Wie schon info7.ch vor einer Woche berichtet hat, ist das Thema Social Engineering in allen Unternehmen das Gefahr Nr. 1.
Social Engineering ist eine bestimmte Art von Hacking-Technik, bei der Hacker Opfer manipulieren, um Informationen und Daten über eine Organisation zu erhalten.
Eine bekannte Variante des Social Engineering ist das Phishing. Bei dieser Variante werden E-Mails mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet. Inhalt dieser Nachrichten kann zum Beispiel sein, dass ein bestimmter Dienst, den man nutzt, eine neue URL hat und man sich auf dieser von nun an einloggen soll. Bei dieser fingierten Seite handelt es sich, von Layout und Aufmachung her, um eine Kopie der originalen Webseite des Serviceanbieters. Dies soll dazu beitragen, das Opfer in Sicherheit zu wiegen. Fällt man darauf herein, so gelangen Kriminelle in den Besitz des Loginnamens und -passworts.
Dies scheint zum Beispiel bei Twitter der Fall zu sein.
Die Cyber Security Experten von Practicys kennen die verschiedene Techniken von Hackern. Hier eine Auflistung:
- Ködern: Der Angreifer kann den Mitarbeiter dazu verleiten, eine Aufgabe auszuführen, indem er eine verlockende Belohnung liefert. Z.B. kann der Angreifer dem Opfer ein USB-Laufwerk mit der
Bezeichnung „Meine privaten Bilder“ geben, das mit einem Keylogger infiziert wurde. - Vorwand nutzen: Dies kann das Ausgeben als IT-Supportmitarbeiter und das Anfordern des
Kennworts eines Mitarbeiters für die Systemwartung umfassen. - Dichtes Auffahren: Der Angreifer kann einem Mitarbeiter physisch in einen Bereich folgen, auf
den er sonst keinen Zugriff hätte. Der Angreifer gibt sich als Arbeiter aus und etwas Schweres
zur Tür eines Sperrgebiets trägt und dann einen Mitarbeiter auffordert, ihn mit seinem Ausweis
einzulassen.
Die Empfehlungen von Practisys
Es gilt das Prinzip „Identifizieren, Ignorieren und Melden“, wenn sich eine verdächtige Person an sie wendet, um Informationen zu erhalten oder Zugang zu einem eingeschränkten Bereich zu erhalten.
Informieren Sie sofort den CISO! Ausserdem müssen KMU dazu ermutigt werden, Sicherheitsmassnahmen auf Mitarbeitergeräten zu installieren, die nicht autorisierte Software und Hardware blockieren.
Auch empfiehlt sich die Installation von Antivirensoftware und E-Mail-Filtern sowie die Überprüfung der Sicherheit einer Website, bevor Sie vertrauliche Informationen eingeben, indem Sie nach einer URL
suchen, die mit „https“ beginnt – was darauf hinweist, dass eine Website sicher ist und dass Ihre Informationen verschlüsselt sind.
Penetration Tests im Unternehmen
Führen Sie jährlich Penetration Tests durch um Sicherheitslücken im Unternehmen frühzeitig zu erkennen und diese zu schliessen.
Penetrationstest ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest eines Netzwerkes. Unter einem Penetrationstest versteht man die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer, wie z.B ein Hacker, anwenden würde, um unautorisiert in das System einzudringen (Penetration).
Zusammenfassung
Unsere Cyber Experten von Practicys bietet Cyber Security Schulungen in allen Bereichen und für jeden Anwender an – Sei es für Einsteiger, Administration oder für Experten – Nur wer professionell geschult
ist kann solche Social Engineering Attacken vermeiden.
Leave a Reply