Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Definition von Social Engineering

  • Menschen zur Preisgabe vertraulicher Informationen bringen
  • Häufige Ziele:
    • ServiceDesk | Helpdesk Mitarbeiter/innen
    • Systemadminstratoren
    • techn. Support
  • Grundlage:
    • Wert von Informationen nicht bekannt
    • Informationen nicht richtig geschützt


Auswirkungen von Social Engineering

  • Finanzieller Verlust
  • Verlust der Privatsphäre
  • Terrorismus
  • Beschädigter "Goodwill"
  • Vorübergehende/Dauerhafte Schließung
  • Klagen oder Schiedsverfahren


Typen von Social Engineering

  • Menschenbasiert
    • Sammeln von Information durch Interaktionen mit Menschen
  • Computerbasiert
    • Sammeln von Information mithilfe Computern
  • Mobilbasiert
    • Sammeln von Information mithilfe mobiler Apps


Für Angriffe anfälliges Verfahren

  • der menschlichen Natur vertrauen
  • Social-Engineering-Ignoranz
  • Angst, den Anforderungen des Social Engineering nicht nachzukommen
  • Gier: Preisgaben von Informationen für Gegenleistung
  • Gefühl der moralischen Verpflichtung, jemanden zu helfen  


Gründe für Anfälligkeiten des Unternehmens

  • unzureichende Sicherheitsschulung
  • mehrere Organisationseinheiten/Abteilungen
  • Zugang zu Informationen nicht geregelt
  • unzureichende oder fehlende Sicherheitsrichtlinien 


Warum Social Engineering effektiv ist

  • Sicherheitsrichtlinien nur so stark wir geschwächtes Glied (in der Regel der Mensch)
  • Social-Engineering-Angriffe schwer erkennbar
  • keine hundertprozentige Sicherheit möglich
  • keine Hard- oder Software zur Abwehr von Social-Engineering-Angriffen 


Phasen des Social Engineerings 

  • Zielorganisation erforschen
    • über Website, Mitarbeitende, Firmenbesichtigungen, usw.
  • Opferauswahl
    • am stärksten gefährdete Mitarbeitende bestimmen 
  • Beziehung entwickeln
    • Beziehung zu den Ziel-Mitarbeitern aufbauen
  • Beziehung ausnutzen
    • vertrauliche Informationen und und aktuelle Technologien von Mitarbeitenden sammeln