Sysbus
ArtikelSecurity

Social Engineering: Mit diesen Tricks bewegen Hacker uns zum “Klick”

gg

Diese scheinbar “social-engineered” Message war aber eigentlich das Ergebnis von zwei Automatisierungstools – einem, das wahllos Menschen infiziert (und dem der genannte Anwalt zum Opfer fiel) und einem anderen, das sich durch die Kontaktlisten des Opfers wühlt und weitere Phishing-Mails versendet. Zu den Leuten auf der Kontaktliste gehörten in unserem spezifischen Fall Klienten sowie Anwälte anderer Firmen. Ich weiß, dass einige von ihnen der E-Mail zum Opfer fielen, da sie zum relevanten Zeitpunkt tatsächlich auf Dokumente des Anwalts warteten.

Das zweite Beispiel ist noch besser. Es kam von einem Reisebüro in Brasilien, bei dem ich eine Reise (per E-Mail) gebucht hatte. Es handelte sich dabei um eine kleine Agentur und ich wartete darauf, dass sie mir weitere Informationen über die Reise schickten. Ein Fan von Verschwörungstheorien würde jetzt vielleicht behaupten, dass mich jemand zunächst verfolgt hatte, dann herausfand, dass ich eine Reise plante und diese Gelegenheit nutzte, um mir eine ganz individuell für mich verfasste E-Mail zu senden. Ich genoss diese besondere Aufmerksamkeit (die mir die E-Mail suggerierte) sehr, aber in Wirklichkeit war ein Computer der Agentur mit einem Trojaner identifiziert worden, der nun in regelmäßigen Abständen die Liste der zuletzt gesendeten E-Mails scannte, sich die Adressen der Empfänger schnappte und anschließend eine nette Standard-Nachricht versendete. In diesem Fall wurden die Nachrichten nicht über das Konto der Agentur, sondern von einem separaten Konto gesendet. Kein Zweifel, dass eine weniger skeptische Person als ich (also wahrscheinlich 99,99 Prozent der gesunden Bevölkerung) leicht auf diese Masche hereinfällt.

Ist es möglich, mit “Social Engineering” auf bestimmte Personen oder Organisationen abzuzielen? Ja ist es. Aber ist das auch kosteneffizient? Wahrscheinlich nicht. Würden Geheimdienste diese Technik nutzen, um in bestimmte Netzwerkumgebungen einzudringen? Möglicherweise, aber nur, wenn alle anderen Möglichkeiten nicht greifen würden. Die Quintessenz ist, dass Social Engineering für fast jeden erdenklichen Cyber-Angriff gegen Personen eingesetzt wird. Meistens handelt es sich hierbei jedoch um ein großangelegtes Social Engineering, das auf unsere grundlegendsten Eigenschaften als Menschen abzielt und das Gesetz der großen Zahl für sich nutzt. Einige der Opfer (wie mich, wenn ich mich hätte täuschen lassen) würden in der Folge des Angriffs auch ihre Business-Devices infizieren und den Angreifern damit Zugang zu Unternehmensnetzwerken und Geschäftsdaten ermöglichen.

Ähnliche Beiträge:

  1. Möglichkeiten zur Bekämpfung von Bedrohungen durch Social Engineering, die auf Rechenzentren abzielen
  2. So nehmen Hacker privilegierte Benutzerkonten ins Visier
  3. Barracuda bietet neues PhishLine-Training zum Schutz vor Social Engineering speziell für mittlere Unternehmen an
  4. Sieben Tricks, auf die Mitarbeiter nicht hereinfallen sollten

Das könnte dir auch gefallen

KasperskyOS ab sofort verfügbar

gg

Norman stellt Security-Management aus der Cloud vor

gg

Check Point stellt 41000 High-End Security System vor

gg