Social-Engineering-Varianten: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
==Baiting==
+
*[[Shoulder Surfing]]
*Bei dieser Methode legt der Angreifer einen Köder aus, beispielsweise in Form eines USB-Sticks mit vorinstallierter Malware.
+
*[[Tailgating]]
*Sobald jemand den Stick aus Neugier an einem System anschließt, wird es kompromittiert.
+
*[[Dumpster Diving]]
*Es gibt sogar einen USB-Stick, der Computer schwer beschädigen oder völlig zerstören kann:
+
*[[Eavesdropping (Abhören)]]
*Das Gerät zieht eine gewisse Strommenge über den USB-Anschluss und gibt sie dann in einem einzigen hohen Stromstoß wieder an das System ab.
+
*[[Baiting]]
*Ein solches Gerät ist schon für 54 $ zu haben.
+
*[[Pretexting]]
==Pretexting==
+
*[[Phishing]]
*Bei dieser Methode versuchen Angreifer unter einem Vorwand, das Vertrauen ihres Opfers zu gewinnen und es zur Herausgabe von Informationen zu bewegen.
+
*[[Vishing und Smishing]]
*Ein solcher Vorwand kann zum Beispiel eine Internetumfrage sein, die zunächst harmlos erscheint, dann aber Bankdaten abfragt.
+
*[[Quid-pro-Quo]]
*Manche Hacker sind dreist genug, sich vor Ort in Unternehmen als Systemprüfer auszugeben, um gutgläubigen Mitarbeitern wertvolle Informationen zu entlocken.
+
*[[Contact Spamming und E-Mail-Hacking]]
==Phishing==
+
*[[Pharming und Hunting]]
*Bei Phishing-Angriffen werden im Namen vertrauenswürdiger Quellen gefälschte E-Mails oder Textnachrichten verschickt, in denen die Empfänger nach Informationen gefragt werden.
+
*[[E-Mail-Harvesting]]
*Sehr häufig geben sich Kriminelle als Bank aus und fordern Kunden zur Bestätigung ihrer Sicherheitsinformationen auf.
+
=Quellen=
*Die Opfer landen auf einer gefälschten Website, wo ihre Anmeldedaten aufgezeichnet werden.
 
*Beim sogenannten Spear Phishing konzentrieren sich die Angreifer auf eine bestimmte Person innerhalb eines Unternehmens.
 
*Sie erhält eine gefälschte E-Mail, in der ein Vorgesetzter sich nach vertraulichen Informationen erkundigt.
 
==Vishing und Smishing==
 
*Diese Angriffsmethoden sind Varianten des Phishing: Beim Voice Phishing werden Sie telefonisch um Informationen gebeten.
 
*Häufig geben sich die Kriminellen als Kollegen aus, beispielsweise als Mitarbeiter des IT-Helpdesk, die Ihre Anmeldedaten benötigen.
 
*Smishing funktioniert nach demselben Prinzip, nutzt aber SMS.
 
==Quid-pro-Quo==
 
*Tausch ist kein Raub – dieses Sprichwort mag generell stimmen, nicht aber beim Thema Cybersicherheit.
 
*Bei vielen Social-Engineering-Angriffen wird den Opfern suggeriert, dass sie für die bereitgestellten Informationen oder Anmeldedaten eine Gegenleistung erhalten.
 
*Ein Beispiel hierfür ist Scareware: Computernutzern wird ein Update zur Behebung eines gefährlichen Sicherheitsproblems angeboten.
 
*In Wahrheit ist die Scareware selbst die Sicherheitsbedrohung.
 
==Contact Spamming und E-Mail-Hacking==
 
*Bei dieser Methode haben die Angreifer es auf die Kontakte ihres Opfers abgesehen und hacken sich in sein E-Mail-Konto oder seine Konten in den sozialen Netzwerken.
 
*Dann geben sie sich gegenüber den Kontakten als das Opfer aus.
 
*Manchmal behaupten sie, man hätte sie ausgeraubt und ihre Brieftasche gestohlen.
 
*Kann der Freund nicht schnell ein bisschen Geld auf dieses Konto überweisen?
 
*Oder sie schicken einen Link, den der Kontakt sich unbedingt anschauen soll.
 
*Tut er es, wird Malware oder ein Keylogging-Trojaner installiert.
 
==Pharming und Hunting==
 
*Einige Social-Engineering-Strategien sind noch weitaus raffinierter.
 
*Die meisten der oben beschriebenen Methoden sind recht unkompliziert und fallen unter den Oberbegriff Hunting.
 
*Die Kriminellen verschaffen sich Zugang, stehlen alle Informationen, die sie kriegen können, und verschwinden wieder.
 
==Shoulder Surfing==
 
*Bei dieser Methode werden Daten gestohlen, indem dem Opfer "über die Schulter" geschaut wird.
 
*Während dises seinen Laptop oder ein anderes Gerät benutzt.
 
*Insbesondere für Unternehmen, die remote arbeiten ist es wichtig, diese Bedrohung zu kennen, da die Mitarbeiter ihre Arbeitsgeräte oft an öffentlichen Orten benutzen.
 
==Tailgating==
 
*Bei dieser Methode verschafft sich der Kriminelle physisch Zutritt zu geschützten Bereichen
 
*Das könnte der Hauptsitz eines Unternehmens, durch eine Person mit Zutrittsberechtigung sein.
 
*Der Kriminelle gibt sich beispielsweise als Fahrer eines Lieferanten aus und wartet vor dem Gebäude.
 
*Wenn das Opfer die Tür öffnet, bittet er ihn, sie aufzuhalten und gelangen so ins Gebäude.
 
*Um solche Fälle zu vermeiden, ist es extrem wichtig, die Mitarbeiter richtig zu schulen, um die physische Sicherheit zu gewährleisten.
 
==Dumpster Diving==
 
*In diesem Fall sucht der Kriminelle nach wichtigen Informationen in Mülltonnen.
 
*Viele Unternehmen kümmern sich sehr um die Sicherheit ihrer virtuellen Daten
 
*Sie vergessen jedoch dabei grundlegende Sachen.
 
*Deshalb ist es so wichtig, immer Aktenvernichter zu verwenden.
 
*Der Einfachheit halber sollten diese an unterschiedlichen Stellen in Büroräumen aufgestellt werde.
 
 
 
=Quelle=
 
 
*https://www.kaspersky.de/resource-center/threats/how-to-avoid-social-engineering-attacks
 
*https://www.kaspersky.de/resource-center/threats/how-to-avoid-social-engineering-attacks
 +
*https://www.also.com/ec/cms5/de_6000/6000/blog/vlog/artikel/zukunftstechnologien/social-engineering-techniken-und-wie-man-angriffe-verhindert_40193.jsp

Aktuelle Version vom 27. August 2023, 10:48 Uhr

Quellen

Abgerufen von „http://wiki.ixheim.de/index.php?title=Social-Engineering-Varianten&oldid=48898