Version vom 29. Juni 2022, 21:05 Uhr

Baiting

Bei dieser Methode legt der Angreifer einen Köder aus, beispielsweise in Form eines USB-Sticks mit vorinstallierter Malware.
Sobald jemand den Stick aus Neugier an einem System anschließt, wird es kompromittiert.
Es gibt sogar einen USB-Stick, der Computer schwer beschädigen oder völlig zerstören kann:
Das Gerät zieht eine gewisse Strommenge über den USB-Anschluss und gibt sie dann in einem einzigen hohen Stromstoß wieder an das System ab.
Ein solches Gerät ist schon für 54 $ zu haben.

Bei dieser Methode versuchen Angreifer unter einem Vorwand, das Vertrauen ihres Opfers zu gewinnen und es zur Herausgabe von Informationen zu bewegen.
Ein solcher Vorwand kann zum Beispiel eine Internetumfrage sein, die zunächst harmlos erscheint, dann aber Bankdaten abfragt.
Manche Hacker sind dreist genug, sich vor Ort in Unternehmen als Systemprüfer auszugeben, um gutgläubigen Mitarbeitern wertvolle Informationen zu entlocken.

Bei Phishing-Angriffen werden im Namen vertrauenswürdiger Quellen gefälschte E-Mails oder Textnachrichten verschickt, in denen die Empfänger nach Informationen gefragt werden.
Sehr häufig geben sich Kriminelle als Bank aus und fordern Kunden zur Bestätigung ihrer Sicherheitsinformationen auf.
Die Opfer landen auf einer gefälschten Website, wo ihre Anmeldedaten aufgezeichnet werden.
Beim sogenannten Spear Phishing konzentrieren sich die Angreifer auf eine bestimmte Person innerhalb eines Unternehmens.
Sie erhält eine gefälschte E-Mail, in der ein Vorgesetzter sich nach vertraulichen Informationen erkundigt.

Diese Angriffsmethoden sind Varianten des Phishing: Beim Voice Phishing werden Sie telefonisch um Informationen gebeten.
Häufig geben sich die Kriminellen als Kollegen aus, beispielsweise als Mitarbeiter des IT-Helpdesk, die Ihre Anmeldedaten benötigen.
Smishing funktioniert nach demselben Prinzip, nutzt aber SMS.

Tausch ist kein Raub – dieses Sprichwort mag generell stimmen, nicht aber beim Thema Cybersicherheit.
Bei vielen Social-Engineering-Angriffen wird den Opfern suggeriert, dass sie für die bereitgestellten Informationen oder Anmeldedaten eine Gegenleistung erhalten.
Ein Beispiel hierfür ist Scareware: Computernutzern wird ein Update zur Behebung eines gefährlichen Sicherheitsproblems angeboten.
In Wahrheit ist die Scareware selbst die Sicherheitsbedrohung.

Bei dieser Methode haben die Angreifer es auf die Kontakte ihres Opfers abgesehen und hacken sich in sein E-Mail-Konto oder seine Konten in den sozialen Netzwerken.
Dann geben sie sich gegenüber den Kontakten als das Opfer aus.
Manchmal behaupten sie, man hätte sie ausgeraubt und ihre Brieftasche gestohlen.
Kann der Freund nicht schnell ein bisschen Geld auf dieses Konto überweisen?
Oder sie schicken einen Link, den der Kontakt sich unbedingt anschauen soll.
Tut er es, wird Malware oder ein Keylogging-Trojaner installiert.

Einige Social-Engineering-Strategien sind noch weitaus raffinierter.
Die meisten der oben beschriebenen Methoden sind recht unkompliziert und fallen unter den Oberbegriff Hunting.
Die Kriminellen verschaffen sich Zugang, stehlen alle Informationen, die sie kriegen können, und verschwinden wieder.

Bei dieser Methode werden Daten gestohlen, indem dem Opfer "über die Schulter" geschaut wird.
Während dises seinen Laptop oder ein anderes Gerät benutzt.
Insbesondere für Unternehmen, die remote arbeiten ist es wichtig, diese Bedrohung zu kennen, da die Mitarbeiter ihre Arbeitsgeräte oft an öffentlichen Orten benutzen.

Bei dieser Methode verschafft sich der Kriminelle physisch Zutritt zu geschützten Bereichen
Das könnte der Hauptsitz eines Unternehmens, durch eine Person mit Zutrittsberechtigung sein.
Der Kriminelle gibt sich beispielsweise als Fahrer eines Lieferanten aus und wartet vor dem Gebäude.
Wenn das Opfer die Tür öffnet, bittet er ihn, sie aufzuhalten und gelangen so ins Gebäude.
Um solche Fälle zu vermeiden, ist es extrem wichtig, die Mitarbeiter richtig zu schulen, um die physische Sicherheit zu gewährleisten.

In diesem Fall sucht der Kriminelle nach wichtigen Informationen in Mülltonnen.
Viele Unternehmen kümmern sich sehr um die Sicherheit ihrer virtuellen Daten
Sie vergessen jedoch dabei grundlegende Sachen.
Deshalb ist es so wichtig, immer Aktenvernichter zu verwenden.
Der Einfachheit halber sollten diese an unterschiedlichen Stellen in Büroräumen aufgestellt werde.

@@ Zeile 52: / Zeile 52: @@
 *Der Einfachheit halber sollten diese an unterschiedlichen Stellen in Büroräumen aufgestellt werde.
-=Quelle=
+=Quellen=
 *https://www.kaspersky.de/resource-center/threats/how-to-avoid-social-engineering-attacks
+*https://www.also.com/ec/cms5/de_6000/6000/blog/vlog/artikel/zukunftstechnologien/social-engineering-techniken-und-wie-man-angriffe-verhindert_40193.jsp