Notes

Home - Social Engineering Academy
Die Unterschiedlichkeit von Social-Engineering-Methoden hebt Raj Samani in McAfees Studie „Hacking the Human Operation System“ hervor. Nach Samani sind die zahlenmäßig meisten Social-Engineering-Attacken Phishing-Angriffe. Lernen Sie Phishing-Angriffe besser zu erkennen: Die Universität Darmstadt bietet ein Online-Lehrprogramm für Phishing an, hiermit Sie routinierter bei der täglichen Arbeit mit E-Mail und Co und so für Angriffe sensibler werden. Besonders perfide Phishing-Angriffe tarnen sich beispielsweise als gemeinnützige Organisationen vor diesem Hintergrund aktueller Naturkatastrophen oder Vorfällen, wie z.B. Hintergrund der klassischen Phishing E-Mail ist das einfache und weniger aufwendige Verfahren. Diese können Schadware enthalten, die sich im Verborgenen installiert und fremden Zugriff aufs System gewährt. Hier gilt: Gegenüber fremden Personen an der Zeit sein ein gesundes Misstrauen pflegen. Der Begriff „Social Engineering“ bezeichnet in der IT-Sicherheit Angriffsmethoden, bei denen Kriminelle durch die Manipulation von Personen an sensible Informationen von Unternehmen oder Privatpersonen zu gelangen versuchen. Im Vergleich zu bei den meisten sonstigen Angriffsformen der Datendiebe ist ein Unternehmen bei Social Engineering auch dann gefährdet, wenn das Netzwerk sowie alle Server und Endgeräte vollständig und optimal durch ein IT-Security-Management abgesichert sind. Häufig handelt es sich hierbei um einen Trojaner, mit dem Cyberkriminelle fortan Zugang zum Computer erhalten.

Die Daten werden wir ganz und gar nicht zu allgemeinen Marketingzwecken verwenden, sondern ausschließlich Stücker Jagd auf Cyberkriminelle zu unterstützen. Sämtliche Methoden, die auf der direkten Kommunikation mit und Manipulation von Menschen basieren, werden unter dem Sammelbegriff Social Engineering zusammengefasst. Bekannt wurde nicht zuletzt ein Fall aus dem Jahr 2019, bei dem mithilfe eines Deep-Fakes die Stimme des Chefs eines Unternehmens imitiert wurde, um über 200.000 Euro zu erbeuten. Rechner so verschlüsseln, dass ihr keine Möglichkeit mehr habt, auf eure Daten zuzugreifen. THREAT-ARREST (Cyber Security Threat und Threat Actors Training - Assurance Driven Multi-Layer-Simulation für End-to-End-Simulation und Training) ist ein dreijähriges Forschungs- und Innovationsprojekt, das von der EU-Kommission finanziert wird (Gesamtbudget 4.988.837,50 EUR). Advanced Threat Protection übernimmt viele der oben genannten Punkte vollständig automatisiert. Es unterscheidet sich aber seinerseits und anderen Social-Engineering-Methoden, indem es etwas Konkretes (den Köder) verspricht. Mitarbeiter, die den Begriff „Social Engineering“ schonmal gehört haben, werden aber in der Gesamtheit im Fall des Falles aufmerksamer reagieren.

Obwohl der Begriff Social Engineering bis ins späte 19. Jahrhundert zurückreicht, ist er heute eher mit Cybersecurity verbunden. Im Jahre des Herrn 2007 fiel ein Kassierer aus Michigan auf einen nigerianischen Betrug rein, bei dem es einen fiktiven Prinzen gab, der aus Nigeria fliehen wollte, aber Hilfe brauchte, um sein Vermögen aus dem Land zu bringen. Selbst wenn ein einzelner geringer Teil der potenziellen Opfer darauf herinfällt, bringen diese Wenigen den kriminellen Hintermännern fortwährend einen riesigen Gewinn. Wenn auch Sie Mechanismen zur Anonymisieren, sichere (verschlüsselte) Kommunikationskanäle und eine größere Anzahl anderer Maßnahmen zum Schutz und zur Sicherung Ihrer Online-Privatsphäre nutzen - was passiert, wenn Sie Opfer von Social Engineering-Attacken werden, jemand einfach nur Ihre Zugangsdaten erhält und alle Sicherheitsbarrieren umgeht, um auf Ihre Online-Welt zuzugreifen. Trickbetrüger nutzen Techniken dieser Art, um an Bankdaten, Passwörter oder Kundennummern zu gelangen. „Hey, Manege frei Felix aus der IT-Abteilung. Hat Ihnen unser Beitrag aus der Wissensdatenbank bzgl. Was ist Phishing gefallen? Gehören allesamt zur Kategorie Phishing. 2. Wenn ihr könnt, solltet ihr sofort eure Zugangsdaten ins Firmennetzwerk ändern, um den Zugang ins Netz und zum E-Mail-Server zu unterbinden.

Generell gilt: Je mehr ein Mitarbeiter im Netz über sich preisgibt, desto angreifbarer macht er sich für die Gefahren des Social Engineerings. Im Bemühen, ihre Angriffe noch mehr wie eine wirkliche Angelegenheit aussehen zu lassen, werden sich Phisher als Freund, Geschäftspartner oder eine externe Einrichtung vorstellen, die irgendwie dabei Opfer in Verbindung steht. Diese E-Mails werden von welcher Mailingliste des Opfers gesendet, sodass sie für den Empfänger realistischer aussehen. Wenn Sie jedoch darauf klicken, wird eine genaue kopie der E-Mail an alle Ihre Kontakte gesendet, so Spam-Kette fortzusetzen. Es herrscht zwar unklug, irgendjemandem Ihr Passwort zu sagen, doch das ändert sich, wenn Sie am Sonntagmorgen vom „Technik-Support“ Ihres Arbeitgebers angerufen werden, der verlangt, dass Sie für ein kleines technisches Update auf Ihrem Computer ins Büro kommen sollen. Noch wichtiger ist jedoch, dass sie viel seltener im Spam-Ordner ihres Posteingangs landen. Denn allein das Aufrufen einer dubiosen Webseite kann Cyberkriminellen den Zugang zu Ihrem System oder dem Ihres Unternehmens ermöglichen. Erst kürzlich wurden einige Sicherheitsmaßnahmen fürs Online-Banking gestärkt, doch nach wie vor gibt es in Südamerika viele Ausnahmen, die erfolgreiche Social-Engineering-Angriffe ermöglichen. Fremden den Zugriff aufs unternehmensinterne Computersystem ermöglichen oder Daten an unbekannte Empfänger weiterleiten.

Zudem fordern sie ihre Opfer auf, ihnen ihre Zugangsdaten zu geben, über den Daumen Reparatur auszuführen, und bekommen zum Beispiel noch Zugang zu fremden Computern. Ein geschultes Auge entwickeln: Lesen Sie sorgfältig und genau E-Mails, die Sie geschickt bekommen. Neben anderem kann der Hacker einen mit Malware infizierten USB-Stick auf dem Schreibtisch des Opfers belassen, in der Hoffnung, dass er den Köder nimmt und ihn an den Computer anschließt. Aber auch ein USB-Stick mit scheinbar interessanten Daten ist ein beliebter Köder. Beispielsweise wird dabei ein mit Malware infizierter USB-Stick an einem Ort zurückgelassen, an dem dieser sicher gefunden wird. Testen Sie Ihre Mitarbeitenden, ob Sie einem von uns (wahlweise mit dabei oder telefonisch) durchgeführten Social Engineering-Angriff standhalten können oder ob weitere Sensibilisierungsmassnahmen erforderlich sind. Übersetzen kann man Social Engineering mit Sozialtechnik oder soziale Manipulation. Social Engineers setzen beim Media Dropping darauf, dass die Neugier der Mitarbeiter groß genug ist, die Daten des Sticks zu öffnen und somit die Schadsoftware auf ihre Computer gelangen zu lassen. Der beliebteste Vektor ist der Kontakt via E-Mail, jedoch werden auch gefälschte Webseiten, Chat-Programme, Telefonanrufe oder Soziale Medien für Phishing benutzt. Beim Phishing handelt es sich um das massenhafte Verschicken von Nachrichten, die vorgeben, von realen Dienstleistern oder Webshops wie Amazon oder PayPal zu wenig bringen. Übersetzt vom Lateinischen „ einen Gefallen für einen Gefallen“ ist eine Art Social Engineering, bei der Gefallen und Dienste zwischen einem Hacker und seinem ahnungslosen Ziel ausgetauscht werden.

Werden Angestellte beispielsweise darauf hingewiesen, dass die Unternehmens-IT persönliche Passwörter grundsätzlich nie über E-Mails oder das Telefon abfragt, werden es Trickbetrüger schwerer haben, diese zu erbeuten. Sie sollten keinesfalls dieselben Passwörter für verschiedene Dienste verwenden. Social Engineering ist ein Oberbegriff für reichlich von Methoden, die von Hackern und anderen Cyberkriminellen eingesetzt werden, um ahnungslose Opfer dazu zu bringen, ihre persönlichen Daten rauszugeben, Links zu infizierten Websites zu öffnen oder Hackern unbemerkt die Installation von Schadsoftware auf ihren Computern zu erlauben. Einsatz von Link Shortener oder eingebetteten Links, die Benutzer auf verdächtige Websites in URLs umleiten, die seriös erscheinen. Hierbei nehmen die Lügen teilweise gigantische Ausmaße an und umfassen manchmal auch extra angelegte E-Mail-Adressen und Websites zur Verifizierung der Geschichte. Neben der Unternehmenswebsite bieten soziale Netzwerke Trickbetrügern oft ausreichend Informationen, um Manipulationsversuche in eine glaubwürdige Geschichte zu verpacken. Vom Standpunkt eines Social Engineer aus gesehen hat die Sprache aber einige Nachteile, da sie an unsere subjektive Erfahrung von Fakten gebunden ist, wobei wir vielleicht Teile der Geschichte ausblenden, Dinge verzerren oder generalisieren. Das können Schnittstellen von und zum Firmennetzwerk sein, die so auch Kunden oder Partnern übers Internet Zugriff auf einzelne Teile eines Unternehmensnetzwerks bieten.

Nur ihm tatsächlich bekannten Personen den Zugriff auf persönliche Informationen erlauben. Das soll den betroffenen Personen Autorität. Das soll das Opfer vermeinen. Er soll hunderte Male in einige der bestgesicherten Netzwerke der USA eingedrungen sein; auch das Verteidigungsministerium und sogar die NSA soll er ausspioniert haben. Auch private und berufliche Soziale Netzwerke werden von Kriminellen mithilfe von Social Engineering häufig ausgenutzt. Seien Sie neuen Kontaktanfragen gegenüber skeptisch: Soziale Netzwerke sind unerschöpfliche Informationsquellen für Social Engineers. Haben Sie ein gesundes Misstrauen gegenüber Fremden, die Sie nach sensiblen Daten fragen. Hernach Beitrag klären wir die wichtigsten Fragen dazu. In den meisten Fällen stellen sich Hacker als IT-Supporttechniker vor und fragen Sie nach Ihren Anmeldedaten, damit sie eine angeblich wichtige Sicherheitsüberprüfung durchführen können. Durch die mutmaßliche Dringlichkeit des Anliegens befindet sich der Empfänger der E-Mail nun in der Situation, dem Auftrag des Vorgesetzten zügig nachzukommen, ohne eventuell große Rückfragen zu stellen.

Namen des Anrufers buchstabieren lassen Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance3 (2016) § 28 Sorgfaltspflichten von Organen Was ist eine Security-Awareness-Kampagne Runggaldier / Schima , Manager-Dienstverträge4 (2014) Große Unternehmen wie der österreichische Luftfahrtzulieferer FACC und der Nürnberger Kabelhersteller Leoni machten 2016 finanziell schwerwiegende Erfahrungen die Vorgehensweise des Social Engineerings und mussten einen Verlust von mehreren Millionen Euro erleiden. Wer sich bei einem sozialen Netzwerk oder in mehreren sozialen Netzwerken anmeldet, muss erstaunlich viele Informationen zu seiner Person und Persönlichkeit beantworten. Dieser gestaltet den Umgang mit mehreren Logins und Passwörtern komfortabel. Dabei versucht der Hacker das Vertrauen des Opfers zu gewinnen und ihn so par exemple zur Preisgabe von vertraulichen Informationen oder zur Freigabe von Kreditkartendaten und Passwörtern zu bewegen. Social Engineers nutzen die menschlichen Eigenschaften aus, die unser gesellschaftliches Zusammenleben ermöglichen: Hilfsbereitschaft, Vertrauen und Loyalität gegenüber Kollegen und dem Arbeitgeber werden genauso gegen potenzielle Opfer verwendet wie Angst vor Autoritäten und Rechtstreue gegenüber Behörden. Bei unbekannten Kommunikationspartnern. Auch scheinbar nebensächliche Auskünfte können Trickbetrügern helfen, Informationen über einen Betrieb zu sammeln und möglicherweise andere Kollegen zu täuschen. Vor allem bei unbekannten Absendern von E-Mails sollten Sie sehr vorsichtig agieren. Gerade die emotionale Komponente und die Authentizität macht professionelle Phishing-Nachrichten oppositiv falsch formatierten und schlecht geschriebenen E-Mails so gefährlich. In diesem führte er schmerzlich vor Augen, dass nicht nur hochmoderne Angriffsmechanismen relevant sein, sondern gerade altbewährte Methoden nur Makroviren immer noch sehr effektiv sind.

Oft schlüpfen die Betrüger in die Rolle eines Bekannten, eines vertrauenswürdigen Handwerkers oder täuschen vor, von einer Bank oder gar der Feuerwehr zu haben. Dies geschieht mit das Absicht des Betrügers in der Gestalt eines Technikers, Handwerkers oder Support-Mitarbeiters, die Unternehmen oder Internet-Serviceprovider, zur Herausgabe wertvoller Informationen zu bewegen oder zum Klick auf infizierte Links zu verleiten, die dann Schadsoftware installieren. Schulung der Mitarbeiter: Häufig reicht es schon aus, ein gesundes grundlegendes Verständnis dafür zu entwickeln, nicht sorglos Links anzuklicken und Anhänge zu öffnen. THREAT-ARREST wird eine Schulungsplattform entwickeln, um Stakeholder mit unterschiedlichen Arten von Verantwortlichkeiten und unterschiedlichem Know-how bei der Verteidigung von Cybersystemen und Organisationen mit hohem Risiko auf fortgeschrittene, bekannte und neue Cyberangriffe angemessen vorzubereiten. Statt Spionagesoftware zu entwickeln, programmiert Mitnick den Willen seiner Mitmenschen. Mitnick schreibt in seinem Buch „Die Kunst der Täuschung“, dass Social Engineering deutlich schneller zu den gewünschten Informationen führt als rein technische Methoden. Mit das bekanntesten Social Engineers ist der Hacker Kevin Mitnick. Diese Hacker manipulieren ihre Opfer, indem sie die üblichen Cybersecurity-Verfahren umgehen, um Zugang zu den Computern und / oder persönlichen Informationen der Opfer zu erhalten, normalerweise aus finanziellen Gründen. Beim Social Engineering macht sich der Täter, in Form des Hackers, menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen sowie Respekt oder Angst vor Autorität zu nutzen, um seine Opfer geschickt zu manipulieren.

Adversativ den anderen Social-Engineering-Methoden basiert diese Methode jedoch auf Vertrauen bzw. nach dem Muster „eine Hand wäscht die andere“. Wir konnten die letzten Jahren eine Entwicklung der Schadprogramme feststellen, die Kollegial mit Social Engineering geht. Eine Webseite, die Schadprogramme verteilt, und dabei ein gefälschtes Flash-Player-Update nutzt, grob Anwender dazu zu bringen, die Software zu installieren. Heute ist es dagegen nichts Außergewöhnliches, Schadprogramme zu finden, die mit Social Engineering Zugang zum Computer des Opfers bekommen, und sich dann versteckt halten, bis die schädliche Aktion ausgeführt wird. Schon allein der falschen Schreibweise des Namens, bis hin zu einer unsauberen Sprache, die darauf schließen lässt, dass der Text nicht von einem Muttersprachler verfasst, sondern beispielsweise von einem automatischen Sprachprogramm übersetzt wurde. Die sogenannte „Chef-Masche“ (CEO-Fraud) geht sogar so weit, dass sich Angreifer:innen als Vorgesetzte ausgeben und Mitarbeitende so lange manipulieren, bis sie Geld auf ein fremdes Konto überweisen. Einer der für Unternehmen besonders gefährlichen Social-Engineering-Methoden ist der CEO-Betrug bzw. CEO-Fraud. Was zehn beliebte Social-Engineering-Methoden beziehungsweise Social-Engineering-Beispiele sind und wie sie sich voneinander unterscheiden, erfahren Sie hier. Das Pretexting ist eine weitgefächerte Methode des Social Engineering beziehungsweise der Social-Engineering-Beispiele. In diesen gelangen Unbefugte meistens entweder durch die einfache Umgehung von Sperrzonen wie elektronischen Zugangskontrollen oder mithilfe von Pretexting. Wenn Ihnen dieses Posting gefallen hat und Sie weitere Informationen zu social engineering wie man menschen manipuliert erhalten möchten, schauen Sie sich bitte die Webseite an.

Bei Angriffen mithilfe Social Engineerings liegt der Fokus auf dem zentralen Merkmal der Täuschung über die Identität und die Absicht des Täters. Dieser einfache Trick ist neben anderen die erfolgreichsten, um Unternehmen mithilfe eines Social Engineers zu infiltrieren. Eine Sensibilisierung fürs Thema Wirtschaftsspionage kann im Rahmen einer Schulung erfolgen, in der gängige Angriffsmuster und deren Folgen durchgesprochen werden. Durch die Schulung und Sensibilisierung der Mitarbeiter, verbunden mit entsprechenden IT-Sicherheitsvorkehrungen, können Unternehmen die Gefährdung durch Social Engineering geringhalten. Kommen zu nur einen einzigen wirksamen Schutz vor Social Engineering: ein gesundes Misstrauen, verbunden hierbei strikten Einhalten vereinbarter Regeln zur Datenweitergabe! Der wichtigsten Erkenntnisse aus IBMs „Cyber Security Intelligence Index“ ist, dass 95 Prozent aller Sicherheitsvorfälle mit menschlichem Versagen verbunden sind. Da Social Engineering auf menschliches Versagen setzt, lässt sich die Gefahr jedoch durch Präventivmaßnahmen nie gänzlich bannen. Da sich Social Engineering um den Menschen als Sicherheitslücke dreht, ist es wichtig, sich als Privatperson sowie Mitarbeiter im Unternehmen für mögliche Angriffe zu schulen, obwohl die Gefahr durch Social Engineering über Präventivmaßnahmen nie gänzlich gebannt werden kann. Auch als Privatperson hilft ein kurzer Anruf beim Support des Unternehmens, beim Sie Kunde sind, sollte eine erhaltene E-Mail bei Ihnen für Verwunderung sorgen.

Diese Art von Social Engineering wird häufig bei so genannten nigerianischen E-Mail-Scams gesehen, bei denen sie Ihnen Unsummen versprechen, wenn Sie Ihre Kontoinformationen angeben. Wie gelingt es ihnen ganze IT-Systeme zu verschlüsseln? So werden ganze Massen an E-Mails versendet. Im Header einer E-Mail stehen alle Informationen, wie der tatsächliche Absender und der Server, dessen die Nachricht versendet wurde. Minimieren lässt sich dieses Risiko, indem Mitarbeiter dazu angehalten werden, ausschließlich E-Mail-Anhänge bekannter Absender zu öffnen. Die Anzahl der Rechtschreibfehler oder Sprachfehler, der Absender der Mail oder merkwürdige Dateiendungen können Hinweise auf gefährliche Inhalte sein. überdies ist es wichtig, Mitarbeiter dafür zu sensibilisieren, dass digitale Identitäten, gleich bei welchem Kommunikationskanal, grundsätzlich gefälscht sein könnten, sofern keine technischen Zusatzmaßnahmen die Identitäten kontrollieren. Leider können nicht alle Attacken im Wege des Social Engineering in dem Stil verhindert oder abgewehrt werden. Nach offiziellen Angaben recherchierten die Hacker zunächst den Zulieferer für Klimaanlagen der großen Einzelhandelskette und richteten ihre Mitarbeiter mit Phishing-E-Mails an. In dieser Art konnten die Hacker aufs Netzwerk von Target zugreifen. Der Hacker nutzt den Menschen als das schwächste Glied der IT-Sicherheits-Kette.

Website: https://atavi.com/share/v76qdezv5pei