Heiniger-Net

Vermeidung von Social-Engineering- und Phishing-Attacken

Geben Sie sen­si­ble Infor­ma­tio­nen an nie­man­den weit­er, auss­er Sie sind sich ganz sich­er, dass die betr­e­f­fende Per­son diejenige ist, für die sie sich aus­gibt, und dass diese Per­son auch tat­säch­lich Zugang zu diesen Dat­en braucht.

Was ist eine Social-Engineering-Attacke?

Um eine Social-Engi­neer­ing-Attacke durchzuführen set­zt ein Angreifer men­schliche Inter­ak­tion ein (soziale Fähigkeit­en), um Infor­ma­tion über eine Organ­i­sa­tion oder ihre Com­put­er­sys­teme zu erhal­ten oder zu kom­pro­mit­tieren. Ein Angreifer erscheint vielle­icht unauf­fäl­lig und respek­ta­bel, behauptet möglicher­weise, ein neuer Mitar­beit­er zu sein, ein Mechaniker oder Forsch­er, und weist vielle­icht sog­ar Papiere oder son­stige Beweis­mit­tel vor, um diese Iden­tität zu stützen. Aber, indem er Fra­gen stellt, kann er sich vielle­icht in die Lage ver­set­zen, genü­gend Infor­ma­tio­nen zusam­men­zustück­eln, um das Net­zw­erk ein­er Organ­i­sa­tion zu infil­tri­eren. Falls ein Angreifer nicht fähig ist, genug Infor­ma­tion aus ein­er Quelle zu beschaf­fen, dann kon­tak­tiert er vielle­icht weit­ere Quellen inner­halb der­sel­ben Organ­i­sa­tion und benutzt dabei die Infor­ma­tio­nen der ersten Quelle, um seine Glaub­würdigkeit zu erhöhen.

Was ist eine Phishing-Attacke?

Phish­ing ist eine Form von Social Engi­neer­ing. Phish­ing-Attack­en benutzen Email oder böswillige Web­seit­en, um per­sön­liche Infor­ma­tio­nen zu sam­meln, häu­fig finanzieller Art. Angreifer senden vielle­icht ein Email, das anscheinend von ein­er Kred­itkarten­fir­ma mit gutem Ruf stammt, oder von einem Finanzin­sti­tut, das Kon­toin­for­ma­tio­nen abfragt, häu­fig mit dem Hin­weis, dass es ein Prob­lem gäbe. Wenn ein Benutzer mit der geforderten Infor­ma­tion antwortet, kann sie der Angreifer dazu benutzen, Zugang zu den Kon­ten zu erlangen.

Wie vermeidet man, ein Opfer zu werden?

Was tun, wenn Sie glauben, Sie seien ein Opfer geworden?


Autor: Min­di McDow­ell. Orig­i­nalar­tikel beim US-CERT
Copy­right 2004 Carnegie Mel­lon University.

Exit mobile version