Letzte Woche haben wir uns einige der wichtigsten Social-Engineering-Bedrohungen angesehen. Was ist Social Engineering? [MakeUseOf erklärt] Was ist Social Engineering? [MakeUseOf Explains] Sie können die stärkste und teuerste Firewall der Branche installieren. Sie können Mitarbeiter über grundlegende Sicherheitsverfahren und die Wichtigkeit der Auswahl sicherer Kennwörter informieren. Sie können sogar den Serverraum sperren - aber wie ... Lesen Sie mehr, auf das Sie, Ihr Unternehmen oder Ihre Mitarbeiter achten sollten. Kurz gesagt, Social Engineering ist einem Trick ähnlich, bei dem ein Angreifer Zugang, Informationen oder Geld erhält, indem er das Vertrauen des Opfers gewinnt.
Diese Techniken reichen von Phishing-Scams über E-Mail bis hin zu ausgefeilten Telefontricks und invasiven Pretexting-Angriffen. Obwohl es keine definitive Möglichkeit gibt, Social Engineers aufzuhalten, gibt es einige Dinge, an die man sich erinnern sollte, um zu verhindern, dass solche Angriffe zu ernst werden. Wie immer ist deine beste Verteidigung Wissen und ständige Wachsamkeit.
Schutz vor körperlichen Angriffen
Viele Unternehmen schulen ihr Netzwerksicherheitsteam über die Gefahren physischer Angriffe. Eine Methode, die als "Tailgating" bekannt ist, wird bei vielen physischen Angriffen verwendet, um Zugang zu Bereichen zu erhalten, die ohne Autorisierung eingeschränkt sind. Dieser Angriff geht auf grundlegende menschliche Höflichkeit ein - er hält eine Tür für jemanden - aber sobald der Angreifer physischen Zugang erhält, wird die Sicherheitsverletzung sehr ernst.
Während dies in einem Home-Szenario nicht wirklich zutrifft (du wirst deine Haustür jetzt wahrscheinlich nicht für einen Fremden offen halten, oder?), Gibt es ein paar Dinge, die du tun kannst, um die Chancen zu verringern, Opfer eines Social Engineering zu werden Angriff, der von physischen Materialien oder einem Ort abhängt.
Pretexting ist eine Technik, die von Angreifern verwendet wird, die zuerst Informationen über ihr Opfer finden (z. B. aus einer Rechnung oder einer Kreditkartenabrechnung), die sie dann gegen ihr Opfer verwenden können, indem sie ihnen ein Gefühl der Autorität vermitteln. Der grundlegendste Schutz gegen diese Art von Angriffen (manchmal als "Müllcontainertauchen" bezeichnet) besteht darin, Materialien zu zerstören, die wichtige persönliche Informationen enthalten.
Dies gilt auch für digitale Daten, so dass alte Festplatten (physikalisch) ausreichend zerstört werden sollten und auch optische Medien geschreddert werden können. Manche Firmen nehmen das sogar so in Kauf, dass sie ihren Müll verschließen und ihn sicherheitsüberwachen lassen. Berücksichtigen Sie die unverschmutzten Dokumente, die Sie wegwerfen - Kalender, Quittungen, Rechnungen und sogar persönliche Notizen - und überlegen Sie dann, ob diese Informationen gegen Sie verwendet werden könnten.
Der Gedanke an einen Einbruch ist nicht besonders schön, aber wenn Ihr Laptop gestohlen wurde und Sie Ihren gestohlenen Laptop mit Prey Track Down und Ihren gestohlenen Laptop mit Prey Read More morgen wiederfinden, wäre es ausreichend verschlossen? Laptops, Smartphones und andere Geräte, die auf Ihre persönlichen Informationen, E-Mail und Social-Networking-Konten zugreifen, sollten immer mit sicheren Passwörtern geschützt sein. Wie man ein starkes Passwort erstellt, das Sie nicht vergessen werden Wie Sie ein starkes Passwort erstellen, das Sie nicht vergessen werden Wissen Sie wie ein gutes Passwort erstellen und merken? Hier finden Sie einige Tipps und Tricks, um starke, separate Passwörter für alle Ihre Online-Konten zu erhalten. Lesen Sie mehr und Codes. Wenn Sie wirklich paranoid sind über Diebstahl, möchten Sie vielleicht sogar die Daten auf Ihrer Festplatte mit etwas wie TrueCrypt verschlüsseln. Wie man verschlüsselte Ordner erstellt, die andere mit Truecrypt nicht sehen können. 7 Wie man verschlüsselte Ordner erstellt, die andere mit Truecrypt nicht sehen können Lesen Sie mehr oder BitLocker.
Denken Sie daran - alle Informationen, die ein Dieb auslesen kann, können bei zukünftigen Angriffen, Monaten oder Jahren nach dem Vorfall gegen Sie verwendet werden.
Baiting - ein bösartiges Gerät wie einen kompromittierten USB-Stick, wo es leicht gefunden werden kann - wird leicht vermieden, indem Sie Ihre Kuriositäten nicht über Bord werfen lassen. Wenn Sie einen USB-Stick auf Ihrer Veranda finden, behandeln Sie ihn mit dem größten Verdacht. USB-Sticks können verwendet werden, um Keylogger, Trojaner und andere unerwünschte Software zu installieren, um Informationen zu extrahieren und eine sehr reale Bedrohung darzustellen.
Psychische Angriffe verhindern
Fast alle Social-Engineering-Angriffe sind psychologischer Natur, aber im Gegensatz zu Vortexen, die Vorwissen erfordern, sind einige Angriffe rein psychologischer Natur. Der Schutz vor diesen Arten von Angriffen ist derzeit eine große Priorität für viele Unternehmen, und dies beinhaltet Bildung, Wachsamkeit und oft denken wie ein Angreifer.
Unternehmen beginnen nun, Mitarbeiter auf allen Ebenen auszubilden, da die meisten Angriffe mit dem Wachmann am Gate oder der Rezeption an der Rezeption beginnen. Dies beinhaltet im Allgemeinen, dass Mitarbeiter angewiesen werden, sich vor verdächtigen Anfragen, aufdringlichen Personen oder irgendetwas, das sich nicht aufaddiert, zu hüten. Diese Wachsamkeit ist leicht auf Ihr tägliches Leben übertragbar, hängt jedoch von Ihrer Fähigkeit ab, vertrauliche Informationen zu erhalten.
Während Online-Angriffe per E-Mail und Instant Messaging immer häufiger vorkommen, sind Social-Engineering-Angriffe per Telefon (und VoIP, die die Suche nach der Quelle schwieriger machen) immer noch eine echte Bedrohung. Der einfachste Weg, einen Angriff zu vermeiden, besteht darin, den Anruf zu beenden, sobald Sie etwas vermuten.
Es ist möglich, dass Ihre Bank Sie anruft, aber selten, dass Sie nach Ihrem Passwort oder anderen Informationen fragen würden. Wenn ein solcher Anruf stattfindet, fordern Sie die Telefonnummer der Bank an, überprüfen Sie sie und rufen Sie sie zurück. Es könnte zusätzliche fünf Minuten dauern, aber Ihre Gelder und persönlichen Informationen sind sicher und die Bank wird es verstehen. Ebenso ist es sehr unwahrscheinlich, dass eine Sicherheitsfirma anruft, um Sie vor Problemen mit Ihrem Computer zu warnen. Behandle alle Anrufe als Betrug, sei misstrauisch und kompromittiere deinen PC nicht Cold Calling Computer Technicians: Fallen Sie nicht auf einen Betrug wie diesen [Scam Alert!] Cold Calling Computer Techniker: Fallen Sie nicht auf einen Betrug wie diesen [ Scam Alert!] Du hast wahrscheinlich schon den Begriff "Betrüge nicht einen Betrüger" gehört, aber ich habe es schon immer gemocht, einen Tech-Schreiber nicht selbst zu betrügen. Ich sage nicht, dass wir unfehlbar sind, aber wenn Ihr Betrug das Internet betrifft, ein Windows ... Lesen Sie mehr oder kaufen Sie, was sie verkaufen!
Bildung ist die beste Verteidigung, daher hilft es Ihnen, potenzielle Sicherheitslücken aufzuspüren, wenn Sie sich über Sicherheitstechniken und Nachrichten auf dem Laufenden halten. Ressourcen wie Social-Engineer.org versuchen, die Leute über die von Social Engineers verwendeten Techniken aufzuklären, und es gibt eine Menge verfügbarer Informationen.
Ein paar Dinge zu erinnern
Vertrauen ist die Haupttaktik eines Social Engineers und wird verwendet, um Zugang zu physischen Standorten, vertraulichen Informationen und, in größerem Umfang, zu sensiblen Unternehmensdaten zu erhalten. Ein System ist nur so stark wie seine schwächste Verteidigung, und im Fall von Social Engineering bedeutet dies Personen, die sich der Bedrohungen und Techniken nicht bewusst sind.
Fazit
Um Kevin Mitnick zu zitieren, der es geschafft hat, die größte Sicherheitskonferenz der Welt ungeschützt und ohne Hemmungen zu durchstreifen (RSA 2001): "Sie könnten ein Vermögen für den Kauf von Technologie und Dienstleistungen von jedem Aussteller, Sprecher und Sponsor auf der RSA Conference und Ihrem Netzwerk ausgeben Infrastruktur könnte immer noch anfällig für altmodische Manipulation bleiben ". Dies gilt für die Schlösser an Ihren Türen und die Alarmanlage in Ihrem Haus. Halten Sie also Ausschau nach Social-Engineering-Taktiken bei der Arbeit und zu Hause.
Haben Sie solche Angriffe erlebt? Arbeiten Sie für eine Firma, die seit kurzem damit beschäftigt ist, Mitarbeiter über die Gefahren aufzuklären? Lassen Sie uns wissen, was Sie denken, in den Kommentaren unten.
Bildnachweis: Wolf im Schafspelz (Shutterstock) Paper Shredder (Chris Scheufele), Festplatte (jon_a_ross), Telefon am Schreibtisch (Radio.Guy), Mozilla Reception (Niall Kennedy),