Samstag, 25. Juni 2005

Social Engineering: Hacker führen Hackangriffe auf Menschen aus

Als Teil der Sensibilisierungskampagne zur weltweiten IT-Sicherheit finden Sie hier die neueste Mitteilung zu den besten Praktiken über «Social Engineering».

Profis führen Hackangriffe auf Menschen aus, Amateure hingegen bearbeiten die Tastatur des Computers. Social Engineering ist ein Begriff, der unter Hackern für Techniken für den Zugang zu Computersystemen verwendet wird, die auf die Schwäche der menschlichen Natur und nicht der Software beruhen. Das Ziel der Hacker besteht darin, Personen auszutricksen, damit sie ihre Passwörter und andere Informationen preisgeben, die für den Zugang zu ihren Systemen oder die Schädigung ihrer Sicherheit verwendet werden können. Social Engineering kann als die Kunst und Wissenschaft beschrieben werden, um Personen dazu zu bewegen, die eigenen Wünsche zu erfüllen.

Wie können Angriffe ausgeführt werden?

Am häufigsten werden Angriffe dieser Art telefonisch ausgeführt. Ein Hacker ruft an und imitiert jemanden, . Häufig tritt er in der Position einer Autorität auf und bringt die Person allmählich dazu, so viele Informationen wie möglich preiszugeben. Telefonanrufe bei Benutzern, bei denen der Hacker vorgibt, ein Mitarbeiter des Helpdesks oder des Informatik-Support zu sein und ihre Passwörter abfragt, sind ein effizienter und einfacher Weg, die Sicherheit eines Systems zu schädigen. Eine weitere Möglichkeit für den Erhalt von Daten besteht darin, dass Hacker vorgeben, der Netzwerkadministrator zu sein, E-Mails über das Netzwerk senden und nach dem Passwort des Benutzers für die Unterstützung bei einem technischen Problem fragen, wobei sie vorgeben, die Anmeldungs-ID und das Passwort zu seiner Lösung zu benötigen. Die E-Mail wird möglicherweise an eine Website mit einem Preisausschreiben oder einer Werbung umgeleitet, bei denen nach Daten in Bezug auf die Arbeitsumgebung gefragt wird.

Wie kann ich mich und meinen Arbeitgeber davor schützen?
  • Geben Sie niemals Ihr Passwort bekannt. Alle berechtigten Benutzer verfügen über ihren eigenen Account und ein Administrator, der für einen Benutzer eine Aufgabe auszuführen hat, kann diese über seinen eigenen Account ohne das Passwort des Benutzers ausführen. Für Aufgaben, wie z. B. die Neueinrichtung des Passworts eines Benutzers ist kein Passwort erforderlich.
  • Überprüfen Sie die Identität aller Anrufer.
  • Stellen Sie sicher, dass alle Besucher das lokale Registrierungsverfahren für Besucher durchlaufen und stets die korrekte Besucheridentifizierung (z. B. Badge) tragen.
  • Geben Sie niemals vertrauliche Geschäftsinformationen preis. Seien Sie vorsichtig, wenn Sie nach Angaben über andere Mitarbeiter gefragt werden, u. a. Namen und Positionen.
  • Geben Sie niemals Daten in den Computer ein, wenn Sie jemand dazu auffordert, sofern Sie sich nicht sicher sind, dass die Person dazu befugt ist.
  • Achten Sie auf Personen, die Ihnen bei der Eingabe Ihres Passwortes über die Schulter schauen.
  • Geben Sie nicht die Einwahlnummer für ein Computersystem bekannt, sofern es sich nicht um berechtigte Benutzer handelt.
  • Beantworten Sie niemals die Fragen von externen Telefonumfragen.

Was ist zu tun, wenn Sie Ihrer Einschätzung nach einem Angriff ausgesetzt sind?

Wenn Sie einen Anruf von einer ihres Erachtens nicht befugten Person erhalten, sollten Sie wie folgt vorgehen:
  • Wird die Nummer des Anrufers auf Ihrem Telefon angezeigt, schreiben Sie diese auf.
  • Machen Sie ausführliche Notizen über das Gespräch, einschliesslich Datum und Uhrzeit.
  • Fragen Sie nach dem Namen und der Nummer des Anrufers.
  • Nehmen Sie umgehend Kontakt mit Ihrem IT-Sicherheitsteam vor Ort auf - befolgen Sie die lokalen Verfahren für den Vorfall.
  • Informieren Sie Ihre Kollegen.
Quelle: «Zürich» Versicherung