Social Engineering ist die Gefahr Nr 1

Quelle: Practicys.com

Wie schon info7.ch vor einer Woche berichtet hat, ist das Thema Social Engineering in allen Unternehmen das Gefahr Nr. 1.

Social Engineering ist eine bestimmte Art von Hacking-Technik, bei der Hacker Opfer manipulieren, um Informationen und Daten über eine Organisation zu erhalten.

Eine bekannte Variante des Social Engineering ist das Phishing. Bei dieser Variante werden E-Mails mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet. Inhalt dieser Nachrichten kann zum Beispiel sein, dass ein bestimmter Dienst, den man nutzt, eine neue URL hat und man sich auf dieser von nun an einloggen soll. Bei dieser fingierten Seite handelt es sich, von Layout und Aufmachung her, um eine Kopie der originalen Webseite des Serviceanbieters. Dies soll dazu beitragen, das Opfer in Sicherheit zu wiegen. Fällt man darauf herein, so gelangen Kriminelle in den Besitz des Loginnamens und -passworts.

Dies scheint zum Beispiel bei Twitter der Fall zu sein.
Die Cyber Security Experten von Practicys kennen die verschiedene Techniken von Hackern. Hier eine Auflistung:

  • Ködern: Der Angreifer kann den Mitarbeiter dazu verleiten, eine Aufgabe auszuführen, indem er eine verlockende Belohnung liefert. Z.B. kann der Angreifer dem Opfer ein USB-Laufwerk mit der
    Bezeichnung „Meine privaten Bilder“ geben, das mit einem Keylogger infiziert wurde.
  • Vorwand nutzen: Dies kann das Ausgeben als IT-Supportmitarbeiter und das Anfordern des
    Kennworts eines Mitarbeiters für die Systemwartung umfassen.
  • Dichtes Auffahren: Der Angreifer kann einem Mitarbeiter physisch in einen Bereich folgen, auf
    den er sonst keinen Zugriff hätte. Der Angreifer gibt sich als Arbeiter aus und etwas Schweres
    zur Tür eines Sperrgebiets trägt und dann einen Mitarbeiter auffordert, ihn mit seinem Ausweis
    einzulassen.

Die Empfehlungen von Practisys

Es gilt das Prinzip „Identifizieren, Ignorieren und Melden“, wenn sich eine verdächtige Person an sie wendet, um Informationen zu erhalten oder Zugang zu einem eingeschränkten Bereich zu erhalten.

Informieren Sie sofort den CISO! Ausserdem müssen KMU dazu ermutigt werden, Sicherheitsmassnahmen auf Mitarbeitergeräten zu installieren, die nicht autorisierte Software und Hardware blockieren.

Auch empfiehlt sich die Installation von Antivirensoftware und E-Mail-Filtern sowie die Überprüfung der Sicherheit einer Website, bevor Sie vertrauliche Informationen eingeben, indem Sie nach einer URL
suchen, die mit „https“ beginnt – was darauf hinweist, dass eine Website sicher ist und dass Ihre Informationen verschlüsselt sind.

Penetration Tests im Unternehmen

Führen Sie jährlich Penetration Tests durch um Sicherheitslücken im Unternehmen frühzeitig zu erkennen und diese zu schliessen.

Penetrationstest ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest eines Netzwerkes. Unter einem Penetrationstest versteht man die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer, wie z.B ein Hacker, anwenden würde, um unautorisiert in das System einzudringen (Penetration).

Zusammenfassung

Unsere Cyber Experten von Practicys bietet Cyber Security Schulungen in allen Bereichen und für jeden Anwender an – Sei es für Einsteiger, Administration oder für Experten – Nur wer professionell geschult
ist kann solche Social Engineering Attacken vermeiden.

Be the first to comment

Leave a Reply

Your email address will not be published.


*