Social-Engineering-Varianten

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
  • Baiting
  • Bei dieser Methode legt der Angreifer einen Köder aus, beispielsweise in Form eines USB-Sticks mit vorinstallierter Malware.
  • Sobald jemand den Stick aus Neugier an einem System anschließt, wird es kompromittiert.
  • Es gibt sogar einen USB-Stick, der Computer schwer beschädigen oder völlig zerstören kann:
  • Das Gerät zieht eine gewisse Strommenge über den USB-Anschluss und gibt sie dann in einem einzigen hohen Stromstoß wieder an das System ab.
  • Ein solches Gerät ist schon für 54 $ zu haben.
  • Pretexting
  • Bei dieser Methode versuchen Angreifer unter einem Vorwand, das Vertrauen ihres Opfers zu gewinnen und es zur Herausgabe von Informationen zu bewegen.
  • Ein solcher Vorwand kann zum Beispiel eine Internetumfrage sein, die zunächst harmlos erscheint, dann aber Bankdaten abfragt.
  • Manche Hacker sind dreist genug, sich vor Ort in Unternehmen als Systemprüfer auszugeben, um gutgläubigen Mitarbeitern wertvolle Informationen zu entlocken.
  • Phishing
  • Bei Phishing-Angriffen werden im Namen vertrauenswürdiger Quellen gefälschte E-Mails oder Textnachrichten verschickt, in denen die Empfänger nach Informationen gefragt werden.
  • Sehr häufig geben sich Kriminelle als Bank aus und fordern Kunden zur Bestätigung ihrer Sicherheitsinformationen auf.
  • Die Opfer landen auf einer gefälschten Website, wo ihre Anmeldedaten aufgezeichnet werden.
  • Beim sogenannten Spear Phishing konzentrieren sich die Angreifer auf eine bestimmte Person innerhalb eines Unternehmens.
  • Sie erhält eine gefälschte E-Mail, in der ein Vorgesetzter sich nach vertraulichen Informationen erkundigt.
  • Vishing und Smishing
  • Diese Angriffsmethoden sind Varianten des Phishing: Beim Voice Phishing werden Sie telefonisch um Informationen gebeten.
  • Häufig geben sich die Kriminellen als Kollegen aus, beispielsweise als Mitarbeiter des IT-Helpdesk, die Ihre Anmeldedaten benötigen.
  • Smishing funktioniert nach demselben Prinzip, nutzt aber SMS.
  • Quid-pro-Quo
  • Tausch ist kein Raub – dieses Sprichwort mag generell stimmen, nicht aber beim Thema Cybersicherheit.
  • Bei vielen Social-Engineering-Angriffen wird den Opfern suggeriert, dass sie für die bereitgestellten Informationen oder Anmeldedaten eine Gegenleistung erhalten.
  • Ein Beispiel hierfür ist Scareware: Computernutzern wird ein Update zur Behebung eines gefährlichen Sicherheitsproblems angeboten.
  • In Wahrheit ist die Scareware selbst die Sicherheitsbedrohung.
  • Contact Spamming und E-Mail-Hacking
  • Bei dieser Methode haben die Angreifer es auf die Kontakte ihres Opfers abgesehen und hacken sich in sein E-Mail-Konto oder seine Konten in den sozialen Netzwerken.
  • Dann geben sie sich gegenüber den Kontakten als das Opfer aus.
  • Manchmal behaupten sie, man hätte sie ausgeraubt und ihre Brieftasche gestohlen.
  • Kann der Freund nicht schnell ein bisschen Geld auf dieses Konto überweisen?
  • Oder sie schicken einen Link, den der Kontakt sich unbedingt anschauen soll.
  • Tut er es, wird Malware oder ein Keylogging-Trojaner installiert.
  • Pharming und Hunting
  • Shoulder Surfing
  • Tailgating
  • Dumpster Diving

Quellen

Abgerufen von „http://wiki.ixheim.de/index.php?title=Social-Engineering-Varianten&oldid=48859