Social-Engineering-Varianten: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| − | + | *[[Baiting]] | |
*Bei dieser Methode legt der Angreifer einen Köder aus, beispielsweise in Form eines USB-Sticks mit vorinstallierter Malware. | *Bei dieser Methode legt der Angreifer einen Köder aus, beispielsweise in Form eines USB-Sticks mit vorinstallierter Malware. | ||
*Sobald jemand den Stick aus Neugier an einem System anschließt, wird es kompromittiert. | *Sobald jemand den Stick aus Neugier an einem System anschließt, wird es kompromittiert. | ||
| Zeile 5: | Zeile 5: | ||
*Das Gerät zieht eine gewisse Strommenge über den USB-Anschluss und gibt sie dann in einem einzigen hohen Stromstoß wieder an das System ab. | *Das Gerät zieht eine gewisse Strommenge über den USB-Anschluss und gibt sie dann in einem einzigen hohen Stromstoß wieder an das System ab. | ||
*Ein solches Gerät ist schon für 54 $ zu haben. | *Ein solches Gerät ist schon für 54 $ zu haben. | ||
| − | + | *[[Pretexting]] | |
*Bei dieser Methode versuchen Angreifer unter einem Vorwand, das Vertrauen ihres Opfers zu gewinnen und es zur Herausgabe von Informationen zu bewegen. | *Bei dieser Methode versuchen Angreifer unter einem Vorwand, das Vertrauen ihres Opfers zu gewinnen und es zur Herausgabe von Informationen zu bewegen. | ||
*Ein solcher Vorwand kann zum Beispiel eine Internetumfrage sein, die zunächst harmlos erscheint, dann aber Bankdaten abfragt. | *Ein solcher Vorwand kann zum Beispiel eine Internetumfrage sein, die zunächst harmlos erscheint, dann aber Bankdaten abfragt. | ||
*Manche Hacker sind dreist genug, sich vor Ort in Unternehmen als Systemprüfer auszugeben, um gutgläubigen Mitarbeitern wertvolle Informationen zu entlocken. | *Manche Hacker sind dreist genug, sich vor Ort in Unternehmen als Systemprüfer auszugeben, um gutgläubigen Mitarbeitern wertvolle Informationen zu entlocken. | ||
| − | + | *[[Phishing]] | |
*Bei Phishing-Angriffen werden im Namen vertrauenswürdiger Quellen gefälschte E-Mails oder Textnachrichten verschickt, in denen die Empfänger nach Informationen gefragt werden. | *Bei Phishing-Angriffen werden im Namen vertrauenswürdiger Quellen gefälschte E-Mails oder Textnachrichten verschickt, in denen die Empfänger nach Informationen gefragt werden. | ||
*Sehr häufig geben sich Kriminelle als Bank aus und fordern Kunden zur Bestätigung ihrer Sicherheitsinformationen auf. | *Sehr häufig geben sich Kriminelle als Bank aus und fordern Kunden zur Bestätigung ihrer Sicherheitsinformationen auf. | ||
| Zeile 15: | Zeile 15: | ||
*Beim sogenannten Spear Phishing konzentrieren sich die Angreifer auf eine bestimmte Person innerhalb eines Unternehmens. | *Beim sogenannten Spear Phishing konzentrieren sich die Angreifer auf eine bestimmte Person innerhalb eines Unternehmens. | ||
*Sie erhält eine gefälschte E-Mail, in der ein Vorgesetzter sich nach vertraulichen Informationen erkundigt. | *Sie erhält eine gefälschte E-Mail, in der ein Vorgesetzter sich nach vertraulichen Informationen erkundigt. | ||
| − | + | *[[Vishing und Smishing]] | |
*Diese Angriffsmethoden sind Varianten des Phishing: Beim Voice Phishing werden Sie telefonisch um Informationen gebeten. | *Diese Angriffsmethoden sind Varianten des Phishing: Beim Voice Phishing werden Sie telefonisch um Informationen gebeten. | ||
*Häufig geben sich die Kriminellen als Kollegen aus, beispielsweise als Mitarbeiter des IT-Helpdesk, die Ihre Anmeldedaten benötigen. | *Häufig geben sich die Kriminellen als Kollegen aus, beispielsweise als Mitarbeiter des IT-Helpdesk, die Ihre Anmeldedaten benötigen. | ||
*Smishing funktioniert nach demselben Prinzip, nutzt aber SMS. | *Smishing funktioniert nach demselben Prinzip, nutzt aber SMS. | ||
| − | + | *[[Quid-pro-Quo]] | |
*Tausch ist kein Raub – dieses Sprichwort mag generell stimmen, nicht aber beim Thema Cybersicherheit. | *Tausch ist kein Raub – dieses Sprichwort mag generell stimmen, nicht aber beim Thema Cybersicherheit. | ||
*Bei vielen Social-Engineering-Angriffen wird den Opfern suggeriert, dass sie für die bereitgestellten Informationen oder Anmeldedaten eine Gegenleistung erhalten. | *Bei vielen Social-Engineering-Angriffen wird den Opfern suggeriert, dass sie für die bereitgestellten Informationen oder Anmeldedaten eine Gegenleistung erhalten. | ||
*Ein Beispiel hierfür ist Scareware: Computernutzern wird ein Update zur Behebung eines gefährlichen Sicherheitsproblems angeboten. | *Ein Beispiel hierfür ist Scareware: Computernutzern wird ein Update zur Behebung eines gefährlichen Sicherheitsproblems angeboten. | ||
*In Wahrheit ist die Scareware selbst die Sicherheitsbedrohung. | *In Wahrheit ist die Scareware selbst die Sicherheitsbedrohung. | ||
| − | + | *[[Contact Spamming und E-Mail-Hacking]] | |
*Bei dieser Methode haben die Angreifer es auf die Kontakte ihres Opfers abgesehen und hacken sich in sein E-Mail-Konto oder seine Konten in den sozialen Netzwerken. | *Bei dieser Methode haben die Angreifer es auf die Kontakte ihres Opfers abgesehen und hacken sich in sein E-Mail-Konto oder seine Konten in den sozialen Netzwerken. | ||
*Dann geben sie sich gegenüber den Kontakten als das Opfer aus. | *Dann geben sie sich gegenüber den Kontakten als das Opfer aus. | ||
| Zeile 31: | Zeile 31: | ||
*Oder sie schicken einen Link, den der Kontakt sich unbedingt anschauen soll. | *Oder sie schicken einen Link, den der Kontakt sich unbedingt anschauen soll. | ||
*Tut er es, wird Malware oder ein Keylogging-Trojaner installiert. | *Tut er es, wird Malware oder ein Keylogging-Trojaner installiert. | ||
| − | + | *[[Pharming und Hunting]] | |
| − | |||
| − | |||
| − | |||
*[[Shoulder Surfing]] | *[[Shoulder Surfing]] | ||
*[[Tailgating]] | *[[Tailgating]] | ||
Version vom 27. August 2023, 09:10 Uhr
- Baiting
- Bei dieser Methode legt der Angreifer einen Köder aus, beispielsweise in Form eines USB-Sticks mit vorinstallierter Malware.
- Sobald jemand den Stick aus Neugier an einem System anschließt, wird es kompromittiert.
- Es gibt sogar einen USB-Stick, der Computer schwer beschädigen oder völlig zerstören kann:
- Das Gerät zieht eine gewisse Strommenge über den USB-Anschluss und gibt sie dann in einem einzigen hohen Stromstoß wieder an das System ab.
- Ein solches Gerät ist schon für 54 $ zu haben.
- Pretexting
- Bei dieser Methode versuchen Angreifer unter einem Vorwand, das Vertrauen ihres Opfers zu gewinnen und es zur Herausgabe von Informationen zu bewegen.
- Ein solcher Vorwand kann zum Beispiel eine Internetumfrage sein, die zunächst harmlos erscheint, dann aber Bankdaten abfragt.
- Manche Hacker sind dreist genug, sich vor Ort in Unternehmen als Systemprüfer auszugeben, um gutgläubigen Mitarbeitern wertvolle Informationen zu entlocken.
- Phishing
- Bei Phishing-Angriffen werden im Namen vertrauenswürdiger Quellen gefälschte E-Mails oder Textnachrichten verschickt, in denen die Empfänger nach Informationen gefragt werden.
- Sehr häufig geben sich Kriminelle als Bank aus und fordern Kunden zur Bestätigung ihrer Sicherheitsinformationen auf.
- Die Opfer landen auf einer gefälschten Website, wo ihre Anmeldedaten aufgezeichnet werden.
- Beim sogenannten Spear Phishing konzentrieren sich die Angreifer auf eine bestimmte Person innerhalb eines Unternehmens.
- Sie erhält eine gefälschte E-Mail, in der ein Vorgesetzter sich nach vertraulichen Informationen erkundigt.
- Vishing und Smishing
- Diese Angriffsmethoden sind Varianten des Phishing: Beim Voice Phishing werden Sie telefonisch um Informationen gebeten.
- Häufig geben sich die Kriminellen als Kollegen aus, beispielsweise als Mitarbeiter des IT-Helpdesk, die Ihre Anmeldedaten benötigen.
- Smishing funktioniert nach demselben Prinzip, nutzt aber SMS.
- Quid-pro-Quo
- Tausch ist kein Raub – dieses Sprichwort mag generell stimmen, nicht aber beim Thema Cybersicherheit.
- Bei vielen Social-Engineering-Angriffen wird den Opfern suggeriert, dass sie für die bereitgestellten Informationen oder Anmeldedaten eine Gegenleistung erhalten.
- Ein Beispiel hierfür ist Scareware: Computernutzern wird ein Update zur Behebung eines gefährlichen Sicherheitsproblems angeboten.
- In Wahrheit ist die Scareware selbst die Sicherheitsbedrohung.
- Contact Spamming und E-Mail-Hacking
- Bei dieser Methode haben die Angreifer es auf die Kontakte ihres Opfers abgesehen und hacken sich in sein E-Mail-Konto oder seine Konten in den sozialen Netzwerken.
- Dann geben sie sich gegenüber den Kontakten als das Opfer aus.
- Manchmal behaupten sie, man hätte sie ausgeraubt und ihre Brieftasche gestohlen.
- Kann der Freund nicht schnell ein bisschen Geld auf dieses Konto überweisen?
- Oder sie schicken einen Link, den der Kontakt sich unbedingt anschauen soll.
- Tut er es, wird Malware oder ein Keylogging-Trojaner installiert.
- Pharming und Hunting
- Shoulder Surfing
- Tailgating
- Dumpster Diving