neu

Was ist Social Engineering und wie man sich davor schützt

Was ist Social Engineering bzw. Social Hacking

Unter dem Begriff Social Engineering oder Social Hacking versteht man in der IT-Sicherheit einen bunten Strauß von zwischenmenschlichen Beeinflussungs- und Manipulationstechniken, die den Menschen als Schwachstelle von Informationssystemen angreifen.

Hierbei werden gezielt die Gutgläubigkeit, Hilfsbereitschaft, Autoritätsglaube, Eitelkeit und Unwissenheit der Mitmenschen ausgenutzt, um an sensible Informationen und Daten zu gelangen.

Damit Sie, diesen betrügerischen Techniken nicht zum Opfer fallen, sehen Sie hier 5 gängige Social Engineering Techniken und wie Sie sich davor schützen.

1. Phishing – falsche Identität

Unter Phishing versteht man den Versuch sich als eine bekannte Webseite oder E-Mail Adresse auszugeben, um an sensible Informationen zu gelangen. Sicherlich haben Sie auch schon eine E-Mail bekommen, die scheinbar von Apple, Fedex oder Paypal kommt. Mittels pfiffiger Mail-Adressen mit (wie z. B. noreply@apple.com) oder Betreffzeilen mit Bestell- und Paket-Trackingnummern wird Ihnen suggeriert, dass Sie eine Interaktion oder Dateneingabe tätigen müssen.

Beliebt sind hierbei auch E-Mails von der Absende Adresse MAILER-DEMON@….

Diese E-Mail Adresse soll Ihnen suggerieren, dass eine E-Mail, die Sie verfasst haben nicht versendet wurde. Um auf diese E-Mails nicht hereinzufallen, hilft es, sich die Domain der E-Mail (der Teil nach dem „@“ Zeichen) genau anzuschauen.

Wie Sie sich dagegen schützen können:

  • Schauen Sie sich die vorhandene Absenderadresse von E-Mails genau an. Achten Sie auf die Domain und Rechtschreibfehler.
  • Öffnen Sie keine E-Mails mit Pakettrackingnummern, wenn Sie kein Paket bestellt haben – und schon gar nicht von unbekannten Absendern.

2. Dumbster Diving – Der Müll der einen …

Eine weitere Social Engineering Methode um an sensible Informationen zu kommen, ist das sogenannte Dumpster Diving (zu deutsch Mülltonnentauchen). Hier wird die Mülltonne der Zielperson gezielt nach verwertbaren Informationen durchsucht.

Wie Sie sich dagegen schützen können:

  • Schreddern oder zerschnipseln Sie sensible ausgedruckte Informationen (wie z.B Passwörter) und verteilen diese auf mehrere Mülleimer. So stellen Sie sicher, dass sich die Information nicht leicht wiederherstellen lässt.
  • Achten Sie auf zwielichtige Gestalten, die sich in der Nähe Ihres Papiermülls aufhalten. 😉

3. Fiktive Anrufe – Enkeltrick und Co.

Bei fiktiven Anrufen wird versucht, die menschliche Autoritätsgläubigkeit und Hilfsbereitschaft auszunützen. Der Anrufer gibt sich als vermeintlich rechtmäßiger Repräsentant einer vertrauenswürdigen Institution (wie z.B. Stadtwerke oder ähnliches) aus.

Mittels gezielter Fragetechniken werden Ihnen dann Informationen entlockt, die Sie normalerweise niemals einem Fremden mitteilen würden. Die bekanntesten Anwendungsfälle sind hierfür Anrufe von sog. Headhuntern, die sich zu einer bestimmten Person durchstellen lassen wollen oder auch der aus den 80er Jahren beliebte „Enkeltrick“.

Wie Sie sich dagegen schützen können:

  • Sensible Informationen werden nur auf schriftliche Anfrage herausgegeben
  • Im Zweifelsfall sollten Ihre Mitarbeiter lieber Rücksprache mit Ihnen halten, anstatt allzu schnell in die Hilfsbereitschaftsfalle zu tappen.

4. USB Drop – Neugier ist der Katze Tod

Bei diesem Social Hacking Verfahren versorgt der Hacker die Mitarbeiter des anzugreifenden Unternehmens mit einem infizierten USB-Stick. Dieser kann beispielsweise in den Sanitärräumen oder einfach auf dem Boden platziert werden, damit das Opfer das Gefühl hat, jemand hätte diesen USB-Stick verloren. Sobald der Mitarbeiter den Inhalt dieses Datenträgers anschauen will, bekommt der Hacker Zugriff auf das firmeninterne Netzwerk.

Wie Sie sich dagegen schützen können:

  • Keine fremden Datenträger an Ihren PC koppeln

5. Piggy Backing - Entschuldigen Sie, darf ich mal kurz ...

Unter Piggy Backing oder auch Tailgating versteht man die Betrugstechnik, bei der sich Hacker die Hilfsbereitschaft des Gegenübers zunutze machen.

Der Betrüger stellt sich in die Nähe einer Tür zu einem Sicherheitsbereich und transportiert einen scheinbar unhandlichen (bzw. schweren) Gegenstand. Sobald ein Mitarbeiter das sieht, öffnet er/sie dem Betrüger aus Höflichkeit die Tür. Und Voilá – der Hacker hat unbefugten Zugriff zum Sicherheitsbereich.

Dieser Trick funktioniert besser in Großunternehmen, da sich in kleineren und mittleren Unternehmen die meisten Mitarbeiter persönlich kennen.

Wie Sie sich dagegen schützen können:

  • Wachsamkeit und Vorsicht vor vorauseilendem Gehorsam
  • Das Einhalten von definierten Standards, wer ist z. B. berechtigt Zutritt zu Ihrem Gebäude zu erhalten

Fazit - Social Engineering und Social Hacking

IT-Sicherheit ist nur zur Hälfte ein technisches Thema. Der Unsicherheitsfaktor Mensch ist immer ein unkalkulierbares Risiko, wenn Sie keine Standards definiert haben. Auch wenn Sie als kleines Unternehmen keinen Sicherheitsbereich haben, so ist es doch wichtig, sich Gedanken über unautorisierten Datenzugriff zu machen.

Hacker und Sicherheitsexperten spielen ein ständiges Katz und Mausspiel. Eine definitive Liste aller Social Engineering Tricks wird immer unvollständig bleiben, da fast täglich neue Tricks entstehen. Daher ist es wichtig, stets Umsicht und Sorgfalt im Umgang mit Daten an den Tag zu legen.

Wie hilfreich war dieser Beitrag?

Klicken Sie auf die Sterne um zu bewerten!

Es tut uns leid, dass der Beitrag für dich nicht hilfreich war!

Lasse uns diesen Beitrag verbessern!

Wie können wir diesen Beitrag verbessern?

Welches Produkt
möchten Sie testen?

FLOWFACT
MINI (0,- € mtl.)

FLOWFACT
Residential (79,- € mtl.)