Was ist Social Engineering? Angriffe, Techniken & Verhütung

Inhaltsverzeichnis:

Anonim

Was ist Social Engineering?

Social Engineering ist die Kunst, Benutzer eines Computersystems so zu manipulieren, dass vertrauliche Informationen preisgegeben werden, mit denen unbefugter Zugriff auf ein Computersystem erlangt werden kann. Der Begriff kann auch Aktivitäten wie das Ausnutzen menschlicher Freundlichkeit, Gier und Neugierde umfassen, um Zugang zu Gebäuden mit eingeschränktem Zugang zu erhalten oder die Benutzer zur Installation von Backdoor-Software zu bewegen.

Die Kenntnis der Tricks, mit denen Hacker Benutzer dazu verleiten, wichtige Anmeldeinformationen freizugeben, ist für den Schutz von Computersystemen von grundlegender Bedeutung

In diesem Tutorial werden wir Ihnen die gängigen Social-Engineering-Techniken vorstellen und erläutern, wie Sie Sicherheitsmaßnahmen entwickeln können, um diesen entgegenzuwirken.

In diesem Tutorial behandelte Themen

  • Wie funktioniert Social Engineering?
  • Gemeinsame Social-Engineering-Techniken
  • Social Engineering Gegenmaßnahmen

Wie funktioniert Social Engineering?

HIER,

  • Informationen sammeln : Dies ist die erste Phase, in der so viel wie möglich über das beabsichtigte Opfer gelernt wird. Die Informationen werden von Unternehmenswebsites, anderen Veröffentlichungen und manchmal durch Gespräche mit den Benutzern des Zielsystems gesammelt.
  • Angriff planen : Die Angreifer beschreiben, wie sie den Angriff ausführen möchten
  • Tools erwerben : Dazu gehören Computerprogramme, die ein Angreifer beim Starten des Angriffs verwendet.
  • Angriff : Nutze die Schwächen im Zielsystem aus.
  • Verwenden Sie erworbenes Wissen : Informationen, die während der Social-Engineering-Taktik gesammelt wurden, wie z. B. Kosenamen, Geburtsdaten der Gründer der Organisation usw., werden bei Angriffen wie dem Erraten von Passwörtern verwendet.

Gängige Social-Engineering-Techniken:

Social-Engineering-Techniken können viele Formen annehmen . Das Folgende ist die Liste der allgemein verwendeten Techniken.

  • Vertrautheit ausnutzen: Benutzer sind weniger misstrauisch gegenüber Personen, mit denen sie vertraut sind. Ein Angreifer kann sich vor dem Social-Engineering-Angriff mit den Benutzern des Zielsystems vertraut machen. Der Angreifer kann während der Mahlzeiten mit Benutzern interagieren, wenn Benutzer rauchen, an denen er teilnehmen kann, bei gesellschaftlichen Ereignissen usw. Dies macht den Angreifer den Benutzern vertraut. Angenommen, der Benutzer arbeitet in einem Gebäude, für dessen Zugriff ein Zugangscode oder eine Zugangskarte erforderlich ist. Der Angreifer kann den Benutzern beim Betreten solcher Orte folgen. Die Benutzer halten am liebsten die Tür offen, damit der Angreifer hineingehen kann, wenn sie mit ihnen vertraut sind. Der Angreifer kann auch nach Antworten auf Fragen fragen, z. B. wo Sie Ihren Ehepartner getroffen haben, den Namen Ihres Mathematiklehrers an der High School usw. Die Benutzer geben am wahrscheinlichsten Antworten, wenn sie dem vertrauten Gesicht vertrauen.Diese Informationen können verwendet werden, um E-Mail-Konten und andere Konten zu hacken, die ähnliche Fragen stellen, wenn man ihr Passwort vergisst.
  • Einschüchternde Umstände : Menschen neigen dazu, Menschen zu meiden, die andere in ihrer Umgebung einschüchtern. Mit dieser Technik kann der Angreifer so tun, als hätte er einen heftigen Streit am Telefon oder mit einem Komplizen im Schema. Der Angreifer kann dann Benutzer nach Informationen fragen, die verwendet werden, um die Sicherheit des Benutzersystems zu gefährden. Die Benutzer geben höchstwahrscheinlich die richtigen Antworten, um eine Konfrontation mit dem Angreifer zu vermeiden. Diese Technik kann auch verwendet werden, um zu vermeiden, dass sie an einem Sicherheitskontrollpunkt überprüft wird.
  • Phishing : Diese Technik verwendet Tricks und Täuschungen, um private Daten von Benutzern zu erhalten. Der Social Engineer versucht möglicherweise, sich als echte Website wie Yahoo auszugeben, und fordert dann den ahnungslosen Benutzer auf, seinen Kontonamen und sein Kennwort zu bestätigen. Diese Technik kann auch verwendet werden, um Kreditkarteninformationen oder andere wertvolle persönliche Daten abzurufen.
  • Tailgating : Bei dieser Technik werden Benutzer beim Betreten eingeschränkter Bereiche verfolgt. Aus menschlicher Höflichkeit lässt der Benutzer den Social Engineer höchstwahrscheinlich in den eingeschränkten Bereich.
  • Menschliche Neugier ausnutzen : Mit dieser Technik kann der Social Engineer eine mit Viren infizierte Flash-Disk absichtlich in einem Bereich ablegen, in dem die Benutzer sie leicht abholen können. Der Benutzer wird höchstwahrscheinlich die Flash-Disk an den Computer anschließen. Auf dem Flash-Datenträger wird der Virus möglicherweise automatisch ausgeführt, oder der Benutzer ist möglicherweise versucht, eine Datei mit einem Namen wie Employees Revaluation Report 2013.docx zu öffnen, bei der es sich möglicherweise tatsächlich um eine infizierte Datei handelt.
  • Menschliche Gier ausnutzen : Mit dieser Technik kann der Social Engineer den Benutzer mit dem Versprechen anlocken, online viel Geld zu verdienen, indem er ein Formular ausfüllt und seine Daten mit Kreditkartendaten usw. bestätigt.

Social Engineering Gegenmaßnahmen

Die meisten Techniken, die von Sozialingenieuren eingesetzt werden, beinhalten die Manipulation menschlicher Vorurteile . Um solchen Techniken entgegenzuwirken, kann eine Organisation;

  • Um dem Vertrautheits-Exploit entgegenzuwirken , müssen die Benutzer geschult werden, um die Vertrautheit mit Sicherheitsmaßnahmen nicht zu ersetzen. Selbst die Personen, mit denen sie vertraut sind, müssen nachweisen, dass sie die Berechtigung haben, auf bestimmte Bereiche und Informationen zuzugreifen.
  • Um einschüchternden Umständen entgegenzuwirken, müssen Benutzer geschult werden, um Social-Engineering-Techniken zu identifizieren, die nach sensiblen Informationen suchen, und höflich Nein zu sagen.
  • Um Phishing-Techniken entgegenzuwirken , verwenden die meisten Websites wie Yahoo sichere Verbindungen, um Daten zu verschlüsseln und zu beweisen, dass sie der sind, für den sie sich ausgeben. Wenn Sie die URL überprüfen, können Sie möglicherweise gefälschte Websites erkennen . Vermeiden Sie es, auf E-Mails zu antworten, in denen Sie aufgefordert werden, persönliche Informationen anzugeben .
  • Um Tailgating-Angriffen entgegenzuwirken, müssen Benutzer geschult werden, damit andere ihre Sicherheitsfreigabe nicht nutzen können, um Zugang zu eingeschränkten Bereichen zu erhalten. Jeder Benutzer muss seine eigene Zugriffsfreigabe verwenden.
  • Um der Neugier des Menschen entgegenzuwirken , ist es besser, abgeholte Flash-Datenträger an Systemadministratoren zu senden, die sie vorzugsweise auf einem isolierten Computer nach Viren oder anderen Infektionen durchsuchen sollten.
  • Um Techniken entgegenzuwirken, die die menschliche Gier ausnutzen , müssen die Mitarbeiter über die Gefahren eines Sturzes auf solche Betrügereien geschult werden .

Zusammenfassung

  • Social Engineering ist die Kunst, die menschlichen Elemente auszunutzen, um Zugang zu nicht autorisierten Ressourcen zu erhalten.
  • Sozialingenieure verwenden eine Reihe von Techniken, um die Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben.
  • Unternehmen müssen über Sicherheitsrichtlinien verfügen, die Social-Engineering-Gegenmaßnahmen enthalten.