Thema: Social Enginnering 10. Juli 2024
10. Juli 2024
Social Engineering
Dieser Beitrag ist der Start einer kleinen Reihe von Themen rund um Social Engineering.Die erste Reihe befasst sich mit der Frage:
Was ist Social Engineering
Ich nehme an, dass sie einige bekannte Tricks in diesem Bereich schon kennen, vor allem: der Betrug an älteren Menschen durch absurde Telefonate, die dazu führen, dass größere Geldbeträge abgegriffen werden.
In der heutigen, digitalen Welt bekommen Betrüger ganz vielseitige Möglichkeiten und Gelegenheiten. Dann spricht man von Social Engineering. Dadurch können Menschen in die Irre geführt und zu Handlungen veranlasst werden, die sie eigentlich nicht tun würden.
Computersysteme werden durch Firewall, verschlüsselte Kommunikation oder anderen Einschränkungen geschützt. Um trotzdem in diese Systeme reinzukommen, bereiten sich Angreifen und Hacker, meist mit weiter Voraussicht, darauf vor.
Dafür werden psychologische Tricks und menschliche Eigenschaften ausgenutzt:
- Angst – zum Beispiel durch die Drohung, dass Daten unwiderruflich gelöscht werden
- Zeitdruck – so soll beispielweise eine angeblich wichtige Überweisung schnell überwiesen werden, wobei das Geld beim Angreifer landet.
- Hilfsbereitschaft – ein nett gemeintes Türaufhalten kann dazu führen, dass unbefugte Personen Zugang zum Unternehmensgelände bekommen.
- Vertrauen in Personen, die man kennt – oft geben Täter sich als Freunde oder Bekannte aus.
- Respekt und Vertrauen in Autoritätspersonen – z.B. gegenüber dem Chef oder Beamten, was dazu führen kann, dass man bei seltsamen E-Mails nicht nachfragt.
- Täuschung - Hacker können in E-Mails und Telefonaten leicht die Identität von anderen Personen annehmen.
Das Ziel ist dabei:
- Vertrauliche Daten zu bekommen, wie z.B. Passwörter oder
- Den Benutzer, dazu zu bringen Schadcode auf einem Rechner auszuführen, z.B. durch Anklicken eines Links oder einer fingierten Webseite
Arten von Social Engineering:
- Phishing, Smishing, Vishing – „Abfischen von Passwörtern“
- Eavesdropping – „Lauschangriff in der Öffentlichkeit“
- Dumpster Diving – „Vertrauliche Informationen aus dem Müll zaubern“
- USB Dropping – „Das neue trojanische Pferd“
- Tailgating – „Unberechtigter Zutritt durch Hindurchschlüpfen“
- Shoulder Surfing – „Ungewolltes Mitlesen“
- CEO Fraud – „Überweisung von hohen Geldbeträgen“
Dabei passieren solche Informationssammlung oft schon Wochen oder Monate vorher, durch E-Mail oder Telefonate. Dabei sind soziale Medien, wie z.B. Xing oder LinkedIn, eine gute Adresse. So sind Informationen wie bspw. Strukturen von Organisationen, Mitarbeiter und deren Funktion oder aktuelle Projekte des Unternehmens, oft im Internet frei zugänglich.
Wie kann man sich dagegen schützen?
Zum einen sind Sie durch die Kenntnis dieser psychologischen Tricks und Möglichkeiten des Social Engineerings, gut vorbereitet.
Außerdem sollten Sie aber noch folgende Tipps berücksichtigen:
- Seien Sie skeptisch bei unerwarteten Anrufen oder E-Mails!
(Geben Sie keine internen Informationen, wie Ansprechpartner, Telefonnummern, etc. weiter) - Fragen Sie beim Anrufer oder Absender nach seinen Kontaktdaten. Prüfen Sie diese Daten! (Kontaktieren Sie den Anrufer oder Absender auf einem anderen Kommunikationsweg)
- Teilen Sie in den sozialen Medien keine internen Informationen, wie z.B. über aktuelle Forschungsprojekte!
(Achten Sie auf die Einstellungen in den sozialen Medien!
Nehmen Sie Freundschaftsanfragen nur von Personen an, die Sie persönlich kennen.) - Seien Sie misstrauisch gegenüber verlockenden Angeboten!
- Erst denken, dann klicken! Überlegen Sie in Ruhe, ob Sie auf den Link im E-Mail klicken oder nicht! Untersuchen Sie den sogenannten „Wer-Bereich“ des Links!
- Seien Sie vorsichtig bei Dateianhängen! Öffnen Sie im Zweifelsfall die Datei eher nicht!
- Verbinden Sie gefundene USB-Sticks nicht mit Ihrem PC. DER USB-Stick könnte Schadsoftware enthalten!
(Senden Sie den USB-Stick an den IT-Helpdesk!) - Wenn Ihnen etwas komisch oder verdächtig vorkommt, wenden Sie sich an den Informationssicherheitsbeauftragten Ihrer Hochschule.
Auch wenn Sie bereits Opfer eines Social Engineering Angriffs sind, melden Sie sich beim ISB.
Thema: Phishing 10. August 2024
10. August 2024
Phishing – So kommen Hacker an vertrauliche Daten
Phishing:
Erhalten Sie auch immer wieder E-Mails, die Ihnen verdächtig vorkommen und wo Sie nicht wissen, wie Sie sich richtig verhalten sollen. Oft sind dies sogenannte Phishing-Mails.
Phishing ist eine spezielle Methode des Social Engineerings, gehört heute zu den Top-Cyberrisiken in den Hochschulen.
Phishing funktioniert über E-Mails, die aus unserem Geschäftsleben und Privatbereich nicht mehr wegzudenken sind. Daher nutzen viele Kriminelle genau diesen Weg, um an sensible Daten zu kommen oder durch betrügerische Mails Geld zu erschwindeln. Oft genügt schon ein Klick eines einzelnen Mitarbeiters, um die gesamte Hochschule Opfer eines Phishing-Angriffs zu werden.
Was ist Phishing?
Phishing leitet sich von den englischen Wörtern „password“ und „fishing“ für Password und Angeln ab.
Hacker versuchen persönliche Daten anderer Personen (wie Passwort, Kreditkartennummer o. Ä.) mit gefälschten E-Mails oder Websites zu ergaunern.
Neben den allgemeinen Phishing-Mails gibt es noch Spear-Phishing-Mails, die oft sehr persönliche Daten oder Informationen enthalten. Die Angreifer recherchieren dazu die verwendeten Daten aus dem Internet, bevorzugt aus den Sozialen Medien, wie Facebook, LinkedIn etc.
Neben dem Phishing mit E-Mail gibt es noch die beiden Varianten Smishing und Vishing.
Bei Smishing handelt es um Phishing-Attacken mit Hilfe von SMS. In einer SMS werden Sie aufgefordert auf einen Link zu klicken.
Bei Vishing steht das V für „Voice“ (Stimme). Bei einem Vishing-Angriff werden Sie von einem Betrüger angerufen, um von Ihnen persönliche Daten wie Passwort oder PINs zu erfragen.
Die Schreibweise mit „ph“ leitet sich aus dem Hacker-Jargon ab. Das Kunstwort „Phreaking“ setzt sich aus „Phone“ (“Telefon“) und Freak („verrückter Typ“) zusammen.
Unter Phreaking versteht man die Manipulation von Telefonverbindungen. Unter Umgehung von Sicherheitsmechanismen wurde teure Ferngespräche als kostenlose oder billige Ortsgespräche geführt.
Typische Merkmale von Phishing Mails:
- Absender der E-Mail stimmt nicht mit dem Unternehmen/Organisation überein
- Oft fehlt die persönliche Anrede, es werden allgemeine Anreden wie „Hallo“, „Sehr geehrter Kunde“, etc. verwendet.
- Viele Phishing-Mails enthalten Rechteschreib-, Grammatik- oder Satzzeichen-Fehler, da Sie auch oft aus dem Ausland versendet werden.
- Meist wird Zeitdruck aufgebaut oder es werden große Versprechen gemacht.
- Der Link in dem E-Mail verweist nicht auf die Original-Seite des Unternehmens/Organisation, sondern auf eine nachgemachte gefälschte Seite, die auf den ersten Blick der Original-Seite sehr ähnlich ist.
- Das E-Mail enthält Dateianhänge (z.B. Rechnungen), die Sie öffnen sollen.
Tipps gegen Phishing:
- Prüfen Sie die Absenderadresse!
- Kommt Ihnen diese verdächtig vor? Kennen Sie die Person? Passt der Absender zum Inhalt?
- Lesen Sie Ihre Mails aufmerksam und achten Sie auf die oben genannten Merkmale.
- Erst denken, dann klicken!
- Klicken Sie nicht auf verdächtige Links. Analysieren Sie den sogenannten Wer-Bereich der Links (den Namen der Domäne, z.B. hs-augsburg.de)
- Öffnen Sie keine Anhänge von unbekannten Absendern. Vor allem ausführbare Dateien (exe-Dateien) sind gefährlich.
- Geben Sie keine persönlichen Daten wie Passwörter oder PINs auf Web-Seiten ein, die Sie durch einen Link geöffnet haben.
- Nutzen Sie die Multi-Faktor-Authentifizierung, die von den meisten Diensten angeboten werden. Damit können sich Betrüger nicht mit Benutzername und Passwort anmelden.
Thema: Vishing 14. Oktober 2024
14. Oktober 2024
Vishing – Die Gefahr am Telefon und wie man sich schützen kann.
Vishing, eine Kombination aus den Wörtern "Voice" und "Phishing", bezeichnet eine betrügerische Methode, bei der Angreifer versuchen, persönliche Informationen über das Telefon zu bekommen. In diesem Blog-Artikel werden wir uns eingehend mit der Bedrohung durch Vishing auseinandersetzen, die häufigsten Taktiken der Angreifer besprechen und wichtige Tipps geben, wie man sich vor dieser Art von Betrug schützen kann.
Die häufigsten Vishing-Taktiken:
- Anrufer-ID-Spoofing: Angreifer können die Anrufer-ID so manipulieren, dass sie wie eine vertrauenswürdige Quelle aussieht, um das Opfer zu täuschen.
- Bedrohungen und Druck: Visher nutzen oft Drucktaktiken, um ihre Opfer zu verunsichern. Sie könnten behaupten, dass Konten gesperrt werden oder rechtliche Konsequenzen drohen, um schnelle Handlungen zu erzwingen.
- Vortäuschen von Autorität: Die Angreifer geben sich möglicherweise als Vertreter von Behörden, Banken oder anderen offiziellen Stellen aus, um Glaubwürdigkeit vorzutäuschen.
Wie schützt man sich vor Vishing?
- Hinterfragen Sie unbekannte Anrufe: Seien Sie skeptisch gegenüber Anrufen von unbekannten Nummern und hinterfragen Sie die Absicht des Anrufers.
- Geben Sie keine sensiblen Informationen preis: Seriöse Institutionen fordern niemals vertrauliche Informationen über das Telefon an. Geben Sie niemals persönliche Daten, Passwörter oder PIN-Nummern preis.
- Verifizieren Sie die Identität: Wenn Sie Zweifel haben, bitten Sie den Anrufer um Kontaktdaten und verifizieren Sie diese unabhängig, bevor Sie weitere Informationen preisgeben.
- Nutzen Sie Technologie: Installieren Sie auf Ihrem Telefon eine App, die vor betrügerischen Anrufen schützt, und aktualisieren Sie regelmäßig Ihre Sicherheitssoftware.
Fazit:
Vishing ist eine ernsthafte Bedrohung, die durch Wachsamkeit minimiert werden kann. Indem Sie skeptisch sind, keine sensiblen Informationen preisgeben und die Identität des Anrufers überprüfen, können Sie sich effektiv vor Vishing-Angriffen schützen.
Bleiben Sie wachsam! Warnen Sie vor allem auch in Ihrem Umfeld ältere Mitmenschen, da diese ein sehr beliebtes Opfer für Vishing sind!
Thema: Eavesdropping 27. November 2024
27. November 2024
Eavesdropping – „Lauschangriff in der Öffentlichkeit“
Mit diesem Beitrag starten wir eine Serie über verschiedene Methoden von Social Engineering. Zu Beginn stellen wir Ihnen Eavesdropping - „Lauschangriff in der Öffentlichkeit“ vor.
Eavesdropping
Kennen Sie auch die Situation, dass Sie unterwegs sind und von anderen Menschen komplette Telefongespräche mitbekommen?
Dies kann natürlich umgekehrt auch Ihnen passieren, zufällig oder aus voller Absicht! Ihre Nachbarn im Zug oder an der Bushaltestelle hören aufmerksam zu, wenn Sie telefonieren, um diese Informationen für Ihre Zwecke zu missbrauchen.
Was ist Eavesdropping?
- Eavesdropping: engl. für Abhören
- Lauschen ist eine Art von Social Engineering und bezeichnet das Mithören von fremden Gesprächen.
- Am Arbeitsplatz, an der Bushaltestelle, in der Mensa, im Café, etc. werden unsere Gespräche mit Kollegen oder unsere Telefonate belauscht.
Tipps
- Führen Sie vertrauliche Gespräche nicht an Orten, an denen unberechtigte Personen mithören können!
- Falls Sie unterwegs sind und ein vertrauliches Telefonat nicht verschieben können, suchen Sie sich eine ruhige Stelle und achten Sie darauf, dass niemand mithört!