Common Social Engineering Angriffstaktiken und wie man sie verhindert
Wenn Sie Hacker im Fernsehen sehen, sind sie immer digitale Experten. Sie tippen aggressiv auf Tastaturen in abgedunkelten Räumen, zerstören Firewalls und infiltrieren Netzwerke, indem sie Computercode knacken und Sicherheitsprotokolle brechen. Wie Sie sich denken können, hat dies wenig damit zu tun, was erfolgreiche Hacker tun. Viele moderne Hacker greifen nicht einmal primär Computer an. Stattdessen greifen sie Menschen an und überwinden Sicherheitsschwierigkeiten durch Social-Engineering-Angriffstechniken.
Social Engineering ist eine ruchlose Technik, die von Betrügern benutzt wird, um Ihr Vertrauen zu gewinnen. Indem sie vertrauenswürdige Quellen nachahmen und die menschliche Psychologie ausnutzen, manipulieren Hacker Sie dazu, vertrauliche Informationen frei zu verbreiten. Durch das Erlernen einiger gängiger Social-Engineering-Angriffe und deren Vermeidung können Sie sich davor bewahren, Opfer zu werden.
Phishing-Angriffe
Phishing-Angriffe sind bei weitem die häufigste Form von Social-Engineering-Angriffen. Am häufigsten ahmt ein Angreifer eine E-Mail von einer vertrauenswürdigen Partei nach. Zum Beispiel könnten sie eine E-Mail erstellen, die eine Nachricht von Ihrer Bank nachahmt. Diese E-Mail könnte genau wie die E-Mails Ihrer Bank aussehen und möglicherweise von einer E-Mail-Adresse Ihrer Bank stammen. Aber wenn Sie die Aktion ausführen, die die E-Mail verlangt, um Ihr Konto freizuschalten, werden Sie direkt in die Hände des Angreifers gelangen. Außerdem werden gefälschte E-Mails angezeigt, die angeblich von einem persönlichen Kontakt stammen und Sie auffordern, einen Google Drive-Link zu besuchen.
Zur Bekämpfung von Phishing-Angriffen überprüfen Sie verdächtige E-Mails über einen separaten Kommunikationskanal. Wenn Sie eine E-Mail von Ihrer Bank erhalten, in der Sie gebeten werden, sich an sie zu wenden, verwenden Sie nicht die in der E-Mail enthaltenen Informationen. Suchen Sie stattdessen die Telefonnummer Ihrer Bank auf ihrer offiziellen Website und rufen Sie sie an, um die Richtigkeit der Kommunikation zu bestätigen. Wenn Sie eine ungewöhnliche E-Mail von einem Freund oder Kollegen erhalten, senden Sie ihm eine separate E-Mail oder rufen Sie sie an, um sicherzustellen, dass die E-Mail-Adresse legitim ist.
Wasserlochangriffe
Bewässerungslochangriffe sind subtiler als Phishingangriffe. Sie sind auf das Einbetten von Malware auf einer ansonsten vertrauenswürdigen Website angewiesen, die das Ziel bereits besucht. Dies beginnt mit einem technischen Exploit im Code der Webseite, aber es ist nur erfolgreich, wenn das Opfer auf einen vergifteten Link klickt. Es ist ein harter Angriff, vor dem Sie sich schützen müssen, aber es beruht auf der Tendenz des Benutzers, ansonsten verdächtigen Informationen zu vertrauen, wenn es auf einer vertrauenswürdigen Seite erscheint. Es hilft, verdächtige Inhalte zu erkennen, egal wo Sie sie sehen.
Vortexen
Bei Angriffen vor dem Angriff erstellen Angreifer ein falsches Szenario, das dazu dient, Ziele dahingehend zu manipulieren, dass sie Informationen aufgeben. Eine übliche Technik besteht darin, dass Angreifer Informationen anfordern, um Ihre Identität zu bestätigen. Fortgeschrittene Versionen dieses Angriffs könnten Opfer sogar dazu verleiten, Maßnahmen zu ergreifen, die es Hackern ermöglichen, auf ein gesichertes Netzwerk zuzugreifen.
In der Regel sollten Sie niemandem, der Sie unerwartet anruft oder Ihnen E-Mails sendet, vertrauliche Informationen geben und bei Fremden respektvolle Vorsicht walten lassen. Wenn Sie in Ihrem Job vertrauliche Informationen senden müssen, achten Sie darauf, dass Sie die Unternehmensprotokolle genau befolgen: Sie sind in der Regel darauf ausgelegt, vor diesen Szenarien zu schützen. Angreifer verlassen sich darauf, dass du die Regeln verbiegst.
Zu dichtes Auffahren
Tailgating-Angriffe hängen davon ab, wie schnell die meisten Menschen Vertrauen aufbauen, um Zugang zu physischen Standorten zu erhalten. Indem sie freundliche Gespräche führen und sich so verhalten, wie sie sind, können sich Angreifer in gesicherte Bereiche hineinreden. Gewöhnliche Geschichten beinhalten verlorene Schlüsselkarten oder, noch besser, technische Unterstützung, die vom oberen Management angefordert wird. Der Name kommt von der rudimentärsten Form der Technik, bei der Angreifer einen eingeschränkten Ort durchbrechen, indem sie dicht hinter einer autorisierten Person folgen.
Seien Sie höflich vorsichtig bei der Identität aller Fremden und helfen Sie niemals Fremden, auf einen sicheren Ort zuzugreifen, auch wenn sie legitim erscheinen. Dies gilt auch für unerwartete Mechaniker oder Hilfskräfte.
Köder
Angreifer "ködern" manchmal Individuen, indem sie ihnen etwas anbieten, das sie wollen. Zum Beispiel bieten Angreifer kostenlose Musik-, Film- oder Pornografie-Downloads an. Diese Downloads enthalten natürlich schädliche Programme. Sie finden dies häufig in illegalen Torrents oder anderen Downloads, die das Urheberrecht untergraben. Weil Ziele den Köder wollen, werden sie selbst gegenüber offensichtlich bösartigen Programmen nicht so verdächtig sein. Angreifer können auch mysteriöse USB-Laufwerke herumliegen lassen, in der Hoffnung, dass eine neugierige Seele einen in ihren Computer einsteckt und es der automatisch laufenden Malware ermöglicht, ihre Nutzlast zu entladen.
Hinterfragen Sie immer Geschäfte, die zu gut scheinen, um wahr zu sein. Laden Sie niemals kostenlose Musik oder Filme herunter und beziehen Sie Ihr erwachsenes Material von seriösen Quellen. Und wenn Sie ein mysteriöses Gerät an Ihren Computer anschließen, verdienen Sie, was immer Sie bekommen.
Fazit
Sie können sich vor den meisten Social-Engineering-Angriffen durch Verlangsamen und Nachdenken schützen, bevor Sie handeln. Sei freundlich, aber vorsichtig mit Fremden, die sogar harmlose Informationen verlangen, und erhöhe deine allgemeine Verdächtigung. Glauben Sie nicht einer Geschichte, nur weil es gut klingt oder die Quelle glaubwürdig aussieht. Und natürlich niemals vertrauliche Informationen oder Zugang zu diesen Informationen für unbekannte Parteien.
Bildnachweis: Crackers, Conversation