Social Engineering erklärt: Wie Kriminelle menschliches Verhalten ausnutzen

Definition von Social Engineering

Social Engineering ist die Kunst, die menschliche Psychologie anstelle technischer Hacking-Techniken auszunutzen, um Zugang zu Gebäuden zu erhalten , Systeme oder Daten.

Anstatt beispielsweise zu versuchen, eine Software-Schwachstelle zu finden, kann ein Social Engineer einen Mitarbeiter anrufen und sich als IT-Support-Mitarbeiter ausgeben, um den Mitarbeiter dazu zu bringen, sein Kennwort preiszugeben.

Der berühmte Hacker Kevin Mitnick hat in den 90er Jahren dazu beigetragen, den Begriff „Social Engineering“ bekannt zu machen, obwohl die Idee und viele der Techniken schon so lange existieren, wie es Betrüger gibt.

Auch wenn Sie bei der Sicherung Ihres Rechenzentrums, Ihrer Cloud-Bereitstellungen, der physischen Sicherheit Ihres Gebäudes und Ihrer Investition in defensive Technologien alle Voraussetzungen haben, haben Sie das Recht Sicherheitsrichtlinien und -prozesse vorhanden und messen deren Wirksamkeit und kontinuierliche Verbesserung e, immer noch kann sich ein schlauer Sozialingenieur seinen Weg durch (oder um) herum wieseln.

Social-Engineering-Techniken

Social-Engineering hat sich als sehr erfolgreiche Möglichkeit für einen Kriminellen erwiesen, in Ihr Unternehmen „einzudringen“. Sobald ein Social Engineer das Passwort eines vertrauenswürdigen Mitarbeiters hat, kann er sich einfach anmelden und nach sensiblen Daten suchen. Mit einer Zugangskarte oder einem Code kann der Kriminelle auf Daten zugreifen, Vermögenswerte stehlen oder sogar Schaden anrichten, um physisch in eine Einrichtung zu gelangen Personen.

In dem Artikel Anatomy of a Hack erklärt ein Penetrationstester, wie er aktuelle Ereignisse, öffentliche Informationen, die auf Websites sozialer Netzwerke verfügbar sind, und ein Cisco-Shirt im Wert von 4 US-Dollar verwendet, das er gekauft hat Ein Gebrauchtwarenladen, um sich auf seine illegale Einreise vorzubereiten. Das Hemd half ihm, die Rezeption und andere Mitarbeiter davon zu überzeugen, dass er ein Mitarbeiter von Cisco bei einem Besuch des technischen Supports war. Sobald er drinnen war, konnte er auch seinen anderen Teammitgliedern die illegale Einreise gewähren Es gelang auch, mehrere mit Malware beladene USBs abzulegen und sich in das Netzwerk des Unternehmens zu hacken, alles in Sichtweite anderer Mitarbeiter.

Sie müssen jedoch nicht in Second-Hand-Läden einkaufen, um einen Social-Engineering-Angriff durchzuführen. Sie funktionieren genauso gut über E-Mail, Telefon oder soziale Medien. Was alle Angriffe haben Gemeinsam ist ihnen, dass sie die menschliche Natur zu ihrem Vorteil nutzen und unsere Gier, Angst, Neugier und sogar unseren Wunsch, anderen zu helfen, ausnutzen.

Beispiele für Social Engineering

Kriminelle nehmen häufig Wochen und Monate, um einen Ort kennenzulernen, bevor Sie überhaupt zur Tür hereinkommen oder einen Anruf tätigen. Ihre Vorbereitung kann das Auffinden einer Unternehmenstelefonliste oder eines Organigramms und die Recherche von Mitarbeitern auf Websites sozialer Netzwerke wie LinkedIn oder Facebook umfassen.

1. Am Telefon
Ein Sozialingenieur kann anrufen und sich als Mitarbeiter oder vertrauenswürdige externe Behörde (z. B. Strafverfolgungsbehörden oder Wirtschaftsprüfer) ausgeben.

2. Im Büro
„Können Sie die Tür für mich halten? Ich habe meinen Schlüssel / meine Zugangskarte nicht bei mir. Wie oft haben Sie das in Ihrem Gebäude gehört? Während die fragende Person möglicherweise nicht misstrauisch erscheint, ist dies eine sehr verbreitete Taktik, die von Sozialingenieuren angewendet wird.

3. Online
Social-Networking-Sites haben Social-Engineering-Angriffe einfacher durchgeführt. Heutige Angreifer können auf Websites wie LinkedIn alle Benutzer eines Unternehmens finden und zahlreiche detaillierte Informationen sammeln, die zur Förderung eines Angriffs verwendet werden können.

Sozialingenieure nutzen auch das Brechen Nachrichtenereignisse, Feiertage, Popkultur und andere Geräte, um Opfer anzulocken. In Woman verliert 1.825 US-Dollar durch Mystery-Shopping-Betrug, der sich als BestMark, Inc. ausgibt. Sie sehen, wie Kriminelle den Namen eines bekannten Mystery-Shopping-Unternehmens für die Durchführung ihres Betrugs nutzten. Betrüger verwenden ihn häufig gefälschte Wohltätigkeitsorganisationen, um ihre kriminellen Ziele in den Ferien zu fördern.

Angreifer passen Phishing-Angriffe auch an bekannte Interessen an (z. B. Lieblingskünstler, Schauspieler, Musik, Politik, Philanthropien), die genutzt werden können, um Benutzer dazu zu verleiten Klicken Sie auf Anhänge mit Malware-Schnürung.

Berühmte Social-Engineering-Angriffe

Ein guter Weg, um ein Gefühl dafür zu bekommen, auf welche Social-Engineering-Taktiken Sie achten sollten zu wissen, was in der Vergangenheit verwendet wurde. Wir haben alle Details in einem ausführlichen Artikel zu diesem Thema erfahren, aber konzentrieren wir uns im Moment auf drei Social-Engineering-Techniken – unabhängig von technologischen Plattformen -, die für Betrüger in großem Maße erfolgreich waren.

Biete etwas Süßes an. Wie jeder Betrüger Ihnen sagen wird, besteht der einfachste Weg, eine Marke zu betrügen, darin, ihre eigene Gier auszunutzen. Dies ist die Grundlage des klassischen nigerianischen 419-Betrugs, bei dem der Betrüger versucht, das Opfer davon zu überzeugen, angeblich schlecht verdientes Geld aus seinem eigenen Land in eine sichere Bank zu bringen, indem er einen Teil des Geldes im Austausch anbietet.Diese „nigerianischen Prinzen“ -E-Mails sind seit Jahrzehnten ein Scherz, aber sie sind immer noch eine effektive Social-Engineering-Technik, auf die die Leute hereinfallen: 2007 gab der Schatzmeister eines dünn besiedelten Landkreises in Michigan einem solchen Betrüger öffentliche Mittel in Höhe von 1,2 Millionen US-Dollar die Hoffnungen, persönlich Geld zu verdienen. Ein weiterer häufiger Köder ist die Aussicht auf einen neuen, besseren Job, was anscheinend viel zu viele von uns wollen: Bei einem äußerst peinlichen Verstoß von 2011 wurde das Sicherheitsunternehmen RSA kompromittiert, als mindestens zwei Niedrig-. Mitarbeiter auf Level-Ebene haben eine Malware-Datei geöffnet, die an eine Phishing-E-Mail mit dem Dateinamen „2011 rekrutierungsplan.xls“ angehängt ist.

Fälschen Sie sie, bis Sie sie erstellt haben. Eine der einfachsten und überraschend erfolgreichsten Social-Engineering-Techniken In einem der legendären frühen Betrügereien von Kevin Mitnick erhielt er Zugriff auf die OS-Entwicklungsserver der Digital Equipment Corporation, indem er einfach das Unternehmen anrief, behauptete, einer der Hauptentwickler zu sein, und sagte: er hatte Probleme, sich einzuloggen; Er wurde sofort mit einem neuen Login und Passwort belohnt. Dies alles geschah 1979, und Sie würden denken, dass sich die Dinge seitdem verbessert hätten, aber Sie würden sich irren: 2016 bekam ein Hacker die Kontrolle über eine E-Mail-Adresse des US-Justizministeriums und benutzte sie, um sich als Mitarbeiter auszugeben und zu überreden ein Helpdesk zur Übergabe eines Zugriffstokens für das DoJ-Intranet, indem er sagte, es sei seine erste Woche im Einsatz und er wisse nicht, wie etwas funktioniert.

Viele Organisationen haben Barrieren, um diese Art zu verhindern von dreisten Imitationen, aber sie können oft ziemlich leicht umgangen werden. Als Hewlett-Packard 2005 private Ermittler anstellte, um herauszufinden, welche HP Vorstandsmitglieder Informationen an die Presse weitergaben, konnten sie den PIs die letzten vier Ziffern ihrer Zielgruppe „Sozialversicherungsnummer – welche AT T wird als Ausweisnachweis akzeptiert, bevor detaillierte Anrufprotokolle übergeben werden.

Handeln Sie so, als wären Sie verantwortlich. Die meisten von uns sind darauf vorbereitet, Autorität zu respektieren – oder, wie sich herausstellt, Menschen zu respektieren, die so tun, als hätten sie die Autorität, das zu tun, was sie tun. Sie können unterschiedliche Kenntnisse über die internen Prozesse eines Unternehmens nutzen, um Menschen davon zu überzeugen, dass Sie das Recht haben, Orte zu sein oder Dinge zu sehen, die Sie nicht sehen sollten, oder dass eine Kommunikation von Ihnen wirklich von jemandem kommt, den sie respektieren. Zum Beispiel haben Finanzmitarbeiter von Ubiquiti Networks im Jahr 2015 Millionen von Dollar an Unternehmensgeldern an Betrüger überwiesen, die sich als Führungskräfte des Unternehmens ausgaben, wahrscheinlich unter Verwendung einer ähnlichen URL in ihrer E-Mail-Adresse. Auf der unteren technischen Seite fanden Ermittler, die in den späten 00ern und frühen 10ern für britische Boulevardzeitungen arbeiteten, häufig Wege, um Zugang zu Voicemail-Konten von Opfern zu erhalten, indem sie sich durch bloßes Bluffen als andere Angestellte der Telefongesellschaft ausgaben, zum Beispiel ein PI überzeugte Vodafone, die Voicemail-PIN der Schauspielerin Sienna Miller zurückzusetzen, indem sie anrief und behauptete, „John von der Kreditkontrolle“ zu sein.

Manchmal sind es externe Behörden, deren Forderungen wir erfüllen, ohne viel darüber nachzudenken. Hillary Clinton Kampagnenhoncho John Podesta ließ seine E-Mail 2016 von russischen Spionen hacken, als sie ihm eine Phishing-E-Mail schickten, die als Notiz von Google getarnt war und ihn aufforderte, sein Passwort zurückzusetzen. Indem er Maßnahmen ergriff, von denen er glaubte, dass sie sein Konto sichern würden, gab er tatsächlich seine Anmeldeinformationen

Prävention von Social Engineering

Sicherheitsbewusstseinstraining ist die erste Möglichkeit, Social Engineering zu verhindern. Die Mitarbeiter sollten sich bewusst sein, dass Social Engineering vorhanden ist, und mit den meisten Co vertraut sein Nur angewandte Taktik.

Glücklicherweise eignet sich das Social-Engineering-Bewusstsein zum Geschichtenerzählen. Und Geschichten sind viel einfacher zu verstehen und viel interessanter als Erklärungen technischer Mängel. Quizfragen und aufmerksamkeitsstarke oder humorvolle Poster erinnern auch effektiv daran, dass nicht jeder davon ausgeht, wer er ist.

Aber es muss nicht nur der durchschnittliche Mitarbeiter sein Kenntnis von Social Engineering. Führungskräfte und Führungskräfte sind primäre Unternehmensziele.

5 Tipps zur Verteidigung gegen Social Engineering

Der CSO-Mitarbeiter Dan Lohrmann bietet die folgenden Ratschläge:

1. Trainieren Sie und trainieren Sie erneut, wenn es um Sicherheitsbewusstsein geht.
Stellen Sie sicher, dass Sie über ein umfassendes Schulungsprogramm für Sicherheitsbewusstsein verfügen, das regelmäßig aktualisiert wird, um sowohl den allgemeinen Phishing-Bedrohungen als auch den neuen gezielten Cyberthreats zu begegnen. Denken Sie daran, dass dies der Fall ist Es geht nicht nur darum, auf Links zu klicken.

2. Stellen Sie wichtigen Mitarbeitern eine detaillierte „Roadshow“ zu den neuesten Online-Betrugstechniken zur Verfügung.
Ja, schließen Sie leitende Angestellte ein, aber vergessen Sie nicht, wer befugt ist, Überweisungen oder andere Finanztransaktionen durchzuführen.Denken Sie daran, dass viele der wahren Betrugsgeschichten bei Mitarbeitern auf niedrigerer Ebene auftreten, die sich täuschen lassen, dass eine Führungskraft sie auffordert, dringend Maßnahmen zu ergreifen – normalerweise unter Umgehung normaler Verfahren und / oder Kontrollen.

3. Überprüfen Sie vorhandene Prozesse, Verfahren und Aufgabentrennung für Finanztransfers und andere wichtige Transaktionen.
Fügen Sie bei Bedarf zusätzliche Kontrollen hinzu. Denken Sie daran, dass die Aufgabentrennung und andere Schutzmaßnahmen irgendwann durch Insider-Bedrohungen beeinträchtigt werden können. Daher müssen die Risikobewertungen angesichts der zunehmenden Bedrohungen möglicherweise erneut analysiert werden.

4. Berücksichtigen Sie neue Richtlinien in Bezug auf „Out-of-Band“ -Transaktionen oder dringende Anfragen von Führungskräften.
Eine E-Mail vom Google Mail-Konto des CEO sollte den Mitarbeitern automatisch eine rote Fahne setzen, sie müssen jedoch die neuesten Techniken verstehen, die von der dunklen Seite eingesetzt werden. Sie benötigen autorisierte Notfallmaßnahmen, die von allen gut verstanden werden.

5. Überprüfen, verfeinern und testen Sie Ihre Incident Management- und Phishing Reporting-Systeme.
Führen Sie eine Tabletop-Übung mit dem Management und mit Schlüsselpersonal auf einem Regelmäßige Basis. Testkontrollen und Reverse Engineering potenzieller Schwachstellenbereiche.

Social-Engineering-Toolkit

Eine Reihe von Anbietern bieten Tools oder Services zur Durchführung von Social-Engineering-Übungen an und / oder zu Sensibilisierung der Mitarbeiter mithilfe von Postern und Newslettern.

Ebenfalls einen Besuch wert ist das Social Engineering Toolkit von social-engineer.org, das kostenlos heruntergeladen werden kann. Das Toolkit hilft bei der Automatisierung von Penetrationstests über Social Engineering, einschließlich Spear-Phishing-Angriffen, Erstellung legitim aussehender Websites, USB-Laufwerk-basierter Angriffe und mehr.

Eine weitere gute Ressource ist das Social Engineering Framework. P. >

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.