Sozialingenieure wissen, welche Tasten Sie drücken müssen, damit Sie tun, was sie wollen. Ihre altehrwürdigen Techniken funktionieren wirklich. Daher war es unvermeidlich, dass Cyberkriminelle diese Techniken auf Cyberkriminalität anwenden.
So funktioniert Social Engineering
Von Geburt an sind wir darauf programmiert, hilfsbereit und höflich zu sein. Wenn Ihnen jemand eine Frage stellt, müssen Sie sich bewusst bemühen, sie nicht zu beantworten – vor allem, wenn sie harmlos erscheint. Dies ist eines der Verhaltensweisen, die Social Engineers manipulieren, um das zu erreichen, was sie wollen. Sie tun es subtil und langsam, indem sie ihrem Opfer Stück für Stück Informationen entlocken. Sie werden harmlose Fragen mit denen vermischen, die Sie dazu bringen, das zu enthüllen, was sie wissen möchten.
VERWANDTEWarum Ihre Mitarbeiter Ihr schwaches Glied im Bereich Cybersicherheit sind
Social Engineering funktioniert, indem Menschen mit Techniken manipuliert werden, die mit grundlegenden menschlichen Eigenschaften spielen. Erfahrene Social Engineers können dafür sorgen, dass Sie mit ihnen oder ihrer —fabrizierten—Situation sympathisieren. Sie können dazu führen, dass Sie die Regeln nur einmal verbiegen möchten, entweder weil Sie sich in sie einfühlen und helfen möchten oder weil sie Ihnen lästig sind und Sie sie wirklich vom Telefon nehmen möchten. Sie können Sie beunruhigt oder in Panik versetzen, hoffnungsvoll oder aufgeregt sein. Sie nutzen diese emotionalen Reaktionen dann, um Sie dazu zu bringen, in Eile zu handeln, oft um eine vermeintliche Katastrophe abzuwenden oder ein Sonderangebot zu nutzen.
Social-Engineering-Angriffe können in einem einzigen Telefonanruf erfolgen. Sie können sich über einen bestimmten Zeitraum hinweg ausspielen, da sie langsam ein falsches Verhältnis fördern. Aber Social Engineering beschränkt sich nicht auf das gesprochene Wort. Die häufigsten Social-Engineering-Angriffe werden per E-Mail übermittelt.
Allen Social-Engineering-Angriffen gemein ist ihr Ziel. Sie wollen Ihre Sicherheitsmaßnahmen durchbrechen. Mit dir als ihrem unwissenden Komplizen.
Hacking Human Nature
Menschen nutzen Social-Engineering-Techniken, seit es Betrüger gibt. Der “Spanische Gefangene” Betrug geht auf die 1580er Jahre zurück. Eine wohlhabende Person erhält einen Brief von jemandem, der behauptet, einen rechtmäßigen Grundbesitzer zu vertreten, der unrechtmäßig unter falscher Identität in Spanien gefangen gehalten wird. Ihre wahre Identität kann nicht enthüllt werden, weil dies ihn und seine schöne Tochter in noch größere Gefahr bringt.
Werbung
Ihre einzige Hoffnung auf Flucht besteht darin, ihre Wachen zu bestechen. Wer in den Schmiergeldfonds einzahlt, wird bei der Freilassung des Gefangenen und dem Zugriff auf sein beträchtliches Vermögen um ein Vielfaches belohnt. Jeder, der zu spenden bereit ist, trifft auf den Mittelsmann, der die Spende abholt.
Das Opfer wird bald wieder angesprochen. Es sind weitere Schwierigkeiten aufgetreten "der Gefangene und seine Tochter sollen hingerichtet werden, wir haben nur noch zwei Wochen!&8212;und natürlich wird mehr Geld benötigt. Dies wird wiederholt, bis das Opfer ausgeblutet ist oder sich weigert, mehr Geld auszuhändigen.
pBetrügereien wie diese wirken auf verschiedene Personen auf unterschiedliche Weise. Einige Opfer werden verstrickt, weil es ihre edlen Eigenschaften wie Freundlichkeit, Mitgefühl und Gerechtigkeitssinn anspricht. Für andere hätte die zunehmende Feindseligkeit zwischen Großbritannien und Spanien sie zum Handeln veranlasst. Andere würden die Chance nutzen, leicht Profit zu machen.
Der spanische Gefangenenbetrug ist das elisabethanische Äquivalent—und direkter Vorfahr—der “nigerianische Prinz” und andere betrügerische E-Mails, mit denen Cyberkriminelle auch 2021 noch Geld verdienen.
Die meisten Menschen können diese heute als Betrug erkennen. Aber die meisten modernen Social-Engineering-Angriffe sind viel subtiler. Und die Bandbreite menschlicher Reaktionen auf emotionale Ereignisse hat sich nicht geändert. Wir sind immer noch auf die gleiche Weise programmiert, daher sind wir immer noch anfällig für diese Angriffe.
Angriffsarten
Die Der Bedrohungsakteur möchte, dass Sie etwas tun, das zu seinem Vorteil ist. Ihr Ziel kann es sein, Kontodaten oder Kreditkartendaten zu sammeln. Sie möchten möglicherweise, dass Sie versehentlich Malware wie Ransomware, Keylogger oder Hintertüren installieren. Möglicherweise möchten sie sogar physischen Zugang zu Ihrem Gebäude erhalten.
Werbung
Ein gemeinsames Merkmal aller Social-Engineering-Angriffe ist, dass sie versuchen, ein Gefühl der Dringlichkeit zu erzeugen. Auf die eine oder andere Weise nähert sich eine Frist. Die unterschwellige Botschaft an den Empfänger lautet “Handle jetzt, hör nicht auf nachzudenken.” Das Opfer ist gezwungen, die Katastrophe nicht zuzulassen, das Sonderangebot nicht zu verpassen oder andere in Schwierigkeiten zu bringen.
Phishing-E-Mails
Der häufigste Social-Engineering-Angriff verwendet Phishing-E-Mails. Diese scheinen aus einer seriösen Quelle zu stammen, sind aber tatsächlich Fälschungen, die in der Livree des echten Unternehmens gekleidet sind. Einige bieten eine Gelegenheit wie ein Sonderangebot. Andere stellen ein Problem dar, das behoben werden muss, z. B. ein Problem mit der Kontosperrung.
Phishing-E-Mails lassen sich sehr leicht so umgestalten, dass sie mit den Nachrichten übereinstimmen. Die COVID-19-Pandemie von 2020 bot Cyberkriminellen die perfekte Tarnung, um Phishing-E-Mails mit neuen Betreffzeilen zu versenden. Nachrichten über die Pandemie, Zugang zu Testkits und Handdesinfektionsmittel wurden alle als Haken verwendet, um die Unvorsichtigen zu fesseln. Phishing-E-Mails enthalten entweder einen Link zu einer manipulierten Website oder einen Anhang, der ein Malware-Installationsprogramm enthält.
VERWANDTE: Warum wird Phishing mit “ph” buchstabiert? Eine unwahrscheinliche Hommage
Telefonate
Phishing-E-Mails werden millionenfach mit einem generischen Fließtext verschickt. Social Engineering per Telefonanruf ist in der Regel auf eine bestimmte Organisation zugeschnitten, sodass die Bedrohungsakteure das Unternehmen auskundschaften müssen. Sie sehen sich die Seite Meet the Team auf der Website an und überprüfen die LinkedIn- und Twitter-Profile der Teammitglieder.
Informationen, z. B. wer im Büro ist oder an einer Konferenz teilnimmt , die Leitung eines neuen Teams oder die Beförderung können von den Bedrohungsakteuren in Telefongespräche mit einbezogen werden, sodass der Empfänger nicht hinterfragt, ob der Anrufer wirklich vom technischen Support oder vom Hotel stammt, in dem sich das Verkaufsteam aufhält. und so weiter.
Werbung
Mitarbeiter anzurufen und sich als technischer Support auszugeben, ist ein gängiger Trick. Neue Mitarbeiter sind gute Ziele. Sie bemühen sich sehr, es ihnen recht zu machen und wollen nicht in irgendwelche Schwierigkeiten geraten. Wenn der technische Support sie anruft und fragt, ob sie versucht haben, etwas zu tun, was sie nicht hätten tun sollen, z kooperativ sein, um ihren Namen reinzuwaschen.
Ein Social Engineer kann diese Situation zu seinem Vorteil nutzen und im Laufe eines Gesprächs genug Informationen aus dem Mitarbeiter herauskitzeln, um sein Konto zu kompromittieren.
Auch der technische Support kann das Ziel sein. Der Angreifer gibt sich als leitender Mitarbeiter aus und ruft den technischen Support an und beschwert sich, dass er in einem Hotel ist und keine wichtige E-Mail von seinem Firmenkonto senden kann. Ein riesiges Geschäft steht auf dem Spiel und die Uhr tickt. Sie sagen, dass sie einen Screenshot der Fehlermeldung mit ihrer persönlichen E-Mail-Adresse senden. Der Support-Techniker möchte, dass dies so schnell wie möglich behoben wird. Wenn die E-Mail ankommt, öffnen sie sofort den Anhang, der Malware installiert.
Jeder kann der Empfänger eines Social-Engineering-Anrufs sein. Der technische Support hat kein Monopol. Es gibt Hunderte von Variationen, aus denen die Angreifer wählen können.
Betreten Ihrer Räumlichkeiten
Bedrohungsakteure geben sich als fast jeder aus, um Zugang zu Ihrem Gebäude zu erhalten. Kuriere, Caterer, Floristen, Feuerinspektoren, Aufzugstechniker und Druckertechniker wurden alle eingesetzt. Sie können unerwartet ankommen oder im Voraus anrufen und einen Termin vereinbaren. Die Buchung eines Termins hilft dabei, festzustellen, wer der Bedrohungsakteur ist, für den er sich ausgibt. Am Tag des Termins erwarten Sie, dass ein Druckertechniker eintrifft und einer kommt.
Werbung
Anstatt zu sagen, dass sie den Drucker warten werden, sagen sie wahrscheinlich, dass sie die Firmware aktualisieren oder eine andere Aufgabe ausführen, für die keine Werkzeuge oder Ersatzteile erforderlich sind. Sie werden sehr beruhigend sein. Alles, was sie brauchen, ist eine Netzwerkverbindung oder für ein paar Momente auf einen Ihrer Computer zu springen. Der Drucker geht nicht einmal offline. Sobald sie sich bei Ihnen vor Ort und in Ihrem Netzwerk befinden, können sie jede Art von Malware installieren. Normalerweise ist es eine Hintertür, die es ihnen ermöglicht, aus der Ferne auf Ihr Netzwerk zuzugreifen.
Eine andere Angriffsart sieht vor, dass irgendwo ein kleines Gerät versteckt werden muss. Hinter dem Drucker ist ein beliebter Ort. Es ist außer Sichtweite und dahinter befinden sich normalerweise Ersatznetz- und Netzwerksteckdosen. Das Gerät stellt eine verschlüsselte Verbindung namens SSH-Reverse-Tunnel zu den Bedrohungsakteuren her’ Server. Die Bedrohungsakteure haben jetzt jederzeit einfachen Zugriff auf Ihr Netzwerk. Diese Geräte können mit einem Raspberry Pi oder anderen billigen Einplatinencomputern gebaut und als Netzteile oder ähnliche harmlose Geräte getarnt werden.
RELATED: Was ist Reverse-SSH-Tunneling? (und wie man es benutzt)
Schutz vor Social Engineering
Social Engineering wirkt auf Menschen, also die primäre Verteidigung ist eine Sensibilisierung des Personals sowie klare Richtlinien und Verfahren. Die Mitarbeiter müssen sich sicher fühlen, dass sie nicht dafür bestraft werden, dass sie sich an das Protokoll halten. Einige Cybersicherheitsunternehmen bieten Schulungen und Rollenspiele mit ihren internen Social Engineers an. Die Techniken in Aktion zu sehen ist ein wirkungsvoller Weg, um zu zeigen, dass niemand immun ist.
Etablieren Sie Verfahren, die den Mitarbeitern klare Anweisungen geben, was zu tun ist, wenn sie aufgefordert werden, gegen das Protokoll zu verstoßen —egal wer es ist sie fragen. Sie sollten beispielsweise dem technischen Support niemals ihr Passwort mitteilen.
Regelmäßige Netzwerkscans sollten durchgeführt werden, um neue Geräte zu finden, die mit dem Netzwerk verbunden sind. Alles, was unerklärt ist, muss identifiziert und untersucht werden.
Besucher sollten nie unbeaufsichtigt bleiben und ihre Zugangsdaten sollten überprüft werden, wenn sie vor Ort ankommen.