Definition von Social Engineering
- Menschen zur Preisgabe vertraulicher Informationen bringen
- Häufige Ziele:
- ServiceDesk | Helpdesk Mitarbeiter/innen
- Systemadminstratoren
- techn. Support
- Grundlage:
- Wert von Informationen nicht bekannt
- Informationen nicht richtig geschützt
Auswirkungen von Social Engineering
- Finanzieller Verlust
- Verlust der Privatsphäre
- Terrorismus
- Beschädigter "Goodwill"
- Vorübergehende/Dauerhafte Schließung
- Klagen oder Schiedsverfahren
Typen von Social Engineering
- Menschenbasiert
- Sammeln von Information durch Interaktionen mit Menschen
- Computerbasiert
- Sammeln von Information mithilfe Computern
- Mobilbasiert
- Sammeln von Information mithilfe mobiler Apps
Für Angriffe anfälliges Verfahren
- der menschlichen Natur vertrauen
- Social-Engineering-Ignoranz
- Angst, den Anforderungen des Social Engineering nicht nachzukommen
- Gier: Preisgaben von Informationen für Gegenleistung
- Gefühl der moralischen Verpflichtung, jemanden zu helfen
Gründe für Anfälligkeiten des Unternehmens
- unzureichende Sicherheitsschulung
- mehrere Organisationseinheiten/Abteilungen
- Zugang zu Informationen nicht geregelt
- unzureichende oder fehlende Sicherheitsrichtlinien
Warum Social Engineering effektiv ist
- Sicherheitsrichtlinien nur so stark wir geschwächtes Glied (in der Regel der Mensch)
- Social-Engineering-Angriffe schwer erkennbar
- keine hundertprozentige Sicherheit möglich
- keine Hard- oder Software zur Abwehr von Social-Engineering-Angriffen
Phasen des Social Engineerings
- Zielorganisation erforschen
- über Website, Mitarbeitende, Firmenbesichtigungen, usw.
- Opferauswahl
- am stärksten gefährdete Mitarbeitende bestimmen
- Beziehung entwickeln
- Beziehung zu den Ziel-Mitarbeitern aufbauen
- Beziehung ausnutzen
- vertrauliche Informationen und und aktuelle Technologien von Mitarbeitenden sammeln