Eine kürzliche Neuigkeit ließ mich erkennen, wie menschliche Emotionen und Gedanken zum Nutzen anderer eingesetzt werden können (oder werden). Fast jeder von Ihnen kennt Edward Snowden , den Whistleblower der NSA , der auf der ganzen Welt schnüffelt. Reuters berichtete, dass er etwa 20-25 NSA -Leute dazu brachte, ihm ihre Passwörter zu übergeben, um einige Daten, die er später durchsickern ließ, zu retten [1]. Stellen Sie^(Imagine) sich vor , wie anfällig Ihr Unternehmensnetzwerk selbst mit der stärksten und besten Sicherheitssoftware sein kann!

Was ist Social-Engineering

Menschliche^(Human) Schwäche, Neugier, Emotionen und andere Eigenschaften wurden oft zum illegalen Extrahieren von Daten verwendet – egal in welcher Branche. Die IT-Industrie^{(IT Industry)} hat ihm jedoch den Namen Social Engineering gegeben. Ich definiere Social Engineering als:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Hier ist eine weitere Zeile aus derselben Nachricht [1], die ich zitieren möchte – „ Sicherheitsbehörden tun sich schwer mit der Vorstellung, dass der Typ in der Nebenkabine möglicherweise nicht zuverlässig ist^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} “. Ich habe die Aussage etwas abgewandelt, damit sie in den Kontext hier passt. Sie können die vollständige Nachricht über den Link im Abschnitt „ Referenzen^(References) “ lesen .

Mit anderen Worten, Sie haben keine vollständige Kontrolle über die Sicherheit Ihres Unternehmens, da sich Social Engineering viel schneller entwickelt als Techniken, um damit umzugehen. Social Engineering kann so aussehen, als würde man jemanden anrufen, der sagt, man sei der technische Support, und ihn nach seinen Anmeldedaten fragen. Sie müssen Phishing-E-Mails über Lotterien, reiche Leute im Nahen Osten^{(Mid East)} und Afrika^(Africa) , die Geschäftspartner suchen, und Stellenangebote erhalten haben, in denen Sie nach Ihren Daten gefragt werden.

Im Gegensatz zu Phishing-Angriffen handelt es sich bei Social Engineering hauptsächlich um eine direkte Interaktion von Person zu Person. Ersteres (Phishing) verwendet einen Köder – das heißt, die Leute, die „fischen“, bieten Ihnen etwas an, in der Hoffnung, dass Sie darauf hereinfallen. Beim Social^(Social) Engineering geht es eher darum, das Vertrauen interner Mitarbeiter zu gewinnen, damit diese die von Ihnen benötigten Unternehmensdaten preisgeben.

Lesen Sie: ^(Read:) Beliebte Methoden des Social Engineering .

Bekannte Social-Engineering-Techniken

Es gibt viele, und alle nutzen grundlegende menschliche Neigungen, um in die Datenbank jeder Organisation zu gelangen. Die am häufigsten verwendete (wahrscheinlich veraltete) Social-Engineering-Technik besteht darin, Leute anzurufen und zu treffen und sie glauben zu machen, sie seien vom technischen Support, die Ihren Computer überprüfen müssen. Sie können auch gefälschte Ausweise erstellen, um Vertrauen aufzubauen. In einigen Fällen geben sich die Täter als Staatsbeamte aus.

Eine andere bekannte Technik besteht darin, Ihre Person als Mitarbeiter in der Zielorganisation einzustellen. Da dieser Betrüger Ihr Kollege ist, könnten Sie ihm Firmendetails anvertrauen. Der externe Mitarbeiter hilft Ihnen vielleicht bei etwas, sodass Sie sich verpflichtet fühlen und dann das Maximum herausholen können.

Ich habe auch einige Berichte über Leute gelesen, die elektronische Geschenke verwenden. Ein schicker USB -Stick, der Ihnen an Ihre Firmenadresse geliefert wird, oder ein USB-Stick, der in Ihrem Auto liegt, kann sich als Katastrophe erweisen. In einem Fall hat jemand einige USB -Sticks absichtlich als Köder auf dem Parkplatz liegen lassen [2].

Wenn Ihr Unternehmensnetzwerk an jedem Knoten über gute Sicherheitsmaßnahmen verfügt, sind Sie gesegnet. Andernfalls bieten diese Knoten einen einfachen Durchgang für Malware – in diesem Geschenk oder „vergessenen“ USB-Sticks – zu den zentralen Systemen.

Daher können wir keine umfassende Liste von Social-Engineering-Methoden bereitstellen. Es ist eine Wissenschaft im Kern, kombiniert mit Kunst an der Spitze. Und Sie wissen, dass keiner von beiden Grenzen hat. Social -Engineering-Leute werden immer kreativer, während sie Software entwickeln, die auch drahtlose Geräte missbrauchen kann, um Zugang zum Wi-Fi des Unternehmens zu erhalten .

Lesen Sie: ^(Read:) Was ist Social-Engineering-Malware ?

Social-Engineering verhindern

Ich persönlich glaube nicht, dass es ein Theorem gibt, mit dem Admins Social-Engineering-Hacks verhindern können. Die Social-Engineering-Techniken ändern sich ständig, und daher wird es für IT-Administratoren schwierig, den Überblick zu behalten, was passiert.

Natürlich ist es notwendig, die Social-Engineering-Neuigkeiten im Auge zu behalten, damit man ausreichend informiert ist, um geeignete Sicherheitsmaßnahmen zu ergreifen. Im Falle von USB -Geräten können Administratoren beispielsweise USB - Laufwerke auf einzelnen Knoten blockieren und sie nur auf dem Server mit einem besseren Sicherheitssystem zulassen. Ebenso^(Likewise) würde Wi-Fi eine bessere Verschlüsselung benötigen, als die meisten lokalen ISPs bieten.

Mitarbeiterschulungen und stichprobenartige Tests an unterschiedlichen Mitarbeitergruppen können dabei helfen, Schwachstellen in der Organisation zu identifizieren. Es wäre einfach, die schwächeren Individuen zu trainieren und zu warnen. Wachsamkeit^(Alertness) ist die beste Verteidigung. Hervorzuheben ist, dass die Zugangsdaten nicht einmal mit den Teamleitern geteilt werden sollten – ungeachtet des Drucks. Wenn ein Teamleiter auf das Login eines Mitglieds zugreifen muss, kann er/sie ein Master-Passwort verwenden. Das ist nur ein Vorschlag, um sicher zu bleiben und Social-Engineering-Hacks zu vermeiden.

Unter dem Strich müssen sich die IT-Leute neben Malware und Online-Hackern auch um Social Engineering kümmern. Beim Identifizieren von Methoden für eine Datenschutzverletzung (wie das Aufschreiben von Passwörtern usw.) sollten die Administratoren auch sicherstellen, dass ihre Mitarbeiter schlau genug sind, eine Social-Engineering-Technik zu identifizieren, um sie vollständig zu vermeiden. Was sind Ihrer Meinung nach die besten Methoden, um Social Engineering zu verhindern? Wenn Sie auf einen interessanten Fall gestoßen sind, teilen Sie ihn uns bitte mit.

Laden Sie dieses von Microsoft herausgegebene E-Book zu Social-Engineering-Angriffen herunter und erfahren Sie, wie Sie solche Angriffe in Ihrem Unternehmen erkennen und verhindern können.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Verweise^(References)

[1] Reuters , Snowden überredete NSA-Mitarbeiter^{(NSA Employees Into)} , ihre Login- Daten zu erhalten^(Info)

[2] Boing Net , USB^(Pen) -Sticks zur Verbreitung von Malware^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news made me realize how human emotions and thoughts can be (or, are) used for others’ benefit. Almost every onе of you knows Edward Snowden, the whistleblower of NSA snooping the world over. Reuters reported that he got around 20-25 NЅA peoplе to hand over their passwordѕ to hіm for recоvering some data he leaked lаter [1]. Imagine how fragile yoυr corporate network can be, even with the strongest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Sucht nach Internet und sozialen Netzwerken

• Fake-News-Websites: Ein wachsendes Problem und was es in der heutigen Welt bedeutet

• Wie man Instagram Reels einrichtet, aufzeichnet, bearbeitet und veröffentlicht

• So aktivieren Sie die Zwei-Faktor-Authentifizierung für das Reddit-Konto

• Verbinden Sie sich mit dem Windows-Club

• So laden Sie Instagram-Geschichten auf den PC oder das Handy herunter

• So werden Sie ein Influencer auf Twitter

• 10 Reddit-Tipps und Tricks, die Ihnen helfen, ein Redditor-Meister zu werden

• Widerrufen Sie den Zugriff Dritter von Facebook, Google, Microsoft, Twitter

• So schalten Sie Instagram-Benutzer auf einem Windows-PC stumm, heben die Stummschaltung auf und beschränken sie

• Wie man Facebook nutzt, um ein Social Media Influencer zu werden

• Die besten Yammer-Tipps und Tricks für Power-User

• Die besten kostenlosen Canva-Vorlagen für Präsentationen

• Yammer-Funktionen und wo Sie es verwenden können

• Finden Sie mit diesen Tools die besten Beiträge und Empfehlungen auf Reddit

• Gefahren und Folgen des übermäßigen Teilens in sozialen Medien

• StalkFace und StalkScan helfen Ihnen, Facebook-Freunde besser zu verstehen

• Die 5 besten Social Media-Apps für Windows 10, die im Microsoft Store erhältlich sind

• Die 5 besten Facebook-Alternativen, die Sie sich ansehen sollten

• Mit UniShare können Sie gleichzeitig auf Facebook, Twitter und LinkedIn teilen