Heiniger-Net

Ge­ben Sie sen­si­ble In­for­ma­tio­nen an nie­man­den wei­ter, aus­ser Sie sind sich ganz si­cher, dass die be­tref­fende Per­son die­je­nige ist, für die sie sich aus­gibt, und dass diese Per­son auch tat­säch­lich Zu­gang zu die­sen Da­ten braucht.

Was ist eine Social-Engineering-Attacke?

Um eine Social-Engineering-Attacke durch­zu­füh­ren setzt ein An­grei­fer mensch­li­che In­ter­ak­tion ein (so­ziale Fä­hig­kei­ten), um In­for­ma­tion über eine Or­ga­ni­sa­tion oder ihre Com­pu­ter­sys­teme zu er­hal­ten oder zu kom­pro­mit­tie­ren. Ein An­grei­fer er­scheint viel­leicht un­auf­fäl­lig und re­spek­ta­bel, be­haup­tet mög­li­cher­weise, ein neuer Mit­ar­bei­ter zu sein, ein Me­cha­ni­ker oder For­scher, und weist viel­leicht so­gar Pa­piere oder sons­tige Be­weis­mit­tel vor, um diese Iden­ti­tät zu stüt­zen. Aber, in­dem er Fra­gen stellt, kann er sich viel­leicht in die Lage ver­set­zen, ge­nü­gend In­for­ma­tio­nen zu­sam­men­zu­stü­ckeln, um das Netz­werk ei­ner Or­ga­ni­sa­tion zu in­fil­trie­ren. Falls ein An­grei­fer nicht fä­hig ist, ge­nug In­for­ma­tion aus ei­ner Quelle zu be­schaf­fen, dann kon­tak­tiert er viel­leicht wei­tere Quel­len in­ner­halb der­sel­ben Or­ga­ni­sa­tion und be­nutzt da­bei die In­for­ma­tio­nen der ers­ten Quelle, um seine Glaub­wür­dig­keit zu erhöhen.

Was ist eine Phishing-Attacke?

Phis­hing ist eine Form von So­cial En­gi­nee­ring. Phishing-Attacken be­nut­zen Email oder bös­wil­lige Web­sei­ten, um per­sön­li­che In­for­ma­tio­nen zu sam­meln, häu­fig fi­nan­zi­el­ler Art. An­grei­fer sen­den viel­leicht ein Email, das an­schei­nend von ei­ner Kre­dit­kar­ten­firma mit gu­tem Ruf stammt, oder von ei­nem Fi­nanz­in­sti­tut, das Kon­to­in­for­ma­tio­nen ab­fragt, häu­fig mit dem Hin­weis, dass es ein Pro­blem gäbe. Wenn ein Be­nut­zer mit der ge­for­der­ten In­for­ma­tion ant­wor­tet, kann sie der An­grei­fer dazu be­nut­zen, Zu­gang zu den Kon­ten zu erlangen.

Wie ver­mei­det man, ein Op­fer zu werden?

• Seien Sie un­ver­lang­ten An­ru­fen, Be­su­chen oder Emails ge­gen­über miss­trau­isch, bei de­nen Per­so­nen nach Mit­ar­bei­tern oder in­ter­nen In­for­ma­tio­nen fra­gen. Falls ein Un­be­kann­ter oder eine Un­be­kannte be­haup­tet, von ei­ner le­gi­ti­mern Or­ga­ni­sa­tion zu sein, ver­su­chen Sie, seine oder ihre Iden­ti­tät di­rekt mit der be­tref­fen­den Firma zu klären.
• Ge­ben Sie kei­ner­lei per­sön­li­che In­for­ma­tio­nen her­aus, oder In­for­ma­tio­nen über ihre Or­ga­ni­sa­tion, ein­schliess­lich ih­rer Struk­tu­ren oder Netz­werke, aus­ser sie sind sich ganz si­cher dar­über, dass die Per­son die Au­to­ri­sie­rung hat, über diese In­for­ma­tio­nen zu verfügen.
• Ge­ben Sie keine per­sön­li­chen oder fi­nan­zi­el­len In­for­ma­tio­nen per Email preis, und rea­gie­ren Sie nicht auf An­fra­gen nach die­sen In­for­ma­tio­nen. Die­ses nicht-Reagieren be­deu­tet nicht nur, keine Email-Antwort zu sen­den, son­dern auch, keine im Email an­ge­ge­be­nen Links anzuklicken.
• Sen­den sie sen­si­tive In­for­ma­tion nicht über das In­ter­net, be­vor Sie nicht die Si­cher­heit ei­ner Web­seite über­prüft ha­ben. Dazu ge­hört ins­be­son­dere die Ãœber­prü­fung der Gül­tig­keit ei­nes Zertifikats.
• Ach­ten Sie auf die URL ei­ner Web­seite. Bös­wil­lige Web­sei­ten se­hen viel­leicht ge­nauso aus wie die le­gi­time Seite, aber die URL be­nutzt wahr­schein­li­che eine leichte Va­ria­tion in Schreib­weise oder eine ganz an­dere Do­mäne (etwa .com ge­gen­über .net).
• Falls Sie un­si­cher sind, ob eine Email-Anfrage le­gi­tim ist oder nicht, ver­su­chen Sie, das di­rekt mit der be­tref­fen­den Firma zu klä­ren. Be­nut­zen Sie nicht die Kon­takt­in­for­ma­tion, die auf ei­ner Web­seite an­ge­ge­ben ist, die im Email er­wähnt ist. Be­nut­zen Sie statt­des­sen die Kon­takt­in­for­ma­tion aus frü­he­rer Post. In­for­ma­tio­nen über be­kann­ten Phishing-Attacken ist auch On­line ver­füg­bar von Grup­pen wie der Ar­beits­gruppe Anti-Phishing (http://www.antiphishing.org/phishing_archive.html).
• In­stal­lie­ren und Up­da­ten Sie Anti-Virus Soft­ware, Fire­walls, und Email-Filter um ei­ni­gen von die­sem un­er­wünsch­ten Ver­kehr zu re­du­zie­ren (siehe Un­der­stan­ding Fire­walls, Un­der­stan­ding Anti-Virus Soft­ware, und Re­du­cing Spam für mehr In­for­ma­tion dazu).

Was tun, wenn Sie glau­ben, Sie seien ein Op­fer geworden?

• Wenn Sie glau­ben, Sie hät­ten sen­si­tive In­for­ma­tion über Ihre Or­ga­ni­sa­tion preis­ge­ge­ben, dann in­for­mie­ren Sie die zu­stän­di­gen Per­so­nen in­ner­halb Ih­rer Or­ga­ni­sa­tion, ein­schliess­lich der Netz­wer­kad­mi­nis­tra­to­ren. Das kann sie auf ver­däch­tige oder un­ge­wähn­li­che Ak­ti­vi­tä­ten auf­merk­sam machen.
• Wenn Sie glau­ben, Ihre Fi­nanz­kon­ten seien kom­pro­mit­tiert wor­den, kon­tak­tie­ren Sie so­fort Ihr Fi­nanz­in­sti­tut und schlies­sen Sie alle Kon­ten, die mög­li­cher­weise kom­pro­mit­tiert wor­den sind. Seien Sie auf der Hut vor un­er­klär­li­chen Be­las­tun­gen auf Ih­ren Konten.
• Zie­hen Sie eine An­zeige bei der Po­li­zei in Betracht.

---

Au­tor: Mindi Mc­Do­well. Ori­gi­nal­ar­ti­kel beim US-CERT
Co­py­right 2004 Car­ne­gie Mel­lon University.