Internet

Was ist Social Engineering? Methoden und Abwehrkräfte

Autor: Peter Berry
Erstelldatum: 14 Juli 2021
Aktualisierungsdatum: 1 April 2025
Anonim
Was ist Social Engineering? Methoden und Abwehrkräfte - Internet
Was ist Social Engineering? Methoden und Abwehrkräfte - Internet

Inhalt

Varsha ist eine begeisterte Schriftstellerin, die gerne umfangreiche Recherchen zu interessanten Themen durchführt.

Was ist Social Engineering?

In der Computerwelt kann Social Engineering so beschrieben werden, dass jemand dazu verleitet wird, sich selbst oder anderen etwas anzutun, das oft schädlich ist. Social Engineering ist eine der häufigsten Formen des Hackens, weil es so oft erfolgreich ist. Für das Opfer ist es oft frustrierend, weil es nicht allein durch Technologie verhindert werden kann.

Social Engineering Methoden und Techniken

Social Engineering kann auf viele Arten durchgeführt werden, unter anderem über einen Computer, per Telefonanruf, persönlich oder mithilfe herkömmlicher Post. Es gibt so viele Möglichkeiten und Varianten des Social Engineering, dass jede Liste, die vorgibt, alle Möglichkeiten zu katalogisieren, einige der Methoden verfehlen wird. Wenn Social Engineering auf dem Computer erstellt wird, erfolgt dies normalerweise per E-Mail oder über das Internet (obwohl dies auch mithilfe von Instant Messaging und nahezu jedem anderen Computerprogrammtyp erfolgt ist).


Phishing

Ein gängiges Social-Engineering-Ziel besteht darin, die Anmeldeinformationen eines Benutzers mithilfe der so genannten Informationen zu erfassen Phishing. Phishing-E-Mails oder Websites versuchen, den Benutzer dazu zu bringen, seine legitimen Anmeldeinformationen anzugeben, indem sie sich als legitime Website oder Administrator ausgeben, mit der der Endbenutzer vertraut ist. Der häufigste Phishing-Trick besteht darin, eine E-Mail zu senden, die angeblich von einem Website-Administrator stammt und behauptet, dass das Kennwort des Benutzers überprüft werden muss, da sonst der Zugriff auf die Website gesperrt wird.

Speerfischen ist eine Art von Phishing-Versuch, der sich insbesondere gegen eine bestimmte Person oder Gruppe richtet und nicht öffentliche Informationen verwendet, mit denen die Ziele vertraut wären. Ein Beispiel für Spearphishing ist, dass einem Projektmanager ein Dokument in einer E-Mail gesendet wird, das angeblich von einem Projektmitglied stammt, das angeblich mit einem Projekt in Verbindung steht, an dem er arbeitet. Wenn es das Dokument öffnet, führt es böswillige Befehle aus. Spearphishing ist häufig an vielen der bekanntesten Unternehmenskompromisse beteiligt.


Auf Abruf

Betrüger können Benutzer auch anrufen, die angeblich technischer Support, ein beliebter Anbieter oder eine Regierungsbehörde sind.

Einer der beliebtesten Betrugsfälle ist, wenn der Benutzer von jemandem angerufen wird, der behauptet, vom technischen Support zu stammen, und behauptet, auf dem Computer des Benutzers sei ein Malware-Programm erkannt worden.

Anschließend fordern sie den Benutzer auf, ein „Anti-Malware“ -Programm herunterzuladen, mit dem nicht überraschend viele, viele Malware-Programme erkannt werden. Anschließend wird der Benutzer aufgefordert, ein Fernzugriffsprogramm herunterzuladen und auszuführen, mit dem sich die gefälschte Person des technischen Supports am Computer des Opfers anmeldet, um schädlichere Software zu installieren. Das gefälschte technische Support-Programm gipfelt, wenn das Opfer ein gefälschtes Anti-Malware-Programm unter Verwendung seiner Kreditkartennummer kauft.

Betrüger über das Telefon können auch vorgeben, von Steuererhebungsdiensten, Strafverfolgungsbehörden oder anderen Regierungsbehörden zu stammen, um bezahlt zu werden, damit der Endbenutzer strenge Strafen oder Gefängnisstrafen vermeidet.


Persönlich

Einige der bekanntesten Social-Engineering-Betrügereien wurden vom Hacker selbst persönlich durchgeführt. Physische Sozialingenieure sind dafür bekannt, dass sie in Banken gehen und Keylogging-Geräte an Geldautomaten installieren und in Banken gehen und Keylogging-Geräte an Mitarbeiterterminals installieren, während sie sich als Computerreparaturleute ausgeben. So misstrauisch Menschen von Natur aus Fremden sind, sie sind überraschend entwaffnet, wenn dieser Fremde zufällig eine Reparaturperson ist, insbesondere wenn diese Serviceperson etwas sagt wie: "Ich habe gehört, Ihr Computer hat sich in letzter Zeit langsam verhalten." Wer kann diese Aussage widerlegen? Die Reparaturperson kennt offensichtlich das laufende Problem und ist endlich hier, um es zu beheben.

Trojanische Pferdeausführung

Ein weiterer ebenso beliebter Social-Engineering-Trick wird verwendet, um den ahnungslosen Endbenutzer dazu zu bringen, ein Trojaner-Programm auszuführen. Dies kann per E-Mail erfolgen, entweder als Dateianhang oder in einer eingebetteten URL. Es wird genauso häufig auf Websites durchgeführt. Oft wird eine legitime Website kompromittiert, und wenn ein vertrauenswürdiger Benutzer die Webseite lädt, wird der Benutzer angewiesen, eine Datei auszuführen. Die Datei kann ein "benötigtes" Add-On eines Drittanbieters, ein gefälschter Antiviren-Detektor oder ein "benötigter" Patch sein. Die legitime Website kann direkt kompromittiert werden oder ein anderes unabhängig beteiligtes Element, z. B. ein Bannerwerbedienst eines Drittanbieters. In beiden Fällen hat der Benutzer, der der legitimen Website nach jahrelangem Besuch häufig problemlos vertraut, keinen Grund zu der Annahme, dass die vertrauenswürdige Website kompromittiert wurde.

Karotte oder Peitsche

Dem Endbenutzer wird oft entweder eine Strafe droht, wenn er etwas nicht tut, oder er wird eine Belohnung dafür versprochen, etwas zu tun. Der Trick beginnt damit, dass das Opfer unter Druck gesetzt wird, da die Menschen das Risiko bei Stressereignissen nicht so sorgfältig abwägen. Sie müssen entweder eine Geldstrafe zahlen oder ins Gefängnis gehen. Sie müssen das Programm ausführen oder riskieren, dass ihr Computer infiziert bleibt und ihr Bankkonto geleert wird. Sie müssen Geld senden, oder jemand, der ihnen wichtig ist, bleibt in einem ausländischen Gefängnis. Sie müssen das Passwort des Chefs ändern oder bekommen Probleme mit dem Chef.

Betrug kaufen

Ein weiterer weit verbreiteter Betrug wird gegen Personen durchgeführt, die Waren auf Websites wie Auktionsseiten oder Craigslist-ähnlichen Websites kaufen oder verkaufen. Das unschuldige Opfer kauft oder verkauft etwas.

Beim Kauf von Betrug antwortet der Käufer schnell, bietet in der Regel an, den vollen Kaufpreis zuzüglich Versandkosten zu zahlen, und fordert den Verkäufer auf, diesen zu verwenden

"Vertrauenswürdige" Treuhandagenten. Anschließend senden sie dem Opfer einen gefälschten Scheck über den vereinbarten Kaufbetrag, den das Opfer auf sein Bankkonto einzahlt. (Leider akzeptieren Banken diese gefälschten Schecks ohne weiteres, machen das Opfer jedoch letztendlich für das verlorene Geld verantwortlich.) Der Käufer bittet den Verkäufer des Opfers, das „zusätzliche“ Geld an seinen Versender oder Treuhandagenten zurückzugeben. Das Opfer des Verkäufers hat in der Regel am Ende mindestens diesen Betrag verloren.

Beim Verkauf von Betrug sendet der Käufer des Opfers das Geld, erhält die Ware jedoch nie. Der durchschnittliche Verkaufsbetrug beträgt mindestens tausend Dollar. Der durchschnittliche Kaufbetrug kann Zehntausende von Dollar betragen.

Verteidigung gegen Social Engineering

Bildung

Antisoziales Engineering-Training ist eine der besten und wichtigsten Abwehrmechanismen gegen Social Engineering. Die Schulung muss Beispiele für die häufigsten Arten von Social Engineering enthalten und wie potenzielle Opfer die Anzeichen von Illegitimität erkennen können.

Alle Computerbenutzer müssen über Social-Engineering-Taktiken unterrichtet werden. Menschen, die Waren im Internet kaufen und verkaufen, müssen über Kaufbetrug aufgeklärt werden. Sie sollten nur legitime Treuhanddienste nutzen und alle Empfehlungen der Website für eine unbeschädigte Transaktion befolgen.

Seien Sie vorsichtig bei der Installation von Software von Websites Dritter

Benutzern sollte beigebracht werden, niemals Softwareprogramme direkt von einer Website zu installieren, die sie besuchen, es sei denn, es ist die Website des legitimen Anbieters, der die Software erstellt hat. Wenn auf einer Website angegeben ist, dass Sie Software von Drittanbietern installieren müssen, um sie weiterhin anzuzeigen, und Sie der Meinung sind, dass es sich um eine legitime Anforderung handelt, verlassen Sie die Website und rufen Sie die Website des Softwareanbieters auf, um sie zu installieren. Installieren Sie niemals die Software eines anderen Anbieters von der Website eines anderen Anbieters. Es könnte tatsächlich legitime Software sein, aber das Risiko ist zu groß.

EV Digital Zertifikate

Web-Surfern sollte beigebracht werden, auf vielen der beliebtesten Websites nach den digitalen Zertifikaten für die erweiterte Validierung (EV) zu suchen (https://en.wikipedia.org/wiki/Extended_Validation_Certificate). EV-Websites werden häufig auf irgendeine Weise hervorgehoben (normalerweise eine grüne Adressleiste oder ein hervorgehobener grüner Name), um dem Benutzer zu bestätigen, dass die URL und Identität der Website von einem vertrauenswürdigen Dritten bestätigt wurden.

Passwörter loswerden

Phishing für Anmeldeinformationen kann nicht funktionieren, wenn der Mitarbeiter seine Anmeldeinformationen nicht weitergeben kann. Einfache Anmeldenamen mit Kennwörtern werden zugunsten der Zwei-Faktor-Authentifizierung (2FA), digitaler Zertifikate, Anmeldegeräte, Out-of-Band-Authentifizierung und anderer Anmeldemethoden, die nicht phishingfähig sind, wegfallen.

Antisoziale Ingenieurtechnologien

Die meisten Anti-Malware-, Webfilter-Software- und E-Mail-Anti-Spam-Lösungen versuchen, das mit Computern durchgeführte Social Engineering zu minimieren. Anti-Malware-Software versucht, die Ausführung schädlicher Dateien zu erkennen. Die Webfilter-Software versucht, schädliche Websites zu identifizieren, während der Browser des Besuchers versucht, die Seite zu laden. Und E-Mail-Anti-Spam-Lösungen filtern häufig Social-Engineering-E-Mails heraus. Da die Technologie jedoch niemals vollständig erfolgreich sein wird, müssen Endbenutzerschulungen und andere Methoden zusammen angewendet werden.

Social Engineering ist eine sehr erfolgreiche Hacking-Methode. Einige Computersicherheitsexperten werden Ihnen mitteilen, dass Sie nicht genug Schulungen durchführen können, um alle Mitarbeiter erfolgreich auf Social-Engineering-Taktiken aufmerksam zu machen. Sie liegen falsch. Eine Kombination aus ausreichend Training und den richtigen Technologien kann das Risiko von Social Engineering erheblich verringern.

Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.

Vorheriger Artikel

Verwendung der TREND-Funktion in Excel

Nächster Artikel

Tutorials, die Ihnen helfen, wie Bob Ross digital zu malen

Artikel Des Portals

Auf Der Website Beliebt

5 Gründe, warum ich mich für das Lesen auf einem Kindle Paperwhite entscheide
 Computers

5 Gründe, warum ich mich für das Lesen auf einem Kindle Paperwhite entscheide

Ich habe meinen Kindle Paperwhite vor über einem Jahr gekauft und Dutzende Bücher auf dem Gerät gele en.Normalerwei e le e ich auf einem eReader, weil e für mich bequem i t und wei...
Cherry Mobile Titan TV S320 Bewertung
 Telefone

Cherry Mobile Titan TV S320 Bewertung

Ein Teil de Android-Trend , ich vom iPhone abzuheben, be tand darin, die Bild chirmgröße zu erhöhen. Flagg chiff-Telefone haben eitdem an Größe zugenommen, wobei da 4,3 "...