Video: IT Sicherheit #4 - Social Engineering und Phishing 2024
Social Engineering nutzt das schwächste Glied in der Informationssicherheit der Organisation: Menschen. Social Engineering ist "People Hacking" und beinhaltet die böswillige Ausnutzung der vertrauensvollen Natur von Menschen, um Informationen zu erhalten, die zum persönlichen Vorteil genutzt werden können.
Social Engineering ist eine der härtesten Hacks, die es zu begehen gilt, denn es braucht Bravado und Geschick, um einem Fremden gegenüber vertrauenswürdig zu sein. Es ist auch das härteste, gegen das man sich schützen kann, weil Leute involviert sind, die ihre eigenen Sicherheitsentscheidungen treffen.
In einem Social-Engineering-Szenario stellen sich diejenigen mit böser Absicht als jemand anders dar, um Informationen zu erhalten, auf die sie sonst wahrscheinlich nicht zugreifen könnten. Sie nehmen dann die Informationen, die sie von ihren Opfern erhalten, vernichten Netzwerkressourcen, stehlen oder löschen Dateien und unternehmen sogar Spionage oder eine andere Art von Betrug gegen die Organisation, die sie angreifen. Social Engineering unterscheidet sich von körperlichen Sicherheitsvorkehrungen wie Schulter-Surfen und Müllcontainertauchen, aber die beiden Arten des Hackens sind verwandt und werden oft zusammen verwendet.
Hier einige Beispiele für Social Engineering:
-
" Supportpersonal ", das behauptet, dass ein Patch oder eine neue Version der Software auf dem Computer eines Benutzers installiert werden muss. Benutzer in das Herunterladen der Software und erhalten die Fernsteuerung des Systems.
-
" Vendors ", die behaupten, das Buchhaltungspaket oder das Telefonsystem der Organisation aktualisieren zu müssen, das Administratorkennwort abzufragen und vollen Zugriff zu erhalten.
-
" Mitarbeiter " benachrichtigt den Sicherheitsschalter, dass sie ihre Zugangsausweise an das Datenzentrum verloren haben, erhält einen Schlüsselsatz von der Sicherheit und erhält unbefugten Zugriff auf physische und elektronische Information.
-
Phishing-E-Mails , die von Nutzern gesendet werden, um Benutzer-IDs und Passwörter von ahnungslosen Empfängern zu erfassen. Diese Angriffe können generischer Natur sein oder gezielter sein - so genannte Spear-Phishing -Angriffe. Die Kriminellen verwenden diese Passwörter dann, um Malware zu installieren, Zugriff auf das Netzwerk zu erlangen, geistiges Eigentum zu erfassen und vieles mehr.
Manchmal agieren Social Engineers als selbstbewusste und sachkundige Manager oder Führungskräfte. Zu anderen Zeiten könnten sie die Rolle von extrem uninformierten oder naiven Angestellten spielen. Sie könnten sich auch als Außenseiter, wie IT-Berater oder Wartungsarbeiter, ausgeben. Social Engineers können sich gut an ihr Publikum anpassen. Es braucht eine besondere Art von Persönlichkeit, um dies zu erreichen, oft ähnelt sie einem Soziopathen.
Effektive Informationssicherheit - insbesondere die zur Bekämpfung von Social Engineering erforderliche Sicherheit - beginnt und endet oft bei Ihren Nutzern. Vergessen Sie nie, dass grundlegende menschliche Kommunikation und Interaktion zu jeder Zeit einen tiefgreifenden Einfluss auf das Sicherheitsniveau in Ihrer Organisation haben.
Das Süßigkeiten-Sicherheit Sprichwort lautet "Hart, knusprig draussen; weich, innen zäh. "Das harte, knackige Äußere ist die Schicht von Mechanismen - wie Firewalls, Intrusion-Prevention-Systeme und Inhaltsfilterung -, auf die sich Organisationen typischerweise verlassen, um ihre Informationen zu sichern. Das weiche, zähe Innere ist die Menschen und die Prozesse innerhalb der Organisation. Wenn die Bösen an der dicken Außenschicht vorbeikommen, können sie die (meist) wehrlose Innenschicht kompromittieren.
