Stephan Contratti

Sozial Engineering

Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel,

bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.

Die Firmeninfrastruktur ist teilweise mittlerweile so gut, das sich Kriminelle auf anderen Wegen Zugang zu wichtigen und sensiblen Daten eines Unternehmens zu ermöglichen. Eine Variante davon ist eben Sozial Engineering.

Studien zeigen das bis zu 80% der Testprobanden auf solche Tricks reinfallen, und schriftlich oder mündlich Informationen bis hin zu Passwörtern weitergeben.

Wie passiert Sozial Engineering?

  • Phishing
  • Pretexting
  • Baiting
  • Pressurizing
  • Frightening
  • ….

Phishing

Sicher eines der bekanntesten Verfahren von Sozial Engineering. Phishing ist eine Cyberkriminalität, bei der ein oder mehrere Ziele per E-Mail, Telefon oder SMS von jemandem kontaktiert werden, der sich als legitime Institution ausgibt, um Einzelpersonen dazu zu verleiten, sensible Daten wie personenbezogene Daten, Bank- und Kreditkartendaten sowie Passwörter anzugeben.

Pressurizing

Es werden per Mail, Telefon oder anderen Kommunikationsmitteln Druck auf den Empfänger ausgeübt, Erpressung, Ausmalen von Konsequenzen (Systemabsturz, Finanzielle Verluste, z.B.) etc.. Dabei werden oft Fachbegriffe oder sehr komplizierte Formulierungen verwendet, damit der Empfänger noch mehr verunsichert wird.

Ihr PC Herr Mustermann, übt seit heute Morgen, sekündlich PIN Abfragen auf unsere Serverlandschaft aus, wenn das so weitergeht, stehen wir vor einem Systemabsturz, wollen Sie das?

Eigene Angaben

Frightening

Ähnliche Vorgehen wie beim Pressurizing, aber mehr auf Basis von Angehörigen oder Persönlichkeiten des täglichen Lebens.

DeepFake Video von Vitali Klitschko, zum Ukraine Angriff von Russland, mit Aufruf den „Krieg“ russlandseitig zu unterstützen, mit verschiedensten Mitteln.

Eigene Angaben

Wo passiert SE?

Grundsätzlich sind alle Kommunikationswege möglich, auch komplett Abseits des Unternehmens

  • Social Media
  • Google
  • Vereine
  • Private Feiern
  • Unternehmensfeiern
  • Etc.

Wie vermeidest du nun SE und erhöhst die generelle Daten Sicherheit?

6 Tipps zur Informationssicherheit:
  • E-Mails auf Vertraulichkeit prüfen
  • Immer auf die Absenderadresse achten.
  • Im Zweifel immer Rücksprache halten.
  • Sichere Passwörter verwenden und regelmäßig ändern
  • Wo möglich Zwei-Faktor-Authentifizierung nutzen
  • Bildschirm sperren und sensible Daten auch in Papierform immer weg sperren
  • Keine firmenfremde Geräte an den Firmencomputer anschließen
  • Achtung bei Sozialen Netzwerken: Keine firmeninternen Informationen wie Produktdaten, Mitarbeiternamen und Abläufe veröffentlichen
  • Sozial Engineering entgegnet man immer am Besten durch ehrliche und transparente Kommunikation mit der IT und den Vorgesetzen

Hinterlasse einen Kommentar

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..