Version vom 25. Juni 2022, 09:55 Uhr

Grundlegendes

Social Engineering nennt man zwischenmenschliche Beeinflussungen
Ziel ist es Personen bestimmte Verhaltensweisen hervorzurufen
Beispiel zur Preisgabe von vertraulichen Informationen
Zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.
Social Engineers spionieren das persönliche Umfeld ihres Opfers aus
Sie täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus
Dies geschieht um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen.
Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem
Werden dann vertrauliche Daten eingesehen spricht man dann auch von Social Hacking

Social-Engineering-Varianten

Baiting

Bei dieser Methode legt der Angreifer einen Köder aus, beispielsweise in Form eines USB-Sticks mit vorinstallierter Malware.
Sobald jemand den Stick aus Neugier an einem System anschließt, wird es kompromittiert.
Es gibt sogar einen USB-Stick, der Computer schwer beschädigen oder völlig zerstören kann:
Das Gerät zieht eine gewisse Strommenge über den USB-Anschluss und gibt sie dann in einem einzigen hohen Stromstoß wieder an das System ab.
Ein solches Gerät ist schon für 54 $ zu haben.

Pretexting

Bei dieser Methode versuchen Angreifer unter einem Vorwand, das Vertrauen ihres Opfers zu gewinnen und es zur Herausgabe von Informationen zu bewegen.
Ein solcher Vorwand kann zum Beispiel eine Internetumfrage sein, die zunächst harmlos erscheint, dann aber Bankdaten abfragt.
Manche Hacker sind dreist genug, sich vor Ort in Unternehmen als Systemprüfer auszugeben, um gutgläubigen Mitarbeitern wertvolle Informationen zu entlocken.

Phishing

Bei Phishing-Angriffen werden im Namen vertrauenswürdiger Quellen gefälschte E-Mails oder Textnachrichten verschickt, in denen die Empfänger nach Informationen gefragt werden.
Sehr häufig geben sich Kriminelle als Bank aus und fordern Kunden zur Bestätigung ihrer Sicherheitsinformationen auf.
Die Opfer landen auf einer gefälschten Website, wo ihre Anmeldedaten aufgezeichnet werden.
Beim sogenannten Spear Phishing konzentrieren sich die Angreifer auf eine bestimmte Person innerhalb eines Unternehmens.
Sie erhält eine gefälschte E-Mail, in der ein Vorgesetzter sich nach vertraulichen Informationen erkundigt.

Vishing und Smishing

Diese Angriffsmethoden sind Varianten des Phishing: Beim Voice Phishing werden Sie telefonisch um Informationen gebeten.
Häufig geben sich die Kriminellen als Kollegen aus, beispielsweise als Mitarbeiter des IT-Helpdesk, die Ihre Anmeldedaten benötigen.
Smishing funktioniert nach demselben Prinzip, nutzt aber SMS.

Quid-pro-Quo

Tausch ist kein Raub – dieses Sprichwort mag generell stimmen, nicht aber beim Thema Cybersicherheit.
Bei vielen Social-Engineering-Angriffen wird den Opfern suggeriert, dass sie für die bereitgestellten Informationen oder Anmeldedaten eine Gegenleistung erhalten.
Ein Beispiel hierfür ist Scareware: Computernutzern wird ein Update zur Behebung eines gefährlichen Sicherheitsproblems angeboten.
In Wahrheit ist die Scareware selbst die Sicherheitsbedrohung.

==Contact Spamming und E-Mail-Hacking Bei dieser Methode haben die Angreifer es auf die Kontakte ihres Opfers abgesehen und hacken sich in sein E-Mail-Konto oder seine Konten in den sozialen Netzwerken.

Dann geben sie sich gegenüber den Kontakten als das Opfer aus.
Manchmal behaupten sie, man hätte sie ausgeraubt und ihre Brieftasche gestohlen.
Kann der Freund nicht schnell ein bisschen Geld auf dieses Konto überweisen?
Oder sie schicken einen Link, den der Kontakt sich unbedingt anschauen soll.
Tut er es, wird Malware oder ein Keylogging-Trojaner installiert.

Pharming und Hunting

Einige Social-Engineering-Strategien sind noch weitaus raffinierter.
Die meisten der oben beschriebenen Methoden sind recht unkompliziert und fallen unter den Oberbegriff Hunting.
Die Kriminellen verschaffen sich Zugang, stehlen alle Informationen, die sie kriegen können, und verschwinden wieder.

Quelle

https://www.kaspersky.de/resource-center/threats/how-to-avoid-social-engineering-attacks

@@ Zeile 1: / Zeile 1: @@
+=Grundlegendes=
 *Social Engineering nennt man zwischenmenschliche Beeinflussungen
 *Ziel ist es Personen bestimmte Verhaltensweisen hervorzurufen
@@ Zeile 8: / Zeile 9: @@
 *Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem
 *Werden dann vertrauliche Daten eingesehen spricht man dann auch von Social Hacking
+=Social-Engineering-Varianten=
+==Baiting==
+*Bei dieser Methode legt der Angreifer einen Köder aus, beispielsweise in Form eines USB-Sticks mit vorinstallierter Malware.
+*Sobald jemand den Stick aus Neugier an einem System anschließt, wird es kompromittiert.
+*Es gibt sogar einen USB-Stick, der Computer schwer beschädigen oder völlig zerstören kann:
+*Das Gerät zieht eine gewisse Strommenge über den USB-Anschluss und gibt sie dann in einem einzigen hohen Stromstoß wieder an das System ab.
+*Ein solches Gerät ist schon für 54 $ zu haben.
+==Pretexting==
+*Bei dieser Methode versuchen Angreifer unter einem Vorwand, das Vertrauen ihres Opfers zu gewinnen und es zur Herausgabe von Informationen zu bewegen.
+*Ein solcher Vorwand kann zum Beispiel eine Internetumfrage sein, die zunächst harmlos erscheint, dann aber Bankdaten abfragt.
+*Manche Hacker sind dreist genug, sich vor Ort in Unternehmen als Systemprüfer auszugeben, um gutgläubigen Mitarbeitern wertvolle Informationen zu entlocken.
+==Phishing==
+*Bei Phishing-Angriffen werden im Namen vertrauenswürdiger Quellen gefälschte E-Mails oder Textnachrichten verschickt, in denen die Empfänger nach Informationen gefragt werden.
+*Sehr häufig geben sich Kriminelle als Bank aus und fordern Kunden zur Bestätigung ihrer Sicherheitsinformationen auf.
+*Die Opfer landen auf einer gefälschten Website, wo ihre Anmeldedaten aufgezeichnet werden.
+*Beim sogenannten Spear Phishing konzentrieren sich die Angreifer auf eine bestimmte Person innerhalb eines Unternehmens.
+*Sie erhält eine gefälschte E-Mail, in der ein Vorgesetzter sich nach vertraulichen Informationen erkundigt.
+==Vishing und Smishing==
+*Diese Angriffsmethoden sind Varianten des Phishing: Beim Voice Phishing werden Sie telefonisch um Informationen gebeten.
+*Häufig geben sich die Kriminellen als Kollegen aus, beispielsweise als Mitarbeiter des IT-Helpdesk, die Ihre Anmeldedaten benötigen.
+*Smishing funktioniert nach demselben Prinzip, nutzt aber SMS.
+==Quid-pro-Quo==
+*Tausch ist kein Raub – dieses Sprichwort mag generell stimmen, nicht aber beim Thema Cybersicherheit.
+*Bei vielen Social-Engineering-Angriffen wird den Opfern suggeriert, dass sie für die bereitgestellten Informationen oder Anmeldedaten eine Gegenleistung erhalten.
+*Ein Beispiel hierfür ist Scareware: Computernutzern wird ein Update zur Behebung eines gefährlichen Sicherheitsproblems angeboten.
+*In Wahrheit ist die Scareware selbst die Sicherheitsbedrohung.
+==Contact Spamming und E-Mail-Hacking
+Bei dieser Methode haben die Angreifer es auf die Kontakte ihres Opfers abgesehen und hacken sich in sein E-Mail-Konto oder seine Konten in den sozialen Netzwerken.
+*Dann geben sie sich gegenüber den Kontakten als das Opfer aus.
+*Manchmal behaupten sie, man hätte sie ausgeraubt und ihre Brieftasche gestohlen.
+*Kann der Freund nicht schnell ein bisschen Geld auf dieses Konto überweisen?
+*Oder sie schicken einen Link, den der Kontakt sich unbedingt anschauen soll.
+*Tut er es, wird Malware oder ein Keylogging-Trojaner installiert.
+==Pharming und Hunting==
+*Einige Social-Engineering-Strategien sind noch weitaus raffinierter.
+*Die meisten der oben beschriebenen Methoden sind recht unkompliziert und fallen unter den Oberbegriff Hunting.
+*Die Kriminellen verschaffen sich Zugang, stehlen alle Informationen, die sie kriegen können, und verschwinden wieder.
+=Quelle=
+*https://www.kaspersky.de/resource-center/threats/how-to-avoid-social-engineering-attacks

Social Engineering: Unterschied zwischen den Versionen