Social-Engineering-Angriffe nutzen unser menschliches Vertrauen aus, zum Beispiel unsere Ängste, unsere Neugier und sogar unseren Wunsch, anderen zu helfen. Eine Studie zeigt, dass 75 % der Befragten glauben, dass Social-Engineering- und Phishing-Angriffe die größte Gefahr für die Cybersicherheit in ihrem Unternehmen darstellen. Die Bedrohungen für die Cybersicherheit entwickeln sich weiter.
Während die Zahl der klassischen Angriffsmethoden zurückgehen mögen, werden komplexere Angriffe weiter zunehmen. Deshalb ist es wichtig, wachsam zu bleiben und sich zu informieren, um geschützt zu bleiben.
Carlos Salas, Engineering Manager bei Nordlayer, stellt 10 Social-Engineering-Techniken vor, mit denen Hacker sowohl Einzelpersonen als auch Unternehmen angreifen können. Salas: „Social Engineering ist einer der einfachsten Wege, um an sensible Daten zu gelangen, vor allem, wenn die Mitarbeiter nicht darin geschult wurden, wie man es erkennt und bekämpft. Da jedes Mitglied der Organisation ein potenzielles Ziel ist, können solche Angriffe mit interaktiven und informativen Schulungen verhindert werden.“ Im Folgenden teilt der Experte sein Fachwissen darüber, wie man potenzielle Schäden durch solche Angriffe vermeiden kann.
- Baiting
Bei Baiting-Angriffen werden falsche Versprechungen gemacht, um die Begehrlichkeit oder Neugier des Opfers zu wecken. Social-Engineering-Angreifer nutzen „Köder“, um Benutzer in eine Falle zu locken, um ihre persönlichen Daten zu stehlen oder ihre Systeme mit Schadsoftware zu infizieren. Beispielsweise werden infizierte USB-Speichersticks auf Parkplätzen oder in Büros zurückgelassen, um die Menschen zu verlocken, nachzusehen, was sich darauf befindet. Man sollte nie versuchen, zu überprüfen, was sich auf einem unbekannten USB-Stick befindet. Wer einen solchen USB-Stick herumliegen sieht, sollte dies unbedingt dem IT-Team melden.
- Pretexting
Ein Angreifer verwendet ein fingiertes Szenario (einen Vorwand), um einen Mitarbeiter dazu zu bringen, sensible Informationen preiszugeben, z. B. Anmeldedaten für IT-Systeme oder persönliche Informationen über andere Mitarbeiter. Oft ist es erforderlich, mehr über das Opfer vor dem Angriff in Erfahrung zu bringen, um das Szenario plausibel darzustellen und das Vertrauen des Opfers zu gewinnen. Sollte es zu so einem Angriff kommen, ist es das Wichtigste, die Identität des vermeintlich böswilligen Gegenübers zu überprüfen, die Weitergabe persönlicher Daten zu unterlassen und den Vorfall an das IT-Team zu melden.
- Watering Hole
Bei einem Watering-Hole-Angriff infiziert der Angreifer eine bestehende Webseite oder erstellt eine gefälschte Webseite, die eine bestehende Webseite imitiert, die häufig von einer bestimmten Personengruppe genutzt wird, zum Beispiel von Mitarbeitern eines Unternehmens. Das Ziel ist es, den Computer eines ausgewählten Opfers zu infizieren und sich z. B. Zugang zum Netzwerk am Arbeitsplatz des Opfers zu verschaffen. Um sich zu schützen, greifen Sie nur auf Webseiten zu, die HTTPS im URL-Code haben, aktualisieren Sie stets Ihre Software und verwenden Sie Tools zur Erkennung von Schadsoftware.
- Quid-Pro-Quo-Angriff
Quid-Pro-Quo-Angriffe nutzen das gegenseitige Vertrauen von Menschen aus. Die Angreifer bieten Dienstleistungen, Hilfe oder andere Vorteile im Austausch für Informationen an. Zum Beispiel könnte jemand, der sich als IT-Experte ausgibt, nach den Anmeldedaten Ihres Geräts fragen, um es schneller zum Laufen zu bringen. Um den Verlust von Informationen zu verhindern, sollten Sie die Identität des vermeintlichen IT-Experten überprüfen, seine Vorgehensweise und Tools hinterfragen und eine Anti-Malware-Software verwenden.
- Scareware
Scareware ist eine Form von bösartiger Software, in der Regel ein Pop-up-Fenster, das davor warnt, dass Ihre Sicherheitssoftware veraltet ist oder dass bösartige Software auf Ihrem Computer entdeckt wurde. Sie verleitet die Opfer dazu, bösartige Webseiten zu besuchen oder unbrauchbare Antiviren-Software zu kaufen. Verwenden Sie einen Werbeblocker und ein zuverlässiges Antivirenprogramm und klicken Sie nicht auf fragliche Pop-ups.
- Tailgating and Piggybacking
Bei Tailgating und Piggybacking verschafft sich ein Angreifer Zugang zu einem gesicherten oder geschützten Bereich. Zum Beispiel könnte eine Person einem Mitarbeiter ins Büro folgen und behaupten, er habe seine Zugangskarte verloren, sich als Reparaturtechniker ausgeben oder mit beiden Händen Kaffeetassen halten und Sie um Hilfe beim Öffnen der Tür bitten.
- Vishing
Vishing, auch bekannt als „Voice Phishing“, ist eine Praxis, bei der versucht wird, jemandem über das Telefon Informationen zu entlocken oder ihn zu beeinflussen. Allein im Jahr 2021 haben die US-Amerikaner laut Truecaller 29.800.000 $ durch Telefonbetrug verloren. Vermeiden Sie es, auf E-Mails oder Nachrichten in den sozialen Medien zu antworten, in denen nach Ihrer Telefonnummer gefragt wird. Denken Sie daran, dass Ihre Kollegen Sie niemals unter Ihrer privaten Telefonnummer anrufen und Sie bitten würden, Geld oder andere sensible Informationen zu übermitteln.
- Shoulder Surfing
Beim Shoulder Surfing beobachtet der Täter sein ahnungsloses Opfer, während es Passwörter und andere sensible Informationen eingibt. Aber diese Methode muss nicht aus nächster Nähe angewendet werden, indem man dem Opfer buchstäblich über die Schulter schaut. Der Hacker kann sie auch aus der Ferne anwenden, wenn er z. B. ein Fernglas oder eine versteckte Kamera benutzt. Um das Risiko zu minimieren, auf diese Weise ausspioniert zu werden, sollten Sie starke Single-Sign-On-Passwörter, biometrische Anmeldung und die 2-Faktor-Authentifizierung verwenden.
- Dumpster Diving
Beim Dumpster Diving durchsuchen Angreifer den Müll eines Unternehmens nach Dokumenten mit sensiblen oder vertraulichen Informationen. Verwenden Sie immer einen Aktenvernichter, um einen solchen Verlust von Informationen zu verhindern.
- Deepfakes
Deepfakes („deep learning“ + „fake“) sind manipulierte Medieninhalte, in denen eine Person in einem echten Bild, Audio oder Video durch das Abbild einer anderen Person ersetzt wird. Es ist möglich, Deepfakes zu erkennen. Achten Sie darauf, ob Schatten im Gesicht zu sehen sind oder ob die Augen blinzeln. Auch Stimmen können nachgeahmt werden. Vorsicht daher bei Telefonanrufen. Klingt die Stimme nach einer Aufnahme in schlechter Qualität? Dann achten Sie besonders darauf, wie Buchstaben wie F, S, V und Z ausgesprochen werden – die Software hat meist noch Schwierigkeiten, sie von Hintergrundgeräuschen zu unterscheiden.
www.nordlayer.com