Die Kunst des Social Engineering: Werden Sie konditioniert?

[ware_item id=33][/ware_item]

Eine Illustration eines Mannes in einem Hoodie unter Verwendung der Marionettenschnüre auf einem Mann saß an einem Schreibtisch.


Mit zunehmender Sicherheit unserer Computersysteme stellen wir fest, dass die schwächste Verteidigungslinie in der Tat der Mensch ist. Social Engineering ist die dunkle Kunst, Menschen zu manipulieren. Soziale Hacker möchten möglicherweise Zugang zu einem Gebäude, um Informationen zu erhalten, die sie eigentlich nicht haben sollten, oder einfach um ihren Status in der Gesellschaft zu verbessern.

Soziale Hacker wurden in Filmen wie Catch Me If You Can und Six Degrees of Separation verherrlicht, und der gleiche Charme, der ihnen die Fähigkeit verleiht, Opfer zu manipulieren, kann dazu verwendet werden, sie zu Stars für ein adulatives Publikum zu machen.

Social Hacking kann in vielfältiger Form erfolgen, beispielsweise durch Telefon- und E-Mail-Betrug, absichtlich ausbeuterische Ehen oder ganze gefälschte Identitäten, die über Jahrzehnte aufrechterhalten werden.

Aber wie machen sie das? Und wie können wir uns vor Menschen schützen, die die Gabe haben, alle um sich herum dazu zu bringen, sich zu hüten?

1) Es gibt viele Informationen über Sie im Internet

In einer Taktik genannt Vorwand, Der Hacker wird einen Vorwand erfinden, um Sie per Telefon, E-Mail oder persönlich zu kontaktieren. Oft bedeutet dies, dass Sie sich eingehend mit Ihrem Hintergrund, Ihrer Ausbildung, Ihrer Arbeit und sogar den Geräten, die Sie besitzen, befassen. Die Angreifer könnten Sie mit Insiderinformationen überraschen, indem sie möglicherweise Ihre IP-Adresse oder Ihren Hochschulausweis kennen. Sie können Informationen nutzen, die Sie freiwillig im Internet angeboten und dann vergessen haben.

Pretexting wird häufig verwendet, um mehr Informationen von einem Ziel zu erhalten, und wird manchmal als "Bestätigungs" -Information formuliert. Es kann verwendet werden, um den Benutzer dazu zu verleiten, sicherheitsrelevante Aufgaben wie das Herunterladen von Software, das Deaktivieren von Firewalls oder das Umgehen von Sicherheitsmechanismen auszuführen.

Eine andere Taktik ist a Umleitungstechnik. Dies ist der Fall, wenn ein Angreifer Sie dazu verleitet, eine Zahlung auf ein anderes Konto vorzunehmen oder Ihre Sendung an eine andere Adresse zu senden. Bei dieser Taktik geht es oft genug darum, Kommunikations- oder Verschlüsselungsschlüssel umzuleiten. Möglicherweise ruft Sie jemand an, der vorgibt, Vertreter einer Bank oder eines E-Mail-Anbieters zu sein, und gibt Ihnen dann ein hilfreiches Heads-up zu einer Warnmeldung. Die Person fordert Sie möglicherweise auf, die Warnungen „sicher zu ignorieren“. In ähnlicher Weise werden Sie möglicherweise gebeten, mit jemandem „aus einer anderen Abteilung“ zu kommunizieren, oder Sie erhalten einen alternativen Verschlüsselungsschlüssel, der für Ihr Konto verwendet werden kann.

2) Sie sind eine freundliche und ehrliche Person

Die meisten Menschen helfen gerne anderen und vermuten nicht, dass hinter jeder Anfrage ein Angriff steckt. Und natürlich sollten wir unsere Hilfsbereitschaft nicht durch unerträgliche Paranoia ersetzen.

Es ist schwierig, ein gesundes Gleichgewicht zu halten, und Anzeichen von Paranoia stoßen oft auf Lächerlichkeit.

Wir sind weniger misstrauisch, wenn uns gute Dinge passieren. Ein teurer USB-Stick, den Sie auf dem Boden finden, enthält möglicherweise Malware, oder der flauschige Teddybär, der in Ihr Büro geschickt wird, enthält möglicherweise eine Kamera oder ein Tracking-Gerät. Diese Taktik ist bekannt als Köder, In extremen Fällen können die Angreifer sogar sagen, dass sie sich in Sie verliebt haben, oder sie bieten Hauptpreise für Wettbewerbe an, an denen Sie sich nicht erinnern können.

Angreifer können dies, indem sie keine Vorsicht walten lassen und die Identität von Personen überprüfen, die sich an uns wenden Autorität herstellen über uns. In einer großen Organisation kann es schwierig sein, genau zu wissen, wer sich in der gesamten Befehlskette befindet, und neue Mitarbeiter sind für diese Art von Betrug besonders anfällig. Ein Unternehmen ist möglicherweise anfälliger für solche Angriffe, nachdem das Management gewechselt oder umstrukturiert wurde.

Social Hacker könnten sogar Nutze deine Freundlichkeit viel unverblümt, indem man einfach um etwas bittet. In einem rauen Arbeitsumfeld reagieren gestresste Mitarbeiter oft sehr positiv auf freundliche Anfragen. In der Tat werden die meisten Menschen entweder auf Freundlichkeit oder Autorität reagieren.

3) Du verrätst mehr über dich als du denkst

Sie wissen vielleicht nicht, ob Sie der Typ sind, der besser auf Autorität oder Freundlichkeit reagiert, aber ein erfahrener Angreifer kann dies schnell herausfinden, indem er subtile Zeichen in Ihren Gesichtsausdrücken oder Handgesten liest.

Victor Lustig, der Meisterbetrüger, der einen Schrotthändler dazu verleitet hat, den Eiffelturm zu kaufen, erklärt:

  • Sei ein geduldiger Zuhörer (es ist dies, nicht das schnelle Sprechen, das einem Betrüger seine Coups bringt).
  • Warten Sie, bis die andere Person politische Meinungen geäußert hat, und stimmen Sie ihnen dann zu.
  • Lassen Sie die andere Person religiöse Ansichten offenbaren, dann haben Sie die gleichen.
  • Hinweis auf Sex-Talk, aber verfolge ihn nicht, es sei denn, die andere Person zeigt ein starkes Interesse.
  • Besprechen Sie niemals eine Krankheit, es sei denn, Sie haben besondere Bedenken.
  • Niemals in die persönlichen Umstände einer Person eintauchen (das Ziel wird Ihnen irgendwann alles sagen).
  • Prahlen Sie niemals - lassen Sie einfach Ihre Wichtigkeit stillschweigend erkennen.

Gezielter und effizienter kann ein Phishing Attacke. In der gebräuchlichsten Form erhalten Sie von Ihrer Bank eine E-Mail mit der Aufforderung, sich bei Ihrem Konto anzumelden. Anstatt jedoch auf die Website Ihrer Bank weitergeleitet zu werden, werden Sie zu einer identischen Website weitergeleitet, die den Angreifern gehört. Dieser Angriff kann sogar die Zwei-Faktor-Authentifizierung umgehen. Wenn die Angreifer versuchen, sich in Ihr echtes Konto einzuloggen, erhalten Sie möglicherweise eine SMS mit einem Sicherheitscode von Ihrer Bank. Sie erhalten dies, indem sie Sie einfach auffordern, es auf ihrer gefälschten Website einzutragen.

4) Ihr Geist springt leicht zu Schlussfolgerungen

Wir geben es nur ungern zu, wenn wir Leute nicht erkennen, die behaupten, uns zu kennen. Besonders wenn sie intime Details über uns selbst zu wissen scheinen. Tatsächlich täuschen wir uns viel eher vor, dass wir die Person kennen müssen, anstatt eine Konfrontation zu riskieren, um die Natur unserer Beziehung zu klären. Dies wird in unzähligen Telefon-Betrügereien ausgenutzt, bei denen Menschen dazu verleitet werden, zu glauben, dass ihre entfernten Verwandten anrufen und finanzielle Hilfe benötigen.

William Thompson, der in den 1840er Jahren in New York lebte, überzeugte zufällige Fremde nicht nur davon, dass sie ihn kannten, sondern dass sie ihm auch anvertrauen konnten, dass er sich um ihre wertvollen Besitztümer kümmerte. Er wurde schnell im ganzen Land als "der Vertrauensmann" bekannt.

5) Sie neigen dazu zu glauben, andere seien wie Sie

Sie haben keine bösen Absichten, warum sollten andere? Es fällt uns schwer, uns vorzustellen, dass manchmal scheinbar gewöhnliche Menschen dir Schaden zufügen wollen.

Sie kennen böse Hacker, aber sie greifen nur Nationalstaaten und Bürgerrechtsaktivisten an, oder? Warum sollte sich jemand die Mühe machen, dich zu hacken? Sie haben keine Fälle von Geld oder Geschäftsgeheimnissen zu stehlen. Warum sollten die Leute dir Schaden zufügen wollen??

In Wirklichkeit sind Sie und Ihre Daten wahrscheinlich weitaus wertvoller als Sie denken, und möglicherweise werden Sie bereits auf die eine oder andere Weise angegriffen. Es kann ein automatischer Angriff sein oder es kann nur ein Zufall sein, aber Sie sollten glücklichen Zufällen nicht blind vertrauen. Seien Sie vorsichtig vor dem plötzlichen Auftreten eines alten Bekannten oder einer merkwürdigen Anfrage, die über das Telefon eingeht.

Lesen Sie hier weitere Tipps zum Datenschutz und zur Sicherheit im Internet

Die Kunst des Social Engineering: Werden Sie konditioniert?
admin Author
Sorry! The Author has not filled his profile.