Kevin Mitnick, einer der bekanntesten Hacker, beschrieb in seinem Buch "Ghost in the Wires: Meine Abenteuer als der meistgesuchte Hacker der Welt", wie er mit sozialem Gewinn den unerlaubten Zugriff auf Netzwerke und Telefonsysteme nutzte.
Beispiele für soziale Netzwerke
Im Folgenden finden Sie Beispiele, wie jemand Social Engineering verwenden kann, um Zugang zu Ihrem Netzwerk zu erhalten, vertrauliche Informationen zu stehlen oder kostenlos etwas zu erhalten.
- Mitarbeiter - Geben Sie vor, ein Mitarbeiter zu sein, der Probleme beim Zugriff auf sein Konto hat und Sicherheit, Login oder andere Kontodetails benötigt.
- Gefälschte IT - Gefälschter IT-Support, der den Fernzugriff auf einen Computer aufgrund eines gefälschten Problems oder einer Sicherheitsbedrohung anfordert.
- Ehepartner vorgeben - Geben Sie vor, ein Ehepartner zu sein, der ein Unternehmen anruft, wenn er Probleme hat, auf das Konto des Ehepartners zuzugreifen und Kontodaten zu benötigen.
- Bogus Student - Bogus Student ruft Support-Mitarbeiter an, die darauf hinweisen, dass eine Website nicht funktioniert. Wenn ein Mitarbeiter die vermeintliche Problemseite besucht, erfasst er Computer- und Netzwerkinformationen oder versucht, diesen Computer mit einem Trojaner oder anderer Malware zu infizieren.
- Gefälschter Kunde - Gefälschter verärgerter Kunde beschwert sich über Produkte, die er nicht gekauft hat und die eine Erstattung oder Entschädigung ohne Kaufbeleg verlangen.
- Wartungsarbeiter vorgeben - Jemand druckt ein Hinweisschild, das den Eindruck erweckt, dass er ein Reparaturarbeiter ist, der einen Computer, einen Drucker, ein Telefon oder ein anderes System repariert. Nachdem sie Zugriff auf das Gebäude erhalten haben, erhalten sie Zugriff auf vertrauliche Dokumente oder Computer, über die sie auf das Netzwerk zugreifen können.
- Gefälschter Client - Eine E-Mail von einem gefälschten Client mit einem Geschäftsvorschlag mit einem Anhang, der ein Trojaner oder andere Malware ist, um ein Netzwerk zu infizieren und Remote-Zugriff zu gewähren.
Angriffe auf soziale Netzwerke verhindern
Bildung
Alle Angestellten, Mitarbeiter, Studenten oder Familienmitglieder im selben Netzwerk müssen alle potenziellen Bedrohungen kennen, mit denen sie konfrontiert sind. Es ist auch wichtig, dass alle Personen, die über Fernzugriff verfügen, wie beispielsweise ein IT-Unternehmen eines Drittanbieters oder Auftragnehmer, ebenfalls geschult werden.
Sicherheitsmaßnahmen
Die meisten Unternehmen verfügen (oder sollten über Sicherheitsmaßnahmen), wie beispielsweise einen Code, der für den Zugriff auf Kontodetails erforderlich ist. Wenn ein Kunde oder jemand, der anruft, dass er der Kunde nicht angeben kann, diese Informationen nicht angeben kann, sollten ihm die Kontodaten nicht telefonisch mitgeteilt werden. Es sollte auch klargestellt werden, dass die Bereitstellung der Informationen zur Vermeidung von Konflikten mit dem Kunden dazu führen würde, dass der Mitarbeiter sofort seine Arbeit verliert.
Seien Sie immer vorsichtig, was Sie nicht sehen können
Die meisten Social-Engineering-Angriffe erfolgen über das Telefon, E-Mail oder andere Kommunikationsformen, für die keine direkte Kommunikation erforderlich ist. Wenn Sie nicht sehen können, mit wem Sie sprechen, sollten Sie immer davon ausgehen, dass die Person, mit der Sie sprechen, möglicherweise nicht die Person ist, von der Sie sprechen.
Sicherheit oder Rezeption
Nicht alle Social-Engineering-Angriffe erfolgen über das Telefon oder das Internet. Ein Angreifer kann das Unternehmen auch mit einem vorgeblichen Ausweis oder einer Identifikationskarte besuchen. Jedes Unternehmen sollte über eine Rezeption oder einen Wachmann verfügen, der auch alle Sicherheitsbedrohungen kennt und weiß, dass niemand ohne entsprechende Autorisierung durchgehen kann. Sie sollten sich auch darüber im Klaren sein, dass bei Nichtbeachtung dieser Vorsichtsmaßnahmen (z. B. jemand sagt, sie hätten ihren Ausweis vergessen), dass dies dazu führen würde, dass sie ihren Job verlieren.
Es ist auch eine gute Idee, sensiblere Bereiche zu haben, beispielsweise ein Serverraum, für den zusätzliche Sicherheit erforderlich ist, beispielsweise ein Ausweisleser, der nur befugten Mitarbeitern den Zugang zum Raum ermöglicht. Mitarbeiter, die mit einem Ausweis auf ein Gebäude oder einen Raum zugreifen, sollten erkennen, dass auch sie niemandem erlauben sollten, zur gleichen Zeit durch die Tür zu gehen.
Fetzen
Einige Leute haben keine Angst davor, mit dem Müllcontainer nach vertraulichen Unternehmensinformationen oder anderen Informationen zu suchen, die ihnen den Zugang zu einem Netzwerk ermöglichen. Alle Papiere, die Ihre Mitarbeiter wegwerfen, sollten geschreddert werden.
Entsorgen Sie die Ausrüstung des Unternehmens ordnungsgemäß
Stellen Sie sicher, dass Geräte ordnungsgemäß zerstört oder entsorgt werden. Die meisten Menschen werden möglicherweise feststellen, dass die Festplatte eines Computers (auch wenn sie gelöscht wurde) sensible Daten enthalten kann, die wiederhergestellt werden können. Allerdings wissen nicht viele Leute, dass Geräte wie Kopierer, Drucker und Faxgeräte auch Speicher enthalten und sensible Daten auch von diesen Geräten wiederhergestellt werden können. Wenn Sie nicht der Meinung sind, dass es sicher ist, dass jemand alles liest, was Sie jemals gedruckt, gescannt oder per Fax gesendet haben (unwahrscheinlich), stellen Sie sicher, dass das Gerät entsorgt wird.
Sicherheitsbedingungen, Surfen an der Schulter