SOCIAL ENGINEERING - WELCHE ANGRIFFSARTEN GIBT ES? - TEIL II
Basierend auf dem Beitrag Die wichtigsten Fragen zu Social Engineering erklärt folgt der zweite Teil zu den darin genannten Angriffsarten.
Den ersten Teil Social Engineering – Welche Angriffsarten gibt es? und weitere Beiträge zu interessanten IT-Themen, finden Sie in unserem Broadcast zum Nachlesen.
Welche Angriffsarten gibt es?
Ein Angreifer täuscht beim Pretexting eine vertrauensvolle Person/Institution vor und versucht sein Opfer, mit einem verlockend formulierten Text, dazu zu verleiten sensible Informationen mit ihm zu teilen. Beispielsweise kann der Angreifer das Opfer bitten, seine Online-Banking-Zugangsdaten mit ihm zu teilen, damit die Identität bestätigt werden kann oder es wird behauptet, dass ein Sicherheitsvorfall vorliegt und das Opfer sich mit seinen Zugangsdaten in einem modifizierten Portal anmelden muss, um es zu beheben.
Bei Watering-Hole Angriffen werden oft besuchte Websites mit Malware „vergiftet“. Wenn die Opfer diese Websites besuchen, werden sie mit Malware (Drive-By-Ransomware-Downloads) infiziert oder auf präparierte Websites weitergeleitet, um an die Zugangsdaten zu gelangen.
Wie der Name schon sagt, geht es beim Quid pro quo darum, dass man sich gegenseitig hilft. Ein Angreifer leistet eine vermeintliche gute Tat für seine Opfer und bittet diese dann im Gegenzug ebenfalls um ihre Hilfe. Weitere Beispiele sind verlockende Angebote – ich gebe dir DAS, wenn du mir einen Betrag X dafür überweist. Wie bei jedem Angriff ist es das Ziel, an sensible Informationen jeglicher Art oder an Geld zu kommen.
Beim Dumpster Diving versuchen Angreifer sowohl online als auch offline an nützliche Informationen jeglicher Art über das Opfer zu gelangen. Dabei durchsuchen die Angreifer auch tatsächlich den Müll seiner Opfer, um mehr über das Verhalten, die Interessen oder sonstige nützliche Anhaltspunkte zu gelangen. Alles ist dabei nützlich – Lieblingslieferant, Medikamente, Schreiben oder auch handschriftliche Notizen. Alles kann bei einer Betrugsmasche nützlich sein.
USB Drop wird häufig auch im Zusammenhang mit dem oben vorgestellten Baiting angewandt. Dabei werden vom Angreifer USB-Sticks mit Malware präpariert und in unterschiedlichen öffentlichen Orten verteilt – auf Parkplätzen vor Firmen, Cafés, Restaurants oder Kantinen, wo sich viele Unternehmer aufhalten. Wenn die Opfer den USB Stick einstecken wird eine Malware installiert, die sich mit einem sogenannten Command and Control Server verbindet. Dadurch erhält der Angreifer eine Hintertür zum System und kann weitere Malware nachladen und sich auf dem System seines Opfers „austoben“.
Genauso wie die im ersten Teil vorgestellten Angriffsarten (Scareware, E-Mail Hacking/Phishing, DNS Spoofing, Baiting und Tailgating/Piggybacking) wollen böswillige Akteure mit diesen Angriffsarten an sensible Informationen oder das Geld seiner Opfer gelangen.
Damit man als Person und als Unternehmen gegen diese und andere Angriffsarten geschützt ist, bedarf es gezielter Schutzmaßnahmen.
Vereinbaren Sie ein kostenloses und unverbindliches Erstgespräch, um mehr zu erfahren, wie auch Sie sich bestmöglich gegen Social Engineering Angriffe schützen können
Folgen Sie uns auf unseren Social Media Kanälen und teilen Sie diesen Beitrag mit anderen:
Autor VICARDION
VICARDION GbR
07251 32658 0
