5 Arten von Social-Engineering-Angriffen
Social-Engineering-Betrug gibt es seit Jahren und doch fallen wir weiterhin jeden Tag darauf herein. Dies ist auf den überwältigenden Mangel an Cybersicherheitstrainings zurückzuführen, die den Mitarbeitern großer und kleiner Organisationen zur Verfügung stehen. Um das Bewusstsein für diese Taktik zu verbreiten und sich zu wehren, Hier ist ein kurzer Überblick über gängige Social-Engineering-Betrügereien., Managed Service Provider (MSPs) haben die Möglichkeit, ihre kleinen und mittleren Geschäftskunden aufzuklären, um zu lernen, diese Angriffe zu identifizieren, wodurch die Vermeidung von Bedrohungen wie Ransomware erheblich erleichtert wird.
Phishing
Phishing ist eine führende Form von Social-Engineering-Angriffen, die typischerweise in Form einer E-Mail, eines Chats, einer Webanzeige oder einer Website bereitgestellt werden, die entworfen wurde, um sich als echtes System, Person oder Organisation auszugeben. Phishing-Nachrichten werden so gestaltet, dass sie ein Gefühl der Dringlichkeit oder Angst vermitteln, mit dem Endziel, die sensiblen Daten eines Endbenutzers zu erfassen., Eine Phishing-Nachricht könnte von einer Bank, der Regierung oder einem großen Unternehmen kommen. Der Aufruf zu Aktionen variiert. Einige bitten den Endbenutzer, seine Anmeldeinformationen eines Kontos zu „überprüfen“ und eine verspottete Anmeldeseite mit Logos und Branding aufzunehmen, um legitim auszusehen. Einige behaupten, der Endbenutzer sei der „Gewinner“ eines Hauptpreises oder einer Lotterie und fordern den Zugriff auf ein Bankkonto an, auf dem die Gewinne erzielt werden sollen. Einige bitten nach einer Naturkatastrophe oder Tragödie um gemeinnützige Spenden (und Anweisungen zur Verkabelung). Ein erfolgreicher Angriff gipfelt oft im Zugriff auf Systeme und verlorene Daten., Unternehmen jeder Größe sollten in Betracht ziehen, geschäftskritische Daten mit einer Business Continuity-und Disaster Recovery-Lösung zu sichern, um sich von solchen Situationen zu erholen.
Ködern
Ködern, ähnlich wie Phishing, bedeutet, einem Endbenutzer etwas Verlockendes anzubieten, im Austausch für Anmeldeinformationen oder private Daten., Der „Köder“ gibt es in vielen Formen, sowohl in digitaler Form, z. B. als Musik-oder Filmdownload auf einer Peer-to-Peer-Site, als auch in physischer Form, z. B. auf einem Flash-Laufwerk der Marke „Executive Salary Summary“ mit der Bezeichnung „Executive Salary Summary“, das einem Endbenutzer auf einem Schreibtisch überlassen wird. Sobald der Köder heruntergeladen oder verwendet wurde, wird schädliche Software direkt in das Endbenutzersystem geliefert und der Hacker kann an die Arbeit gehen.
Quid Pro Quo
Ähnlich wie beim Ködern fordert quid pro quo einen Hacker an, kritische Daten oder Anmeldeinformationen im Austausch für einen Dienst auszutauschen., Beispielsweise kann ein Endbenutzer einen Anruf von dem Hacker erhalten, der als Technologieexperte kostenlose IT-Unterstützung oder technologische Verbesserungen im Austausch für Anmeldeinformationen anbietet. Ein weiteres häufiges Beispiel ist ein Hacker, der sich als Forscher ausgibt und im Rahmen eines Experiments gegen 100 US-Dollar um Zugang zum Unternehmensnetzwerk bittet. Wenn ein Angebot klingt zu gut, um wahr zu sein, es ist wahrscheinlich quid pro quo.
Piggybacking
Piggybacking, auch Tailgating genannt, ist, wenn eine nicht autorisierte Person einer autorisierten Person physisch in einen eingeschränkten Unternehmensbereich oder ein eingeschränktes System folgt., Eine bewährte Methode des Huckepackens ist, wenn ein Hacker einen Mitarbeiter anruft, um eine Tür für ihn offen zu halten, da er seinen Personalausweis vergessen hat. Eine andere Methode besteht darin, dass eine Person einen Mitarbeiter auffordert, seinen Laptop für einige Minuten zu „leihen“, wobei der Verbrecher in der Lage ist, bösartige Software schnell zu installieren.,
Pretexting
Pretexting, das menschliche Äquivalent von Phishing, ist, wenn ein Hacker ein falsches Gefühl des Vertrauens zwischen sich und dem Endbenutzer schafft, indem er sich als Mitarbeiter oder Autorität ausgibt, die einem Endbenutzer bekannt ist, um Zugriff auf Anmeldeinformationen zu erhalten. Ein Beispiel für diese Art von Betrug ist eine E-Mail an einen Mitarbeiter des IT-Supports oder eine Chat-Nachricht eines Ermittlers, der behauptet, eine Unternehmensprüfung durchzuführen., Pretexting ist sehr effektiv, da es die menschliche Abwehr auf Phishing reduziert, indem es die Erwartung weckt, dass etwas legitim und sicher ist, mit dem man interagieren kann. Pretexting E-Mails sind besonders erfolgreich in den Zugriff auf Passwörter und Geschäftsdaten als Imitatoren legitim erscheinen kann, so ist es wichtig, einen Drittanbieter Backup-Provider haben
Für alle Mitarbeiter bewusst zu sein, die verschiedenen Formen der Social Engineering ist wichtig für die Gewährleistung der Unternehmen Cybersicherheit., Wenn Benutzer die Hauptmerkmale dieser Angriffe kennen, ist es viel wahrscheinlicher, dass sie es vermeiden können, auf sie zu fallen.
Abgesehen von Bildung und Bewusstsein gibt es andere Möglichkeiten, das Risiko von Hacks zu reduzieren. Mitarbeiter sollten angewiesen werden, keine E-Mails zu öffnen oder auf Links aus unbekannten Quellen zu klicken. Computer sollten niemals mit jemandem geteilt werden, auch nicht für einen Moment. Standardmäßig sollten alle Unternehmens-Desktops, Laptops und Mobilgeräte automatisch gesperrt werden, wenn sie länger als fünf Minuten (oder weniger) im Leerlauf bleiben., Stellen Sie schließlich sicher, dass Ihr Unternehmen bereit ist, sich schnell von dieser Art von Angriff zu erholen, falls ein Mitarbeiter einem dieser Systeme zum Opfer fällt. Menschen sind schließlich Menschen. Durch die Nutzung einer soliden Sicherungs-und Wiederherstellungslösung kann sich jeder einfach ausruhen.