«Es ist viel einfacher, eine Person dazu zu verleiten, ein Kennwort für ein Computernetzwerk oder eine Anwendung preiszugeben, als sich durch einen Hackangriff Zugang zu verschaffen». Diese Aussage stammt von Kevin Mitnick, ein bekannter ehemaliger Computerkrimineller, der den Begriff „Social Engineering” populär gemacht hat.
„Social Engineering” ist ein Begriff den Hackern verwenden, um Techniken für den Zugang zu Computersystemen zu beschreiben, die sich auf menschliche Schwächen und nicht auf Softwaretools stützen. Damit wollen sie Personen auszutricksen, sodass sie Kennwörter und sonstige Informationen preisgeben, die ein Hacker zur Schädigung der Sicherheit eines Computersystems einsetzen kann. „Social Engineering” kann wie folgt beschrieben werden: „die Kunst und Wissenschaft, Menschen dazu zu bringen, fremde Wünsche zu erfüllen.“
In einem Artikel in der Washington Post erklärte Mitnick, er habe in mehr als der Hälfte seiner erfolgreichen Netzwerkangriffe „Social Engineering“ eingesetzt, um Informationen über ein Netzwerk - und in einigen Fällen sogar Zugang zu dem Netzwerk - zu erhalten.
In seinem lesenswerten Buch The Art of Deception geht er noch weiter und erklärt Folgendes:
„… die Menschen möchten von Natur aus hilfsbereit sein und können daher leicht überlistet werden.“
„Sie setzen ein gewisses Mass an Vertrauen voraus, um Konflikte zu vermeiden.“
„Es dreht sich alles um den Zugang zu Informationen, die von den Personen für harmlos erachtet werden, es aber nicht sind.“
„Sie können ein Vermögen für den Kauf von Technologie und Dienstleistungen ausgeben …und Ihre Netzwerkinfrastruktur kann dennoch weiterhin herkömmlichen Manipulationen ausgesetzt sein.“
„Das schwächste Glied in der Sicherheitskette ist der Mensch…“
Wie können Angriffe durchgeführt werden?
Am häufigsten werden Angriffe dieser Art telefonisch durchgeführt. Ein Hacker ruft an und imitiert jemanden. Häufig tritt er als eine Autoritätsperson auf und bringt die Person allmählich dazu, so viele Informationen wie möglich preiszugeben. Beispielsweise sind Telefonanrufe, bei denen der Hacker sich als ein Mitarbeiter des Helpdesks oder des Desktop-Supports ausgibt, und die Kennwörter der Benutzer abfragt. Ein effizienter und einfacher Weg, um Computerbenutzer zur Preisgabe von Informationen zu verleiten.
Eine weitere Möglichkeit von „Social Engineers“ kann sein, dass er sich als Netzwerkadministrator ausgibt, um die notwendigen Daten zu erhalten. Der Hacker versendet eine E-Mail-Nachricht über das Netzwerk und behauptet, er benötige den Namen und das Kennwort des Benutzers, um ein technisches Problem zu beheben. In anderen Fällen erhalten Sie möglicherweise eine E-Mail-Nachricht mit einem Link zu einer Website, der noch mit einem Wettbewerb lockt. Auf dieser Website werden Sie aufgefordert, ein Formular auszufüllen, das die Namen von Kollegen und Vorgesetzten, Telefonnummern und sonstige sensible Informationen umfasst. Diese Fakten können insgesamt dem Hacker dabei helfen, sein „Social Engineering“-Netz auszubauen und schliesslich Ihr Computernetzwerk zu schädigen.
Wie kann ich mich und meine Firma vor einem „Social Engineering”-Angriff schützen?
Geben Sie niemals Ihr Kennwort bekannt (sofern Sie nicht dazu befugt sind). Alle berechtigten Netzwerkbenutzer verfügen über ihre eigenen Konten und ein Administrator, der eine Aufgabe auszuführen hat, kann diese über sein eigenes Konto ausführen. Einem Administrator muss Ihr Kennwort nicht bekannt sein. Für das Zurücksetzen eines Kennwortes oder das Entsperren eines Kontos ist kein Kennwort erforderlich.
Im Folgenden finden Sie weitere Tipps, um „Social Engineering”-Angriffe zu vermeiden:
- Überprüfen Sie die Identität aller Anrufer.
- Stellen Sie sicher, dass alle Besucher das lokale Registrierungsverfahren für Besucher durchlaufen und stets die korrekte Besucheridentifizierung angezeigt wird.
- Geben Sie niemals vertrauliche Geschäftsinformationen preis. Seien Sie vorsichtig, wenn ein Anrufer Sie nach Angaben von andere Mitarbeitern fragt, u. a. Namen und Positionen.
- Ignorieren Sie es, wenn Sie ein Anrufer oder unbekannter Besucher dazu auffordert, etwas in Ihren Computer einzugeben, sofern Sie nicht davon überzeugt sind, dass die Person dazu berechtigt ist.
- Achten Sie auf Personen, die Ihnen bei der Eingabe Ihres Kennwortes über die Schulter schauen.
- Geben Sie nicht die Einwahlnummer für Ihr Computernetzwerk oder ein System bekannt, sofern es sich nicht um berechtigte Benutzer handelt.
- Beantworten Sie niemals die Fragen von externen Telefonumfragen.
Was ist zu tun, wenn Sie Ihrer Einschätzung nach einem Angriff ausgesetzt sind?
Falls Sie einen Anruf erhalten, bei dem es sich nach Ihrer Einschätzung um einen „Social Engineering“-Angriff handelt, sollten Sie wie folgt vorgehen:
- Schreiben Sie die Nummer auf, wenn diese auf Ihrem Telefon angezeigt wird.
- Machen Sie ausführliche Notizen über das Gespräch, einschliesslich Datum und Uhrzeit.
- Fragen Sie nach dem Namen und der Nummer des Anrufers.
- Nehmen Sie umgehend Kontakt mit Ihrem IT-Sicherheitsteam vor Ort auf und befolgen Sie die lokalen Verfahren für den Vorfall.
- Warnen Sie Ihre Kollegen.
Keine Kommentare:
Kommentar veröffentlichen