Menu oben rechts

  • Über uns
  • Kontakt
  • Anmelden - Registrieren
  • Secure your business abonnieren
  • Podcasts
Information Security - Informationssicherheit - Information Risk Awareness. Das Information Security & Risk Management Portal.
  • Information Security
    • Corporate IT Security - Information Security
    • Information Security Management System
    • Datenschutz Management - Privacy
    • IT Risk Management - Risiko Management
    • Business Continuity Management
    • IT Disaster Recovery / DRP / Backup and Recovery
    • Notfallplan und Evakuierung
  • IT Risikoanalyse
    • IT Risikoanalyse Tools für KMU und Projekte
    • IT Risikoanalyse und Risk Assessment Workshop
    • Business Impact Analyse Beispiel
    • IT Krisen Szenarien Übersicht
  • Social Engineering
    • Social Engineering und Phishing
    • Workplace Security
  • Awareness
    • Security und Risk Awareness für Mitarbeitende
    • E-Learning fürs Unternehmen
  • Consulting
    • Leistungen auf einen Blick
    • Referenzen erster Güte
    • Über uns
  • Tools / Demos
    • Tool Demo-Videos
    • Tool Screenshots
      • Krisenmanagement
      • Business Continuity
      • Notfallplan und Evakuierung
      • Risk Management / IKS
      • Information Security
    • Tool Image Gallery
  • Newsletter
    • Newsletter abonnieren
    • Newsletter Ausgaben ansehen
  • Download
    • RSS Podcast
    • Publikationen
Aktuelle Seite: Home Social Engineering

Suchen

Inhaltsübersicht

  • Intelligente Ideen für Ihre Sicherheitssysteme und die Sicherheitstechnik
  • Intelligente Zutrittskontrollsysteme und Access Control Management - Sicher in allen Bereichen

Newsletter abonnieren

Fach-Know how, Video-Tutorials, News und Hintergründe kostenlos erhalten.

Kostenlos anmelden

Kennen Sie schon den aktuellen "Secure your business" Newsletter? Kostenlos erhalten Sie die aktuellsten News, Hintergründe, Videos und Praxisbeispiele aus dem Bereich des Security & Risk Management. Zur Anmeldung bitte Formular ausfüllen.

Erhalten

Social Networking und RSS Feeds

Sie erhalten kostenlos immer die neusten Publikationen, Video- und Audio-Podcasts über unseren RSS Feed, Twitter oder Facebook. Ihre Email hier einfügen und anmelden.

Subscribe in a reader Facebok page Follow me Subscribe by E-Mail
Follow me

Identity- und Access-Management

  • Kreditkartenbetrug mit Hardware-Hack

  • Life Management schützt private Daten

  • Terrorabwehr oder Überwachungsstaat

Plattformsicherheit

  • Manage Engine debütiert im Mobile Device Management

  • Sicherheitsservice für Typo3

  • Kreditkartenbetrug mit Hardware-Hack

Applikationssicherheit

  • Sicherheitsservice für Typo3

  • Gefälschte Facebook-Seiten: Sex sells

  • Hacktivismus treibt DDoS-Attacken voran

Risiken und Bedrohungen

  • Sicherheitsservice für Typo3

  • Kreditkartenbetrug mit Hardware-Hack

  • Mit 9 schmutzigen Tricks BYOD verhindern!

Social Engineering und Phishing

  • Drucken
  • E-Mail
Tweet
Share

 

Social Engineering und Phishing professionell entgegnen

  

Social Engineering und Phishing - Es gibt Möglichkeiten zur professionellen Abwehr

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschliessen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen gescheiterten Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen. Der Angreifer verwirrt sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, den Vorgesetzten stören zu müssen. Unter Umständen hat der Mitarbeiter sogar tatsächlich technische Hilfe angefordert und erwartet bereits einen derartigen Anruf.
 

 

alt

  PDF Download Fach-Publikationen
 

alt  Screenshots von Vorlagen und Tools
 

alt  Beratung oder Fragen? Schreiben Sie uns.

 
 

 

Phishing

Eine bekannte und unpersönliche Variante des Social Engineering ist das Phishing. Bei dieser unpersönlichen Variante werden fingierte E-Mails mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet. Inhalt dieser Nachrichten kann zum Beispiel sein, dass ein bestimmter Dienst, den man nutzt, eine neue URL hat und man sich auf dieser von nun an einloggen soll, wenn man ihn in Anspruch nehmen will. Bei dieser fingierten Seite handelt es sich, von Layout und Aufmachung her, um eine Kopie der originalen Webseite des Serviceanbieters. Dies soll dazu beitragen, das Opfer in Sicherheit zu wiegen. Fällt man darauf herein, so gelangen Kriminelle in den Besitz des Loginnamens und -passworts. Eine weitere Möglichkeit besteht darin, dass das Opfer von einem vermeintlichen Administrator dazu aufgefordert wird, die Logindaten als Antwort zurückzusenden, da angeblich technische Probleme vorliegen. Das Grundmuster ist ähnlich dem fingierten Telefonanruf, denn auch hier gibt sich der Social Engineer in der Regel als technischer Mitarbeiter aus, der zur Datenüberprüfung oder -wiederherstellung die Geheiminformation benötigt. Anders als dort verfügt der Angreifer hier meist über nicht viel mehr als die E-Mail-Adresse des Empfängers, was die Attacke weniger persönlich und damit auch weniger wirkungsvoll macht.

 

Spear Phishing

Anders als beim normalen Phishing richtet sich ein solcher Angriff gezielt auf eine Person oder eine Gruppe, die dem Angreifer lohnend erscheint. Die Nachrichten werden dabei, im Gegensatz zum normalen Phishing, wo der Text eher allgemein ist, möglichst an das Opfer angepasst.

 

 

Dumster Diving

Hierbei wird der Müll des Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht. Diese können dann in einem darauf folgenden Anruf dazu verwendet werden, um das Vertrauen des Opfers zu erschleichen.

 

 

Es gibt Möglichkeiten zur professionellen Abwehr

Die Abwehr von Social Engineering ist nicht einfach zu bewerkstelligen, da der Angreifer im Grunde positive menschliche Eigenschaften ausnutzt: Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren. Generelles Misstrauen zu schüren, würde auch die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen.

 

Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert deshalb im konkreten Fall das Opfer selbst, indem es Identität und Berechtigung eines Ansprechenden zweifellos sicherstellt, bevor es weitere Handlungen vornimmt. Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen. Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden. Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offen gelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines grösseren Sachverhalts dienen.

 

Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer; erste Ansprechpartner sind die Sicherheitsabteilung des Unternehmens, die Kontaktadresse des E-Mail-Providers und Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden. Folgende Punkte sollten unbedingt beachtet werden:

  • Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein.
  • Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
  • Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanziellen Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
  • Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen. Stattdessen die URL selbst im Browser eingeben.
  • Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen.

 

 

Security & Risk News

SearchSecurity.de - News

  • Die Folgen der Cloud für Unternehmen im deutschen Channel
  • Manage Engine debütiert im Mobile Device Management
  • Sicherheitsservice für Typo3
  • Kreditkartenbetrug mit Hardware-Hack
  • Cloud-Service scannt Android- und Symbian-Apps

Know how für Professionals

  • Business Continuity Management
  • Information Security Management - Informationssicherheit
  • Risk Management - IKS - Risiko Management
  • Risk Management / Internes Kontrollsystem / IKS
  • Sicherheitsberater - Sicherheitsplanung

Top 5 - Meist gelesen

  • IT Sicherheitsmanagement - Sind Sie fit im Umgang mit Risiken?
  • Datenschutz-Bestimmungen
  • Corporate IT Security - Information Security Management
  • Secure your business abonnieren
  • Demo-Videos zu den OptiRisk® Vorlagen
Copyright © 2012 RM Risk Management AG - Security & Risk Management Consultants - Zürich.
Alle Rechte vorbehalten.