nach folgenden gedruckten Dokumenten:

  • Interne Telefonlisten

  • Organigramme

  • Mitarbeiterhandbücher, die häufig Sicherheitsrichtlinien enthalten

  • Netzwerkdiagramme

  • Passwortlisten

  • Besprechungsnotizen > Tabellen und Berichte

  • Ausdrucken von E-Mails, die vertrauliche Informationen enthalten

  • Das Vernichten von Dokumenten ist nur wirksam, wenn das Papier

in winzige Konfetti-Stücke zerschnitten wird. Preiswerte Aktenvernichter, die Dokumente nur in langen Streifen zerkleinern, sind gegen einen entschlossenen Social Engineer grundsätzlich wertlos. Mit etwas Zeit und Tonband kann ein Social Engineer ein Dokument wieder zusammenfügen, wenn es das ist, was er entschlossen ist. Die Bösewichter schauen auch in den Papierkorb nach CD-ROMs und DVDs, alten Computergehäusen (besonders solchen mit intakten Festplatten) und Sicherungsbändern.

Telefonsysteme

Angreifer können Informationen über die in den meisten Voicemail-Systemen integrierten Dial-by-Name-Funktionen abrufen. Um auf diese Funktion zuzugreifen, drücken Sie normalerweise einfach 0, nachdem Sie die Hauptnummer des Unternehmens angerufen haben oder nachdem Sie die Mailbox einer anderen Person aufgerufen haben. Dieser Trick funktioniert am besten nach Stunden, um sicherzustellen, dass niemand antwortet.

Angreifer können ihre Identität schützen, wenn sie sich dort verstecken können, wo sie anrufen. Hier sind einige Möglichkeiten, wie sie ihre Standorte verstecken können:

Privat-Telefone

  • können ihre Nummern manchmal vor der Anrufer-ID verbergen, indem sie vor der Telefonnummer * 67 wählen. Diese Funktion ist nicht wirksam, wenn Sie gebührenfreie Nummern (800, 888, 877, 866) oder 911 anrufen.

    Geschäftstelefone

  • in einem Büro mit einem Telefonschalter sind schwieriger zu fälschen. Der Angreifer benötigt jedoch in der Regel das Benutzerhandbuch und das Administratorkennwort für die Telefonvermittlungssoftware. In vielen Schaltern kann der Angreifer die Quellennummer eingeben - einschließlich einer gefälschten Nummer, wie z. B. die private Telefonnummer des Opfers. Voice over Internet Protocol (VoIP) -Telefonsysteme machen dies jedoch zu einem Nicht-Problem. VoIP Server

  • wie der Open Source Asterisk kann verwendet und konfiguriert werden, um jede gewünschte Nummer zu senden. Phish E-Mails

Die neueste kriminelle Hacker-Verrücktheit ist

Phishing - Kriminelle senden gefälschte E-Mails an potenzielle Opfer, um sensible Informationen preiszugeben oder auf schädliche Links zu klicken. Phishing gibt es schon seit Jahren, aber es hat in letzter Zeit eine größere Sichtbarkeit erhalten, wenn es um hochkarätige Exploits gegen scheinbar undurchdringliche Organisationen geht. Die Effektivität von Phishing ist erstaunlich und die Konsequenzen sind oft hässlich. Ein paar gut platzierte E-Mails sind alles, was Kriminelle brauchen, um Passwörter zu sammeln, vertrauliche Informationen zu stehlen oder Malware in die Zielcomputer zu injizieren.

Sie können Ihre eigene Phishing-Übung durchführen. Eine rudimentäre Methode besteht darin, ein gefälschtes E-Mail-Konto einzurichten, das Informationen oder Verknüpfungen zu einer bösartigen Website anfordert, E-Mails an Mitarbeiter oder andere Benutzer sendet, die Sie testen möchten, und zu sehen, was passiert. Es ist wirklich so einfach.

Sie wären erstaunt, wie anfällig Ihre Nutzer wirklich für diesen Trick sind. Die meisten Phishing-Tests haben eine Erfolgsquote von 10-15 Prozent. Es kann bis zu 80 Prozent betragen. Diese Preise sind nicht gut für die Sicherheit oder für das Geschäft!

Ein formaleres Mittel zur Ausführung Ihrer Phishing-Tests ist die Verwendung eines Tools, das speziell für diese Aufgabe entwickelt wurde. Selbst wenn Sie gute Erfahrungen mit kommerziellen Anbietern haben, müssen Sie lange und gründlich darüber nachdenken, potenziell sensible Informationen aufzugeben, die direkt oder versehentlich an einen anderen Ort geschickt werden könnten, um nie wieder kontrolliert zu werden.

Wenn Sie diesen Weg beschreiten, stellen Sie sicher, dass Sie genau verstehen, was diesen Phishing-Anbietern von Drittanbietern wie bei jedem anderen Cloud-Service-Provider mitgeteilt wird. Vertraue aber verifiziere.

Eine Open-Source-Alternative zu kommerziellen Phishing-Tools ist das Simple Phishing Toolkit, auch bekannt als spt.Das Einrichten einer spt-Projektumgebung ist nicht unbedingt einfach, aber nachdem Sie es eingerichtet haben, kann es erstaunliche Dinge für Ihre Phishing-Initiativen tun.

Sie haben vorinstallierte E-Mail-Vorlagen, die Möglichkeit, Live-Websites

zu scrapen (von einer Seite zu kopieren), damit Sie Ihre eigene Kampagne anpassen können, und verschiedene Berichterstellungsfunktionen. -Mail-Benutzer nehmen den Köder und scheitern an Ihren Tests. Social Engineers können manchmal interessante Informationen finden, zum Beispiel wenn ihre Opfer außerhalb der Stadt sind, indem sie einfach Voicemail-Nachrichten hören. Sie können sogar die Stimmen von Opfern studieren, indem sie sich ihre Voicemail-Nachrichten, Podcasts oder Webcasts anhören, damit sie lernen, diese Personen zu verkörpern.

Wie Social Engineers Informationen für Hacks suchen - Dummies

Die Wahl des Herausgebers

Was Sie über den Makler und die Hauptbeziehung für die Immobilienlizenzprüfung wissen sollten - Dummies

Was Sie über den Makler und die Hauptbeziehung für die Immobilienlizenzprüfung wissen sollten - Dummies

Die Elemente der Verantwortung eines Agenten gegenüber dem Auftraggeber werden in einem Wort zusammengefasst - Treuhänder. Die Immobilienlizenzprüfung wird zweifellos Fragen zu diesen Treuhandpflichten stellen. Treuhänder bedeutet treuer Diener, und ein Agent ist der Treuhänder des Auftraggebers. Der Vertreter vertritt getreu die Interessen des Auftraggebers vor allen anderen ...

Erkennen Miller Analogie Test 1: 3, 2: 4 Analogien - Dummies

Erkennen Miller Analogie Test 1: 3, 2: 4 Analogien - Dummies

The Der Miller Analogies Test (MAT) ist ein standardisierter Test, der normalerweise für die Zulassung von Absolventen verwendet wird. Der Test besteht vollständig aus Analogien. Der Miller Analogies Test verwendet mehrere Analogtypen wie 1: 3, 2: 4. Die Erkennung der Art der verwendeten Analogie spielt eine entscheidende Rolle bei der Auswahl der richtigen Antwort für diese Frage. ...

Erkennen Miller Analogie Test 1: 2, 3: 4 Analogien - Dummies

Erkennen Miller Analogie Test 1: 2, 3: 4 Analogien - Dummies

The Der Miller Analogies Test (MAT) ist ein standardisierter Test, der normalerweise für die Zulassung von Absolventen verwendet wird. Der Test besteht vollständig aus Analogien. Der Miller Analogies Test verwendet mehrere Analogtypen wie 1: 2, 3: 4. Die Erkennung der Art der verwendeten Analogie spielt eine entscheidende Rolle bei der Auswahl der richtigen Antwort für diese Frage. ...

Die Wahl des Herausgebers

Excel-Dashboards und -Berichte: So führen Sie Makros aus - Dummies

Excel-Dashboards und -Berichte: So führen Sie Makros aus - Dummies

Makros sind sehr nützlich für Ihre Excel Dashboards und Berichte. Um Ihre Makros in Aktion zu sehen, wählen Sie den Befehl Makros auf der Registerkarte Entwickler. Das in dieser Abbildung gezeigte Dialogfeld wird angezeigt, in dem Sie das Makro auswählen können, das Sie ausführen möchten. Wählen Sie das AddDataBars-Makro aus, und klicken Sie auf die Schaltfläche Ausführen. Wenn alles gut geht, ...

Excel-Dashboards und Berichte: Halten Sie Ihre Pivot-Tabelle frisch - Dummies

Excel-Dashboards und Berichte: Halten Sie Ihre Pivot-Tabelle frisch - Dummies

So langweilig wie Ihre Pivot-Tabellen Wie es scheint, werden sie schließlich zu den Stars Ihrer Excel-Berichte und Dashboards. Es ist daher wichtig, dass Sie Ihre Pivottabellen frisch und relevant halten. Im Laufe der Zeit können sich Ihre Daten mit neu hinzugefügten Zeilen und Spalten ändern und wachsen. Die Aktion der Aktualisierung Ihrer Pivot-Tabelle mit diesen ...

Excel 2010 Für Dummies Cheat Sheet - Dummies

Excel 2010 Für Dummies Cheat Sheet - Dummies

Auf den ersten Blick kann es schwierig sein, die vielen Menüs zu verstehen , Tabulatoren, Spalten und Zeilen der Excel 2010-Benutzeroberfläche. Dieser Cheat Sheet hilft Ihnen jedoch, Ihren Weg zu navigieren, indem Sie Tastenanschläge für die Bewegung des Zellen-Cursors zu einer neuen Zelle zeigen, einfache Regeln für die Dateneingabe-Etikette, häufige Ursachen einiger ...

Die Wahl des Herausgebers

Verwendung von Web Stats zur Verbesserung Ihrer Website - Dummies

Verwendung von Web Stats zur Verbesserung Ihrer Website - Dummies

Leute mögen nicht langsame Webseiten. Die Verwendung von Webstatistiken kann sicherstellen, dass Sie keine haben. Heutzutage werden wir alle durch schnelle Internetverbindungen verwöhnt, und Forschungsergebnisse zeigen, dass Webnutzer auf eine andere Website klicken, wenn Ihre Website mehr als zwei Sekunden benötigt, um sie zu öffnen. Eine schnellere Site behält mehr Besucher. mit einem langsameren ...

Webhost-Systemsteuerungsoptionen - dummies

Webhost-Systemsteuerungsoptionen - dummies

Sie haben mehrere Optionen für Web gehostete Control Panels. Die beliebteste und offensichtlichste Wahl ist cPanel. cPanel ist aufgrund seiner Balance zwischen Flexibilität und Benutzerfreundlichkeit eine gute Wahl für Bedienfelder. Die Wahl des Bedienfelds ist jedoch eine Frage der persönlichen Vorlieben und Sie müssen eines finden, das am besten passt ...

Zehn Essential Online Web Hosting Ressourcen - Dummies

Zehn Essential Online Web Hosting Ressourcen - Dummies

Bücher sind großartige Referenzen, aber es gibt auch einige wirklich gute Web-Hosting-Ressourcen online verfügbar, um Ihnen zusätzliche Informationen zu geben, wenn Sie nicht finden können, was Sie brauchen. Haben Sie keine Angst, das Internet zu überprüfen. ZeltBlogger. com TentBlogger. com ist im Besitz und geschrieben von John Saddington. Es ist wahrscheinlich die beste Online-Ressource für praktisch alles mit ...