Social Engineering ist die Kunst, Menschen so zu manipulieren, dass sie vertrauliche Informationen preisgeben. Die Arten von Informationen, nach denen diese Kriminellen suchen, können unterschiedlich sein. Wenn jedoch Einzelpersonen angegriffen werden, versuchen die Kriminellen normalerweise, Sie dazu zu bringen, ihnen Ihre Passwörter oder Bankinformationen zu geben, oder greifen auf Ihren Computer zu, um heimlich schädliche Software zu installieren – das gibt ihnen Zugriff auf Ihre Passwörter und Bankinformationen sowie die Kontrolle über Ihren Computer.

Kriminelle wenden Social-Engineering-Taktiken an, da es normalerweise einfacher ist, Ihre natürliche Vertrauensneigung auszunutzen, als Wege zu finden, Ihre Software zu hacken. Zum Beispiel ist es viel einfacher, jemanden dazu zu bringen, Ihnen sein Passwort zu geben, als zu versuchen, sein Passwort zu hacken (es sei denn, das Passwort ist wirklich schwach).

Phishing hat sich weiterentwickelt. In diesem Handbuch erfahren Sie, wie Hacker nach Ihren Daten suchen und wie Sie sich schützen können.

Bei Sicherheit geht es darum, zu wissen, wem und was Sie vertrauen können. Es ist wichtig zu wissen, wann und wann eine Person nicht beim Wort genommen werden soll und wann die Person, mit der Sie kommunizieren, die Person ist, von der sie sagt, dass sie sie ist. Gleiches gilt für Online-Interaktionen und die Nutzung der Website: Wann vertrauen Sie darauf, dass die von Ihnen verwendete Website legitim oder sicher ist, Ihre Informationen bereitzustellen?

Fragen Sie einen Sicherheitsexperten, und er wird Ihnen sagen, dass die schwächste Glied in der Sicherheitskette ist der Mensch, der eine Person oder ein Szenario zum Nennwert akzeptiert. Es spielt keine Rolle, wie viele Schlösser und Riegel sich an Ihren Türen und Fenstern befinden oder ob Sie Wachhunde, Alarmsysteme, Flutlichter, Zäune mit Stacheldraht und bewaffnetes Sicherheitspersonal haben. Wenn Sie der Person am Tor vertrauen, die sagt, er sei der Pizzabote, und Sie ihn hereinlassen, ohne vorher zu prüfen, ob er legitim ist, sind Sie vollständig dem Risiko ausgesetzt, das er darstellt.

Was bedeutet a Social Engineering-Angriff sieht aus wie?

E-Mail von einem Freund

Wenn es einem Kriminellen gelingt, das E-Mail-Passwort einer Person zu hacken oder sozial zu manipulieren, hat er Zugriff auf die Kontaktliste dieser Person – und das aufgrund der meisten Personen Wenn Sie überall ein Passwort verwenden, haben sie wahrscheinlich auch Zugriff auf die sozialen Netzwerkkontakte dieser Person.

Sobald der Kriminelle dieses E-Mail-Konto unter seiner Kontrolle hat, senden sie E-Mails an alle Kontakte der Person oder hinterlassen Nachrichten auf allen ihren Kontakten Die sozialen Seiten eines Freundes und möglicherweise die Seiten der Freunde eines Freundes.

Diese Nachrichten nutzen Ihr Vertrauen und Ihre Neugier und

• enthalten einen Link dass Sie nur auschecken müssen – und weil der Link von einem Freund stammt und Sie neugierig sind, werden Sie dem vertrauen Link und Klick – und mit Malware infiziert werden, damit der Kriminelle Ihren Computer übernehmen und Ihre Kontaktinformationen sammeln und täuschen kann, als wären Sie getäuscht worden.

• Enthalten Sie einen Download von Bildern. Musik, Filme, Dokumente usw., in die schädliche Software eingebettet ist. Wenn Sie herunterladen – was Sie wahrscheinlich tun werden, da Sie glauben, dass es von Ihrem Freund stammt -, werden Sie infiziert. Jetzt hat der Kriminelle Zugriff auf Ihren Computer, Ihr E-Mail-Konto, Ihre Konten in sozialen Netzwerken und Ihre Kontakte, und der Angriff wird auf alle Personen übertragen, die Sie kennen. Und so weiter und so fort.

E-Mails von einer anderen vertrauenswürdigen Quelle

Phishing-Angriffe sind eine Teilmenge der Social-Engineering-Strategie, die eine vertrauenswürdige Quelle imitiert und a zusammenstellt scheinbar logisches Szenario für die Übergabe von Anmeldeinformationen oder anderen sensiblen persönlichen Daten. Laut Webroot-Daten stellen Finanzinstitute die überwiegende Mehrheit der imitierten Unternehmen dar. Laut dem jährlichen Data Breach Investigations Report von Verizon sind Social-Engineering-Angriffe wie Phishing und Vorwände (siehe unten) für 93% der erfolgreichen Datenverletzungen verantwortlich.

Unter Verwendung einer überzeugenden Geschichte oder eines Vorwandes können diese Nachrichten:

• dringend um Ihre Hilfe bitten. Ihr ‚Freund‘ steckt in Land X fest, wurde ausgeraubt, geschlagen und sie sind im Krankenhaus. Sie müssen Geld senden, damit sie nach Hause kommen können, und sie sagen Ihnen, wie Sie das Geld an den Kriminellen senden können.

• Verwenden Sie Phishing-Versuche mit a Hintergrund, der legitim erscheint. In der Regel sendet ein Phisher eine E-Mail, eine Sofortnachricht, einen Kommentar oder eine Textnachricht, die anscheinend von einem legitimen, beliebten Unternehmen, einer Bank, einer Schule oder einer Institution stammt.

• Bitten Sie Sie, für eine Spendenaktion für wohltätige Zwecke oder aus einem anderen Grund zu spenden. Wahrscheinlich mit Anweisungen, wie Sie das Geld an den Verbrecher senden können Mit dieser Großzügigkeit und Großzügigkeit bitten diese Phisher um Hilfe oder Unterstützung für Katastrophen, politische Kampagnen oder Wohltätigkeitsorganisationen, die momentan im Vordergrund stehen.

• Stellen Sie ein Problem vor, bei dem Sie “ Überprüfen Sie Ihre Informationen, indem Sie auf den angezeigten Link klicken und Informationen in deren Form bereitstellen.Der Link-Speicherort kann mit den richtigen Logos und Inhalten sehr legitim aussehen (tatsächlich haben die Kriminellen möglicherweise das genaue Format und den Inhalt der legitimen Website kopiert). Da alles legitim aussieht, vertrauen Sie der E-Mail und der falschen Website und geben alle Informationen an, nach denen der Gauner fragt. Diese Arten von Phishing-Betrug enthalten häufig eine Warnung vor dem, was passieren wird, wenn Sie nicht bald handeln, da Kriminelle wissen, dass Sie eher auf ihren Phishing-Versuch hereinfallen, wenn sie Sie zum Handeln bewegen können, bevor Sie denken.

• Benachrichtigen Sie, dass Sie ein „Gewinner“ sind. Möglicherweise stammt die E-Mail aus einer Lotterie, einem toten Verwandten oder der millionsten Person, die auf ihre Website usw. klickt Um Ihnen Ihre „Gewinne“ zu geben, müssen Sie Informationen über Ihre Banküberweisung angeben, damit diese wissen, wie sie diese an Sie senden können, oder Ihre Adresse und Telefonnummer angeben, damit sie den Preis senden können, und Sie werden möglicherweise auch gebeten, zu beweisen, wer Sie sind oft einschließlich Ihrer Sozialversicherungsnummer. Dies sind die „Gier-Phishes“, bei denen die Leute, selbst wenn der Vorwand der Geschichte dünn ist, wollen, was angeboten wird, und darauf hereinfallen, indem sie ihre Informationen preisgeben, dann ihr Bankkonto leeren und ihre Identität stehlen.

• Pose als Chef oder Mitarbeiter. Möglicherweise wird nach einem Update für ein wichtiges, proprietäres Projekt gefragt, an dem Ihr Unternehmen gerade arbeitet, nach Zahlungsinformationen zu einer Unternehmenskreditkarte oder nach einer anderen Anfrage, die sich als Tagesgeschäft tarnt.

Köderszenarien

Diese Social-Engineering-Programme wissen, dass viele Menschen den Köder nehmen, wenn Sie etwas baumeln lassen, was die Leute wollen. Diese Schemata finden sich häufig auf Peer-to-Peer-Websites, auf denen Sie einen heißen neuen Film oder Musik herunterladen können. Die Schemata finden sich aber auch auf Websites sozialer Netzwerke, auf schädlichen Websites, die Sie über Suchergebnisse finden, usw.

Oder das Schema wird auf klassifizierten Websites, Auktionsseiten usw. Erstaunlich häufig angezeigt Um Ihren Verdacht zu zerstreuen, können Sie sehen, dass der Verkäufer eine gute Bewertung hat (alle im Voraus geplant und hergestellt).

Personen, die den Köder nehmen, können mit schädlicher Software infiziert sein, die eine beliebige Anzahl von generieren kann Neue Exploits gegen sich selbst und ihre Kontakte können ihr Geld verlieren, ohne den gekauften Artikel zu erhalten, und wenn sie dumm genug sind, mit einem Scheck zu bezahlen, kann ihr Bankkonto leer sein.

Antwort auf eine Frage, die Sie gestellt haben

Kriminelle haben möglicherweise so getan, als würden sie auf Ihre „Bitte um Hilfe“ eines Unternehmens antworten und gleichzeitig mehr Hilfe anbieten. Sie wählen Unternehmen aus, die Millionen von Menschen nutzen, beispielsweise ein Softwareunternehmen oder eine Bank. Wenn Sie das Produkt oder den Service nicht nutzen, ignorieren Sie die E-Mail, den Anruf oder die Nachricht. Wenn Sie den Service jedoch tatsächlich nutzen, besteht eine gute Chance, dass Sie antworten, da Sie wahrscheinlich Hilfe bei einem Problem benötigen

Obwohl Sie beispielsweise wissen, dass Sie ursprünglich keine Frage gestellt haben, liegt wahrscheinlich ein Problem mit dem Betriebssystem Ihres Computers vor, und Sie nutzen diese Gelegenheit, um das Problem zu beheben. Kostenlos! In dem Moment, in dem Sie antworten, haben Sie die Geschichte des Gauners gekauft, ihnen Ihr Vertrauen geschenkt und sich für die Ausbeutung geöffnet.

Der Vertreter, der tatsächlich ein Krimineller ist, muss Sie „authentifizieren“ und sich anmelden ‚ihr System‘ oder lassen Sie sich bei Ihrem Computer anmelden und ihnen entweder Fernzugriff auf Ihren Computer gewähren, damit sie es für Sie ‚reparieren‘ können, oder Ihnen die Befehle mitteilen, damit Sie es selbst mit ihrer Hilfe reparieren können – wo einige der Befehle, die Sie eingeben müssen, eröffnen dem Kriminellen die Möglichkeit, später wieder auf Ihren Computer zuzugreifen.

Misstrauen erzeugen

Bei einigen Social Engineering-Vorgängen geht es darum, Misstrauen zu erzeugen oder Konflikte auszulösen ;; Diese werden oft von Leuten durchgeführt, die du kennst und die wütend auf dich sind, aber es wird auch von bösen Leuten gemacht, die nur versuchen, Chaos anzurichten, Leute, die zuerst Misstrauen in deinem Geist gegenüber anderen erzeugen wollen, damit sie dann als einspringen können Held und gewinnen Sie Ihr Vertrauen oder von Erpressern, die Informationen manipulieren und Ihnen dann mit Offenlegung drohen möchten.

Diese Form des Social Engineering beginnt häufig mit dem Zugriff auf ein E-Mail-Konto oder ein anderes Kommunikationskonto auf einem IM-Client , soziales Netzwerk, Chat, Forum usw. Sie erreichen dies entweder durch Hacken, Social Engineering oder durch einfaches Erraten wirklich schwacher Passwörter.

• Die böswillige Person kann dann sensible oder private Kommunikationen ändern (einschließlich Bilder und Audio) Verwenden Sie grundlegende Bearbeitungstechniken und leiten Sie diese an andere Personen weiter, um Drama, Misstrauen, Verlegenheit usw. zu erzeugen. Sie lassen es möglicherweise so aussehen, als ob es versehentlich gesendet wurde, oder sie lassen Sie wissen, was „wirklich“ ist. los.

• A. Alternativ können sie das geänderte Material verwenden, um Geld entweder von der Person, die sie gehackt haben, oder vom vermeintlichen Empfänger zu erpressen.

Es gibt buchstäblich Tausende von Variationen von Social-Engineering-Angriffen.Die einzige Grenze für die Anzahl der Möglichkeiten, wie sie Benutzer durch diese Art von Exploit sozial manipulieren können, ist die Vorstellungskraft des Verbrechers. Bei einem einzigen Angriff können mehrere Arten von Exploits auftreten. Dann wird der Kriminelle Ihre Informationen wahrscheinlich an andere verkaufen, damit auch diese ihre Heldentaten gegen Sie, Ihre Freunde, die Freunde Ihrer Freunde usw. ausführen können, während Kriminelle das fehlgeleitete Vertrauen der Menschen nutzen.

Werden Sie nicht ein Opfer

Während Phishing-Angriffe weit verbreitet und kurzlebig sind und nur wenige Benutzer benötigen, um den Köder für eine erfolgreiche Kampagne zu ziehen, gibt es Methoden, um sich selbst zu schützen. Die meisten erfordern nicht viel mehr als nur die Aufmerksamkeit auf die Details vor Ihnen zu richten. Beachten Sie Folgendes, um zu vermeiden, dass Sie selbst phishing werden.

Tipps zum Erinnern:

• Verlangsamen Sie. Spammer möchten, dass Sie zuerst handeln und später nachdenken. Wenn die Nachricht ein Gefühl der Dringlichkeit vermittelt oder Hochdruck-Verkaufstaktiken verwendet, seien Sie skeptisch. Lassen Sie sich niemals von ihrer Dringlichkeit beeinflussen li>

• Informieren Sie sich über die Fakten. Seien Sie misstrauisch gegenüber unerwünschten Nachrichten. Wenn die E-Mail so aussieht, als stamme sie von einem Unternehmen, das Sie verwenden, recherchieren Sie selbst. Verwenden Sie eine Suchmaschine, um zur Website des realen Unternehmens zu gelangen, oder ein Telefonverzeichnis, um ihre Telefonnummer zu finden.

• Lassen Sie nicht zu, dass ein Link die Kontrolle darüber hat, wo Sie landen. Behalten Sie die Kontrolle, indem Sie die Website selbst mithilfe einer Suchmaschine finden Stellen Sie sicher, dass Sie dort landen, wo Sie landen möchten. Wenn Sie mit der Maus über Links in E-Mails fahren, wird die tatsächliche URL unten angezeigt. Eine gute Fälschung kann Sie jedoch immer noch falsch steuern.

• E-Mail-Hijacking ist weit verbreitet. Hack Die Kontrolle über die E-Mail-Konten (und andere Kommunikationskonten) von Personen, Spammern und Sozialingenieuren ist weit verbreitet. Sobald sie ein E-Mail-Konto kontrollieren, setzen sie auf das Vertrauen der Kontakte der Person. Selbst wenn der Absender jemand zu sein scheint, den Sie kennen, sollten Sie vor dem Öffnen von Links oder dem Herunterladen mit Ihrem Freund eine E-Mail mit einem Link oder Anhang erwarten.

• Vorsicht jeder Download. Wenn Sie den Absender nicht persönlich kennen UND eine Datei von ihm erwarten, ist das Herunterladen von Daten ein Fehler.

• Ausländische Angebote sind gefälscht. Wenn Sie eine E-Mail von einer ausländischen Lotterie oder einem Gewinnspiel, Geld von einem unbekannten Verwandten oder die Aufforderung erhalten, Geld aus einem fremden Land für einen Teil des Geldes zu überweisen, handelt es sich garantiert um einen Betrug.

Möglichkeiten, sich zu schützen:

• Löschen Sie alle Anfragen nach Finanzinformationen oder Passwörtern. Wenn Sie aufgefordert werden, auf eine Nachricht mit persönlichen Informationen zu antworten, handelt es sich um einen Betrug.

• Ablehnen von Hilfeanfragen oder Hilfeangeboten. Legitime Unternehmen und Organisationen setzen sich nicht mit Ihnen in Verbindung, um Hilfe zu leisten. Wenn Sie den Absender nicht ausdrücklich um Unterstützung gebeten haben, ziehen Sie ein Angebot in Betracht, um die Kreditwürdigkeit wiederherzustellen, ein Haus zu refinanzieren, Ihre Frage zu beantworten usw., einen Betrug. Wenn Sie eine Hilfeanforderung von einer Wohltätigkeitsorganisation oder Organisation erhalten, zu der Sie keine Beziehung haben, löschen Sie diese ebenfalls. Suchen Sie sich selbst seriöse gemeinnützige Organisationen aus, um nicht auf Betrug hereinzufallen.

• Stellen Sie Ihre Spam-Filter auf hoch. Jedes E-Mail-Programm verfügt über Spam-Filter. Um Ihre zu finden, überprüfen Sie Ihre Einstellungsoptionen und setzen Sie diese auf „Hoch“. Denken Sie daran, Ihren Spam-Ordner regelmäßig zu überprüfen, um festzustellen, ob dort versehentlich legitime E-Mails abgefangen wurden. Sie können auch nach einer schrittweisen Anleitung zum Festlegen Ihrer Spamfilter suchen, indem Sie nach dem Namen Ihres E-Mail-Anbieters und dem Ausdruck „Spamfilter“ suchen.

• Sichern Sie Ihre Computergeräte. Installieren Sie Antivirensoftware, Firewalls und E-Mail-Filter und halten Sie diese auf dem neuesten Stand. Stellen Sie Ihr Betriebssystem so ein, dass es automatisch aktualisiert wird. Wenn Ihr Smartphone nicht automatisch aktualisiert wird, aktualisieren Sie es manuell, sobald Sie eine entsprechende Benachrichtigung erhalten. Verwenden Sie ein Anti-Phishing-Tool, das von Ihrem Webbrowser oder einem Drittanbieter angeboten wird, um Sie auf Risiken aufmerksam zu machen.

Die Bedrohungsdatenbank von Webroot enthält mehr als 600 Millionen Domains und 27 Milliarden URLs Zum Schutz der Benutzer vor webbasierten Bedrohungen kategorisiert. Die Bedrohungsinformationen, die alle unsere Produkte unterstützen, unterstützen Sie bei der sicheren Nutzung des Webs. Unsere mobilen Sicherheitslösungen bieten sicheres Surfen im Internet, um erfolgreiche Phishing-Angriffe zu verhindern.