5 Social-Engineering-Angriffe, auf die Sie achten müssen

Wir alle kennen den Angreifertyp, der sein technisches Know-how nutzt, um geschützte Computersysteme zu infiltrieren und sensible Daten zu gefährden. Diese Art von böswilligen Akteuren macht ständig Neuigkeiten und veranlasst uns, ihren Heldentaten entgegenzuwirken, indem wir in neue Technologien investieren, die unsere Netzwerkabwehr stärken.

Es gibt jedoch eine andere Art von Angreifer, die andere Taktiken anwenden, um zu umgehen unsere Werkzeuge und Lösungen. Sie werden als „Sozialingenieure“ bezeichnet, weil sie die einzige Schwäche ausnutzen, die in jeder Organisation zu finden ist: die menschliche Psychologie. Mithilfe von Telefonanrufen und anderen Medien bringen diese Angreifer Menschen dazu, den Zugriff auf die vertraulichen Informationen der Organisation zu übergeben.

Social Engineering ist ein Begriff, der ein breites Spektrum böswilliger Aktivitäten umfasst. In diesem Artikel konzentrieren wir uns auf die fünf häufigsten Angriffstypen, mit denen Social Engineers ihre Opfer angreifen. Dies sind Phishing, Vorwand, Köder und Gegenleistung Quo und Tailgating.

Phishing

Phishing ist die häufigste Art von Social-Engineering-Angriff, die heute auftritt. Aber was genau ist das? Auf hohem Niveau bemühen sich die meisten Phishing-Betrügereien, dies zu erreichen Drei Dinge:

  • Erhalten Sie persönliche Informationen wie Namen, Adressen und Sozialversicherungsnummern.
  • Verwenden Sie verkürzte oder irreführende Links, die Benutzer zu verdächtigen Websites weiterleiten, auf denen Phishing-Zielseiten gehostet werden.
  • Integrieren Sie t Hreats, Angst und ein Gefühl der Dringlichkeit bei dem Versuch, den Benutzer dazu zu bringen, schnell zu reagieren.

Keine zwei Phishing-E-Mails sind gleich. Es gibt tatsächlich mindestens sechs verschiedene Unterkategorien von Phishing-Angriffen. Darüber hinaus wissen wir alle, dass einige so schlecht verarbeitet sind, dass ihre Nachrichten unter Rechtschreib- und Grammatikfehlern leiden. Trotzdem haben diese E-Mails normalerweise das gleiche Ziel, gefälschte Websites oder Formulare zu verwenden, um Benutzeranmeldeinformationen und andere persönliche Daten zu stehlen.

Bei einer kürzlich durchgeführten Phishing-Kampagne wurde ein kompromittiertes E-Mail-Konto zum Versenden von Angriffs-E-Mails verwendet. In diesen Nachrichten wurden die Empfänger aufgefordert, ein vorgeschlagenes Dokument durch Klicken auf eine eingebettete URL zu überprüfen. Diese schädliche URL, die mit dem Klickzeit-URL-Schutz von Symantec ausgestattet ist, leitete die Empfänger an ein gefährdetes SharePoint-Konto weiter, das eine zweite schädliche URL lieferte, die in ein OneNote-Dokument eingebettet war. Diese URL leitete wiederum Benutzer zu einer Phishing-Seite weiter, die sich als Microsoft Office 365-Anmeldeportal ausgibt.

Vorwand

Vorwand ist eine andere Form des Social Engineering, bei der sich Angreifer darauf konzentrieren, einen guten Vorwand zu erstellen oder ein erfundenes Szenario, mit dem sie versuchen, die persönlichen Daten ihrer Opfer zu stehlen. Bei solchen Angriffen sagt der Betrüger normalerweise, dass er bestimmte Informationen von seinem Ziel benötigt, um seine Identität zu bestätigen. Tatsächlich stehlen sie diese Daten und verwenden sie, um Identitätsdiebstahl zu begehen oder sekundäre Angriffe durchzuführen.

Fortgeschrittenere Angriffe versuchen manchmal, ihre Ziele dazu zu bringen, etwas zu tun, das die digitalen und / oder physischen Schwächen eines Unternehmens missbraucht. Ein Angreifer kann sich beispielsweise als externer IT-Service-Auditor ausgeben, um das physische Sicherheitsteam eines Zielunternehmens zu überreden, sie in das Gebäude zu lassen.

Während Phishing-Angriffe hauptsächlich Angst und Dringlichkeit zu ihrem Vorteil nutzen, wird der Vorwand verwendet Angriffe beruhen auf dem Aufbau eines falschen Vertrauensgefühls mit dem Opfer. Dies erfordert, dass der Angreifer eine glaubwürdige Geschichte erstellt, die wenig Raum für Zweifel seitens seines Ziels lässt.

Vorwände können und können verschiedene Formen annehmen. Trotzdem entscheiden sich viele Bedrohungsakteure, die diesen Angriffstyp annehmen, als HR-Mitarbeiter oder Mitarbeiter in der Finanzentwicklung zu tarnen. Diese Verkleidungen ermöglichen es ihnen, Führungskräfte auf C-Ebene anzusprechen, wie Verizon in seinem Data Breach Investigations Report (DBIR) von 2019 feststellte.

Köder

Köder ähneln in vielerlei Hinsicht Phishing-Angriffen. Was sie jedoch von anderen Arten von Social Engineering unterscheidet, ist das Versprechen eines Gegenstands oder Gutes, mit dem böswillige Akteure Opfer anlocken. Köder können das Angebot kostenloser Musik- oder Filmdownloads nutzen, um Benutzer dazu zu verleiten, ihre Anmeldeinformationen zu übergeben.

Köderangriffe sind auch nicht auf Online-Programme beschränkt. Angreifer können sich auch darauf konzentrieren, die Neugier des Menschen mithilfe physischer Medien auszunutzen.

Bereits im Juli 2018 berichtete KrebsOnSecurity über eine Angriffskampagne gegen staatliche und lokale Regierungsbehörden in den USA. Die Operation verschickte Briefumschläge mit chinesischen Poststempeln, die einen verwirrenden Brief zusammen mit einer CD enthielten. Es ging darum, die Neugier der Empfänger zu wecken, damit sie die CD laden und dadurch versehentlich ihre Computer mit Malware infizieren.

Quid Pro Quo

Ähnlich wie beim Ködern versprechen Quid Pro Quo-Angriffe ein Vorteil im Austausch für Informationen. Dieser Vorteil wird normalerweise in Form eines Dienstes angenommen, während das Ködern normalerweise in Form eines Gutes erfolgt.

Eine der häufigsten Arten von Gegenleistungen, die in den letzten Jahren aufgetreten sind, besteht darin, dass Betrüger sich als US-amerikanische Sozialversicherungsbehörde (SSA) ausgeben. Diese gefälschten SSA-Mitarbeiter wenden sich an zufällige Personen, informieren sie über ein Computerproblem und bitten diese Personen, ihre Sozialversicherungsnummer zu bestätigen, um Identitätsdiebstahl zu begehen. In anderen von der Federal Trade Commission (FTC) festgestellten Fällen haben böswillige Akteure gefälschte SSA-Websites eingerichtet, auf denen sie Benutzern helfen können, neue Sozialversicherungskarten zu beantragen, aber stattdessen einfach ihre persönlichen Daten stehlen.

Dies ist wichtig Zu beachten ist jedoch, dass Angreifer Gegenleistungen nutzen können, die weitaus weniger ausgefeilt sind als SSA-Tricks. Wie frühere Angriffe gezeigt haben, sind Büroangestellte mehr als bereit, ihre Passwörter für einen billigen Stift oder sogar eine Tafel Schokolade preiszugeben.

Tailgating

Unsere letzte Art von Social-Engineering-Angriff Der Tag ist als Tailgating oder „Piggybacking“ bekannt. Bei diesen Arten von Angriffen folgt jemand ohne die richtige Authentifizierung einem authentifizierten Mitarbeiter in einen eingeschränkten Bereich. Der Angreifer kann sich als Zustellfahrer ausgeben und außerhalb eines Gebäudes warten, um die Dinge in Gang zu setzen. Wenn ein Mitarbeiter die Genehmigung der Sicherheit erhält und die Tür öffnet, wird der Angreifer fordert den Mitarbeiter auf, die Tür zu halten, um Zugang zum Gebäude zu erhalten.

Tailgating funktioniert nicht in allen Unternehmensumgebungen, z. B. in großen Unternehmen, deren Eingänge die Verwendung einer Schlüsselkarte erfordern. In mittelständischen Unternehmen jedoch Angreifer können Gespräche mit Mitarbeitern aufnehmen und diese Vertrautheit nutzen, um an der Rezeption vorbeizukommen.

Colin Greenless, Sicherheitsberater bei Siemens Enterprise Communications, nutzte diese Taktik, um Zugriff auf mehrere zu erhalten Stockwerke und der Datenraum eines an der FTSE gelisteten Finanzunternehmens. Er konnte sogar ein Geschäft in einem Besprechungsraum im dritten Stock einrichten und dort mehrere Tage arbeiten.

Empfehlungen für das Social Engineering

M. böswillige Akteure, die sich an Social-Engineering-Angriffen beteiligen, sind der menschlichen Psychologie und Neugierde zum Opfer gefallen, um die Informationen ihrer Ziele zu gefährden. Angesichts dieses menschenzentrierten Fokus liegt es an den Organisationen, ihren Mitarbeitern bei der Abwehr dieser Art von Angriffen zu helfen.

Hier sind einige Tipps, die Unternehmen in ihre Schulungsprogramme für Sicherheitsbewusstsein aufnehmen können, um Benutzern zu helfen So vermeiden Sie Social-Engineering-Programme:

  • Öffnen Sie keine E-Mails aus nicht vertrauenswürdigen Quellen. Wenden Sie sich persönlich oder telefonisch an einen Freund oder ein Familienmitglied, wenn Sie eine verdächtige E-Mail-Nachricht von ihm erhalten.
  • Geben Sie keine Angebote von Fremden im Vorteil des Zweifels. Wenn sie zu gut scheinen, um wahr zu sein, sind sie es wahrscheinlich.
  • Sperren Sie Ihren Laptop, wenn Sie nicht an Ihrer Workstation sind.
  • Kaufen Sie Antivirensoftware. Keine AV-Lösung kann sich gegen jede Bedrohung verteidigen, die die Benutzerinformationen gefährden soll, aber sie kann zum Schutz vor einigen beitragen.
  • Lesen Sie die Datenschutzrichtlinien Ihres Unternehmens, um zu verstehen, unter welchen Umständen Sie einen Fremden in die USA lassen können oder sollten Gebäude.

Write a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.