Startseite > Allgemeines, Sicherheit > Social Engineering – Teil 1

Social Engineering – Teil 1

Dies ist eine kleine Sammlung von Strategien und Möglichkeiten, wie so genannte Social Engineers ihre Opfer betrügen. Um sich davor schützen zu können, sollte man natürlich vorher wissen, wie Betrüger vorgehen. Seht dieses nicht als Tutorial an, sonder eher Verhütungsmaßnahme 😉

Was ist Social Engineering?

Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen.[Quelle]

Pretexting

Das so genannte Pretexting gehört mit zu den ältesten SE (Social Engineering) Praktiken und wird oft über ein Telefongespräch praktiziert. Hierbei wird dem Opfer ein erfundenes Szenario vorgespielt, um diesem Informationen zu entlocken oder dazu zu bringen irgendwelche Aktionen auszuführen. Um das Vertrauen des Opfers zu erlangen, informiert sich der Angreifer vorher. D.h. er besorgt sich z.B. auf irgendeine Weise persönliche Daten eines realen Kunden. Anhand dieser Informationen (z.B. das Geburtsdatum oder die Sozialversicherungsnummer) gibt sich der Angreifer als der reale Kunde aus, um das Opfer z.B. Informationen über seinen Bankstatus zu entlocken.

Phishing

Das Phishing ist im Gegensatz zum Pretexting unpersönlich. Anstatt via Telefongespräch an geheime Informationen zu gelangen, wird hierbei oft über E-Mail dem Opfer vorgetäuscht, man sei jemand anderes. Das Opfer bekommt eine E-Mail mit der Aufforderung, eine bestimmte Seite zu besuchen, die der originalen Seite exakt ähnelt, und dort seine Logindaten einzugeben, da es aus Sicherheitsgründen gemacht werden muss. Hat das Opfer auf der vermeintlich seriösen Seite seine Logindaten eingegeben, ist der Angreifer auch schon in Besitz der Daten.

Vishing

Beim Vishing wird, ähnlich wie beim Phishing, das Opfer aufgefordert geheime Daten z.B. Passwörter preiszugeben. Das Opfer bekommt eine E-Mail mit der Aufforderung seine Bank telefonisch zu kontaktieren. Viele Unternehmen benutzen hier Sprachdialogsysteme, um ihren Kunden zu helfen. Ein simples Beispiel eines Sprachdialogsystems: Sie rufen bei einer Hotline an, eine Stimme meldet sich und sagt, dass man die „1“ wählen soll, wenn man seinen Kontostand abfragen möchte oder die „2“, wenn ich weitere Informationen. Das Opfer ruft die Nummer, welche in der E-Mail enthalten ist, an und das Sprachdialogsystem meldet sich. Nun wird man aufgefordert, um sich zu Authentifizieren, seinen PIN und sein Passwort zu nennen.

Dumpster Diving

Das so genannte Dumpster Diving wird vom Angreifer verwendet, um an Informationen seines potentiellen Opfers zu gelangen. Hierbei wird der Müll des Opfers nach Merkmalen oder anderen für den Angreifer interessanten Informationen durchsucht. Diese Praktik wird oft mit dem Pretexting verwendet.

Road Apple

Beim Road Apple wird die Neugier des Opfers ausgenutzt. Hat man ein Opfer und dessen Namen, braucht man nichts weiter machen, als z.B. eine CD zu erstellen, auf der sich eine Bestimmte Malware befindet, die sich nach dem Einlegen in den PC automatisch installiert. Die CD wird dann mit dem Namen des Opfers beschriftet und z.B. auf den Schreibtisch oder auf dem Grundstück des Opfers platziert. Findet das Opfer diese CD, möchte dieser im Idealfall wissen, was sich auf der CD mit seinem Namen befindet und legt diese in seinen PC.

Weitere Möglichkeiten sind in kürze in „Social Engineering – Teil 2“ zu fínden.

Advertisements
  1. Es gibt noch keine Kommentare.
  1. No trackbacks yet.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: