Was ist Social Engineering? So könnten Sie gehackt werden

Eskere Guru

Social Engineering ist ein wichtiger Begriff in der Sicherheitswelt, aber Sie wissen möglicherweise nicht genau, was es bedeutet. Obwohl es sich um ein breites Thema handelt, gibt es bestimmte Arten von Social Engineering, die wir untersuchen können, um mehr zu erfahren.

Betrachten wir Social Engineering als Konzept, damit Sie nicht Opfer davon werden.

Was ist Social Engineering?

Im Bereich der Sicherheit ist Social Engineering der Vorgang, Menschen zu manipulieren, um ihnen private Informationen zu stehlen oder sie dazu zu bringen, solche vertraulichen Details preiszugeben. Social Engineering beruht auf der Nutzung der menschlichen Natur, die normalerweise das schwächste Glied in einem ansonsten starken System ist.

Social Engineering versucht im Gegensatz zu vielen anderen technischen Angriffen nicht, direkt in Computersysteme einzudringen. Während ein Hacker möglicherweise ein Programm schreibt, das versucht, das Passwort einer Person brutal zu erzwingen oder einen Fehler in der Software auszunutzen, beruht Social Engineering nur darauf, Opfer auszutricksen oder zu manipulieren, um etwas zu tun, was der Angreifer will.

Während Social Engineering vor dem Internetzeitalter liegt (denken Sie an Verkaufstaktiken, die Sie unter Druck setzen, etwas zu kaufen, das Sie nicht wollen), ist die Praxis online viel weiter verbreitet.

Selbst mit sicheren Passwörtern, erstklassiger Sicherheitssoftware und physisch gesicherten Computern kann eine getäuschte Person eine Sicherheitslücke darstellen und dennoch eine Sicherheitsverletzung in ein Unternehmen oder in ein eigenes Setup einladen.

Schlüsselelemente des Social Engineering

Die meisten Menschen erkennen offensichtliche Betrügereien. Da das Bewusstsein für diese Tricks im Laufe der Zeit gestiegen ist, müssen die Betrüger, die sie ausführen, regelmäßig ihre Taktik ändern, um sie lebensfähig zu halten.

Infolgedessen passen sich bestimmte Social-Engineering-Systeme im Laufe der Zeit an. Viele dieser Tricks verwenden jedoch eine Mischung der folgenden Elemente:

  • Angst-Taktik: Wenn ein Betrüger Sie befürchten lässt, dass etwas Schlimmes passieren wird, folgen Sie eher, ohne kritisch zu denken. Zum Beispiel könnten sie sich als Regierung ausgeben und Steuerzahlungen verlangen, wenn die Gefahr einer Verhaftung besteht.
  • Ein Gefühl der Dringlichkeit: Um Druck auf Sie auszuüben, bevor Sie denken, erfordern viele Social-Engineering-Betrügereien sofortiges Handeln, damit Sie nicht "Ihr Konto verlieren" oder ähnliches.
  • Als legitimes Unternehmen posieren: Um Sie davon zu überzeugen, dass sie keine Fälschungen sind, verwenden Angreifer authentisch aussehende Elemente in ihrer E-Mail oder anderen Kommunikation.
  • Vage Formulierung: Da Social-Engineering-Angriffe in der Regel von vielen Personen gleichzeitig ausgeführt werden, sind die meisten nicht spezifisch für Sie. Allgemeiner Wortlaut und das Fehlen eines bestimmten Grundes für die Kommunikation sind Anzeichen dafür, dass es sich um eine Fälschung handelt.

Gängige Arten von Social Engineering

Schauen wir uns als nächstes einige gängige Formen des Social Engineering an, um zu sehen, wie es sich entwickelt.

Phishing

Was ist Social Engineering? So könnten Sie gehackt werden - PayPal Phishing Email 2020

Sie kennen sich wahrscheinlich mit Phishing aus. Es ist eine der häufigsten Arten von Social Engineering. Dies ist ein Angriff, bei dem jemand vorgibt, eine legitime Einheit zu sein, normalerweise per E-Mail, und vertrauliche Informationen anfordert.

Es wird häufig behauptet, von PayPal, Apple, Ihrer Bank oder einem anderen vertrauenswürdigen Unternehmen zu stammen und Sie zu bitten, Ihre Daten zu "bestätigen" oder eine verdächtige Transaktion zu überprüfen.

Zum Schutz vor Phishing sollten Sie niemals auf Links in E-Mails klicken und sich daran erinnern, dass legitime Unternehmen auf diese Weise nicht nach vertraulichen Informationen fragen. Stellen Sie sicher, dass Sie auch mit den verschiedenen Formen von Phishing vertraut sind.

Telefonbetrug

Telefonbetrug ist eher altmodisch als E-Mail-Phishing, aber immer noch beliebt. In diesen Schemata ruft Sie jemand an, der beispielsweise behauptet, von Ihrem Kreditkartenunternehmen zu stammen, und bittet Sie, Ihre Daten wegen verdächtiger Aktivitäten zu bestätigen.

Sie geben möglicherweise auch vor, eine Computerfirma zu repräsentieren, die "Virusinfektionen" auf Ihrem Computer beheben muss.

Über das Telefon kann ein Dieb eine persönlichere Verbindung herstellen als per E-Mail. Wenn Sie jedoch aufpassen , ist es leicht zu erkennen, wann Sie mit einem Betrüger telefonieren .

Köder

Obwohl es nicht so weit verbreitet ist wie die oben genannten Formen, ist das Ködern eine Form des Social Engineering, das der menschlichen Neugier nachjagt. Bei diesen Angriffen hinterlässt ein Betrüger eine infizierte CD oder ein infiziertes USB-Laufwerk an einem Ort, an dem er hofft, dass jemand sie aufnimmt. Wenn Sie das Medium dann in Ihren PC einlegen, werden Sie möglicherweise von Malware getroffen, wenn der Inhalt des Laufwerks automatisch ausgeführt wird.

Dieser Angriff ist komplizierter, da physische Medien verwendet werden. Es zeigt jedoch, dass Sie niemals ein Flash-Laufwerk oder ein anderes Gerät an Ihren Computer anschließen sollten, wenn Sie ihm nicht vertrauen.

Zu dichtes Auffahren

Was ist Social Engineering? So könnten Sie gehackt werden - Secure Door Keycard

Dieser Angriff beruht im Gegensatz zu den anderen darauf, dass der Betrüger physisch anwesend ist. Tailgating bezieht sich auf den Vorgang des Zugangs zu einem gesicherten Bereich durch Huckepack auf eine andere (legitime) Person.

Ein häufiges Beispiel hierfür ist eine Tür an einem Arbeitsplatz, bei der Sie eine Schlüsselkarte scannen müssen, um hineinzukommen. Obwohl es üblich ist, die Tür für jemanden hinter Ihnen offen zu halten, möchten die meisten Unternehmen nicht, dass Sie dies tun. Die Person hinter Ihnen könnte versuchen, sich in einen Bereich zu schleichen, in dem sie nicht sein sollte, und Ihre Freundlichkeit ausnutzen.

Dieser ist hauptsächlich für den geschäftlichen Gebrauch geeignet, aber es ist klug, sich daran zu erinnern, dass Sie auch den physischen Zugriff auf Ihren Computer schützen sollten. Jemand, der sich auf Ihre Maschine schleichen kann, ohne dass Sie hinsehen, kann viel Schaden anrichten.

Scareware

Was ist Social Engineering? So könnten Sie gehackt werden - Fake Virus Popup

Manchmal als "Scareware" bezeichnet, dient dies als eine Art Mischung zwischen Phishing und Malware. Bei diesen Angriffen drohen Ihnen gefälschte Nachrichten, in der Hoffnung, dass Sie einem Betrüger Geld zahlen oder vertrauliche Informationen preisgeben.

Eine häufige Form von Scareware sind gefälschte Virenwarnungen . Diese sind für sich genommen nicht gefährlich, aber täuschen Sie vor, dass es sich tatsächlich um Anzeichen einer Infektion auf Ihrem Gerät handelt. Betrüger hoffen, dass Sie auf die Fälschung hereinfallen und ihnen entweder Geld schicken, um die Infektion zu "beheben", oder ihre Software herunterladen, was tatsächlich gefährlich ist.

Eine andere übliche Angsttechnik sind Erpressungs-E-Mails . In diesen Fällen erhalten Sie eine E-Mail von jemandem, der behauptet, kompromittierende Inhalte von Ihnen oder ähnliches zu haben. Sie verlangen eine Zahlung, um zu verhindern, dass sie das Video oder Bild an alle Ihre Freunde weitergeben. Natürlich haben sie solche Informationen nicht wirklich; Sie hoffen nur, dass Sie ihnen glauben.

So schützen Sie sich vor Social Engineering

Wie wir gesehen haben, nimmt Social Engineering viele Formen an und ist oft schwer zu erkennen. Beachten Sie Folgendes, um sich vor diesen und ähnlichen Angriffen zu schützen:

  • Vertraue keinen E-Mails . E-Mails sind eine der am einfachsten zu fälschenden Kommunikationsformen. Klicken Sie niemals auf einen Link in einer E-Mail, es sei denn, Sie haben dies ausdrücklich erwartet. Es ist immer sicherer, Websites direkt zu besuchen.
  • Handeln Sie nicht ohne nachzudenken . Wenn Sie eine Nachricht erhalten, die Ihren Emotionen nachgeht, soll sie Sie wahrscheinlich austricksen. Halten Sie inne und denken Sie nach, wenn Sie besonders besorgt oder neugierig sind, da Sie in diesen Fällen eher voreilige Entscheidungen treffen.
  • Bestätigen Sie immer verdächtige Informationen . Wenn jemand behauptet, von einem bestimmten Unternehmen zu stammen, bitten Sie ihn um Informationen, um dies zu beweisen. Wenn sie mit vagen Ausreden antworten, sind sie ein Lügner.

Social Engineering, ausgesetzt

Selbst wenn Sie niemals einem komplizierten Exploit zum Opfer fallen oder Ihr Passwort geknackt wird, könnten Sie von einem Social-Engineering-Programm zum Trocknen aufgehängt werden. Indem Sie diese häufigen Betrügereien erkennen und kritisch denken, wenn diese Situationen auftreten, können Sie vermeiden, einem Betrüger in die Hände zu spielen.

In der Zwischenzeit ist Social Engineering nicht die einzige Möglichkeit, die menschliche Psychologie online zu nutzen.

Bildnachweis: wk1003mike / Shutterstock