Verstehen Sie Social Engineering – Schutz vor menschlichem Hacking

Eine kürzliche Neuigkeit ließ mich erkennen, wie menschliche Emotionen und Gedanken zum Nutzen anderer eingesetzt werden können (oder werden). Fast jeder von Ihnen kennt Edward Snowden , den Whistleblower der NSA , der auf der ganzen Welt schnüffelt. Reuters berichtete, dass er etwa 20-25 NSA -Leute dazu brachte, ihm ihre Passwörter zu übergeben, um einige Daten, die er später durchsickern ließ, zu retten [1]. Stellen Sie(Imagine) sich vor , wie anfällig Ihr Unternehmensnetzwerk selbst mit der stärksten und besten Sicherheitssoftware sein kann!

soziale Entwicklung

Was ist Social-Engineering

Menschliche(Human) Schwäche, Neugier, Emotionen und andere Eigenschaften wurden oft zum illegalen Extrahieren von Daten verwendet – egal in welcher Branche. Die IT-Industrie(IT Industry) hat ihm jedoch den Namen Social Engineering gegeben. Ich definiere Social Engineering als:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Hier ist eine weitere Zeile aus derselben Nachricht [1], die ich zitieren möchte – „ Sicherheitsbehörden tun sich schwer mit der Vorstellung, dass der Typ in der Nebenkabine möglicherweise nicht zuverlässig ist(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) “. Ich habe die Aussage etwas abgewandelt, damit sie in den Kontext hier passt. Sie können die vollständige Nachricht über den Link im Abschnitt „ Referenzen(References) “ lesen .

Mit anderen Worten, Sie haben keine vollständige Kontrolle über die Sicherheit Ihres Unternehmens, da sich Social Engineering viel schneller entwickelt als Techniken, um damit umzugehen. Social Engineering kann so aussehen, als würde man jemanden anrufen, der sagt, man sei der technische Support, und ihn nach seinen Anmeldedaten fragen. Sie müssen Phishing-E-Mails über Lotterien, reiche Leute im Nahen Osten(Mid East) und Afrika(Africa) , die Geschäftspartner suchen, und Stellenangebote erhalten haben, in denen Sie nach Ihren Daten gefragt werden.

Im Gegensatz zu Phishing-Angriffen handelt es sich bei Social Engineering hauptsächlich um eine direkte Interaktion von Person zu Person. Ersteres (Phishing) verwendet einen Köder – das heißt, die Leute, die „fischen“, bieten Ihnen etwas an, in der Hoffnung, dass Sie darauf hereinfallen. Beim Social(Social) Engineering geht es eher darum, das Vertrauen interner Mitarbeiter zu gewinnen, damit diese die von Ihnen benötigten Unternehmensdaten preisgeben.

Lesen Sie: (Read:) Beliebte Methoden des Social Engineering .

Bekannte Social-Engineering-Techniken

Es gibt viele, und alle nutzen grundlegende menschliche Neigungen, um in die Datenbank jeder Organisation zu gelangen. Die am häufigsten verwendete (wahrscheinlich veraltete) Social-Engineering-Technik besteht darin, Leute anzurufen und zu treffen und sie glauben zu machen, sie seien vom technischen Support, die Ihren Computer überprüfen müssen. Sie können auch gefälschte Ausweise erstellen, um Vertrauen aufzubauen. In einigen Fällen geben sich die Täter als Staatsbeamte aus.

Eine andere bekannte Technik besteht darin, Ihre Person als Mitarbeiter in der Zielorganisation einzustellen. Da dieser Betrüger Ihr Kollege ist, könnten Sie ihm Firmendetails anvertrauen. Der externe Mitarbeiter hilft Ihnen vielleicht bei etwas, sodass Sie sich verpflichtet fühlen und dann das Maximum herausholen können.

Ich habe auch einige Berichte über Leute gelesen, die elektronische Geschenke verwenden. Ein schicker USB -Stick, der Ihnen an Ihre Firmenadresse geliefert wird, oder ein USB-Stick, der in Ihrem Auto liegt, kann sich als Katastrophe erweisen. In einem Fall hat jemand einige USB -Sticks absichtlich als Köder auf dem Parkplatz liegen lassen [2].

Wenn Ihr Unternehmensnetzwerk an jedem Knoten über gute Sicherheitsmaßnahmen verfügt, sind Sie gesegnet. Andernfalls bieten diese Knoten einen einfachen Durchgang für Malware – in diesem Geschenk oder „vergessenen“ USB-Sticks – zu den zentralen Systemen.

Daher können wir keine umfassende Liste von Social-Engineering-Methoden bereitstellen. Es ist eine Wissenschaft im Kern, kombiniert mit Kunst an der Spitze. Und Sie wissen, dass keiner von beiden Grenzen hat. Social -Engineering-Leute werden immer kreativer, während sie Software entwickeln, die auch drahtlose Geräte missbrauchen kann, um Zugang zum Wi-Fi des Unternehmens zu erhalten .

Lesen Sie: (Read:) Was ist Social-Engineering-Malware ?

Social-Engineering verhindern

Ich persönlich glaube nicht, dass es ein Theorem gibt, mit dem Admins Social-Engineering-Hacks verhindern können. Die Social-Engineering-Techniken ändern sich ständig, und daher wird es für IT-Administratoren schwierig, den Überblick zu behalten, was passiert.

Natürlich ist es notwendig, die Social-Engineering-Neuigkeiten im Auge zu behalten, damit man ausreichend informiert ist, um geeignete Sicherheitsmaßnahmen zu ergreifen. Im Falle von USB -Geräten können Administratoren beispielsweise USB - Laufwerke auf einzelnen Knoten blockieren und sie nur auf dem Server mit einem besseren Sicherheitssystem zulassen. Ebenso(Likewise) würde Wi-Fi eine bessere Verschlüsselung benötigen, als die meisten lokalen ISPs bieten.

Mitarbeiterschulungen und stichprobenartige Tests an unterschiedlichen Mitarbeitergruppen können dabei helfen, Schwachstellen in der Organisation zu identifizieren. Es wäre einfach, die schwächeren Individuen zu trainieren und zu warnen. Wachsamkeit(Alertness) ist die beste Verteidigung. Hervorzuheben ist, dass die Zugangsdaten nicht einmal mit den Teamleitern geteilt werden sollten – ungeachtet des Drucks. Wenn ein Teamleiter auf das Login eines Mitglieds zugreifen muss, kann er/sie ein Master-Passwort verwenden. Das ist nur ein Vorschlag, um sicher zu bleiben und Social-Engineering-Hacks zu vermeiden.

Unter dem Strich müssen sich die IT-Leute neben Malware und Online-Hackern auch um Social Engineering kümmern. Beim Identifizieren von Methoden für eine Datenschutzverletzung (wie das Aufschreiben von Passwörtern usw.) sollten die Administratoren auch sicherstellen, dass ihre Mitarbeiter schlau genug sind, eine Social-Engineering-Technik zu identifizieren, um sie vollständig zu vermeiden. Was sind Ihrer Meinung nach die besten Methoden, um Social Engineering zu verhindern? Wenn Sie auf einen interessanten Fall gestoßen sind, teilen Sie ihn uns bitte mit.

Laden Sie dieses von Microsoft herausgegebene E-Book zu Social-Engineering-Angriffen herunter und erfahren Sie, wie Sie solche Angriffe in Ihrem Unternehmen erkennen und verhindern können.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

Verweise(References)

[1] Reuters , Snowden überredete NSA-Mitarbeiter(NSA Employees Into) , ihre Login- Daten zu erhalten(Info)

[2] Boing Net , USB(Pen) -Sticks zur Verbreitung von Malware(Spread Malware) .



About the author

Ich bin ein Windows 10-Techniker und helfe seit vielen Jahren Einzelpersonen und Unternehmen dabei, die Vorteile des neuen Betriebssystems zu nutzen. Ich habe umfangreiche Kenntnisse über Microsoft Office, einschließlich der Anpassung des Erscheinungsbilds und der Personalisierung von Anwendungen für verschiedene Benutzer. Außerdem weiß ich, wie ich mit der Explorer-App Dateien und Ordner auf meinem Computer durchsuchen und finden kann.



Related posts