Einführung
In seinem Buch „The Art of Deception“ erklärte der beliebte Hacker Kevin Mitnick die Macht der Social-Engineering-Techniken Wir sind uns heute bewusst, dass Social Engineering mit Hacking kombiniert werden kann, um heimtückische Angriffe auszulösen.
Betrachten wir beispielsweise Social Media und mobile Plattformen. Sie sind leistungsstarke Angriffsmethoden für verschiedene Kategorien von Bedrohungsakteuren, weil Sie ermöglichen es, ein großes Publikum sofort zu erreichen.
Die meisten Angriffe, die beide Paradigmen ausnutzen, sind effektiv, da sie das Konzept des „Vertrauens“ nutzen, auf dem soziale Netzwerke aufbauen.
Sehen wir uns die häufigsten Social-Engineering-Angriffe an, mit denen Benutzer angesprochen werden.
Phishing
Phishing-Angriffe sind die häufigste Art von Angriffen, bei denen Social-Engineering-Techniken zum Einsatz kommen. Angreifer verwenden E-Mails, soziale Medien, Instant Messaging und SMS, um Opfer dazu zu verleiten, vertrauliche Informationen bereitzustellen oder schädliche URLs zu besuchen, um ihre Systeme zu gefährden.
Phishing-Angriffe weisen die folgenden gemeinsamen Merkmale auf:
- Nachrichten sollen die Aufmerksamkeit des Benutzers auf sich ziehen und in vielen Fällen seine Neugier wecken, indem sie einige Informationen zu einem bestimmten Thema bereitstellen und den Opfern den Besuch einer bestimmten Website vorschlagen Weitere Informationen.
- Phishing-Nachrichten zum Sammeln von Benutzerinformationen vermitteln ein Gefühl der Dringlichkeit. Dies ist ein Versuch, das Opfer dazu zu bringen, vertrauliche Daten offenzulegen, um eine Situation zu lösen, die sich ohne die Interaktion des Opfers verschlimmern könnte.
- Angreifer nutzen verkürzte URLs oder eingebettete Links um Opfer auf eine bösartige Domain umzuleiten, die Exploit-Codes hosten könnte oder die ein Klon legitimer Websites mit URLs sein könnte, die legitim erscheinen. In vielen Fällen unterscheiden sich der tatsächliche Link und der visuelle Link in der E-Mail. Beispielsweise verweist der Hyperlink in der E-Mail nicht auf denselben Ort wie der scheinbare Hyperlink, der den Benutzern angezeigt wird.
- Phishing-E-Mail-Nachrichten haben eine irreführende Betreffzeile der Empfänger zu glauben, dass die E-Mail von einer vertrauenswürdigen Quelle stammt. Angreifer verwenden die Adresse eines gefälschten Absenders oder die gefälschte Identität der Organisation. Sie kopieren normalerweise Inhalte wie Texte, Logos, Bilder und Stile, die auf der legitimen Website verwendet werden, um sie echt aussehen zu lassen.
Wasserloch
Ein Wasserlochangriff besteht aus Einfügen von Schadcode in die öffentlichen Webseiten einer Website, die von den Zielen besucht wurde. Die Injektionsmethode ist nicht neu und wird häufig von Cyberkriminellen und Hackern verwendet. Die Angreifer gefährden Websites innerhalb eines bestimmten Sektors, die normalerweise von bestimmten Personen besucht werden, die für die Angriffe von Interesse sind.
Sobald ein Opfer die Seite auf der gefährdeten Website besucht, wird auf seinem Computer ein Backdoor-Trojaner installiert. Eine Wasserloch-Angriffsmethode ist bei Cyberspionage-Operationen oder staatlich geförderten Angriffen sehr verbreitet.
Es ist allgemein bekannt, dass diese Art von Angriff mit staatlich geförderten Offensiven zusammenhängt. Die Wahl der Website für Kompromisse, die Untersuchung der Gewohnheiten des Opfers und die Einführung eines effizienten Exploit-Codes sind Schritte, die in der Vorbereitungsphase des Angriffs erhebliche Anstrengungen erfordern.
Die Effizienz von Wasserlochangriffen steigt mit der Verwendung von Zero-Day-Exploits, die sich auf die Software des Opfers auswirken. In diesem Fall haben Opfer keine Möglichkeit, ihre Systeme vor der Verbreitung von Malware zu schützen.
Walfangangriff
Walfang ist eine weitere Entwicklung von Phishing-Angriffen, bei denen ausgefeilte Social-Engineering-Techniken verwendet werden, um vertrauliche Informationen zu stehlen , personenbezogene Daten, Zugangsdaten zu eingeschränkten Diensten / Ressourcen und insbesondere Informationen mit relevantem Wert aus wirtschaftlicher und kommerzieller Sicht.
Was diese Kategorie von Phishing von anderen unterscheidet, ist die Auswahl der Ziele: relevante Führungskräfte von Privatunternehmen und Regierungsbehörden. Das Wort Walfang wird verwendet, um anzuzeigen, dass das Ziel ein großes Ziel ist, das erfasst werden muss.
Der Walfang verwendet die gleichen Methoden für Spearphishing-Angriffe. Die Betrugs-E-Mail soll sich als kritische Geschäfts-E-Mail tarnen, die von einer legitimen Behörde gesendet wird, normalerweise von relevanten Führungskräften wichtiger Organisationen. In der Regel ist der Inhalt der gesendeten Nachricht für das obere Management bestimmt und meldet gefälschte unternehmensweite Bedenken oder streng vertrauliche Informationen.
Vorwand
Der Begriff Vorwand bezeichnet die Praxis von sich als jemand anderes präsentieren, um private Informationen zu erhalten. Normalerweise erstellen Angreifer eine gefälschte Identität und verwenden sie, um den Empfang von Informationen zu manipulieren.
Angreifer, die diese spezielle Social-Engineering-Technik nutzen, übernehmen mehrere von ihnen erstellte Identitäten.Diese schlechte Angewohnheit könnte ihre Operationen den Ermittlungen von Sicherheitsexperten und Strafverfolgungsbehörden aussetzen.
Der Erfolg des Vorwandangriffs gibt stark vor, dass der Angreifer der Fähigkeit Vertrauen aufbaut.
Am weitesten fortgeschritten Formen von Vorwandangriffen versuchen, die Opfer zu manipulieren, um eine Aktion auszuführen, mit der ein Angreifer einen Fehlerpunkt innerhalb eines Unternehmens erkennen und ausnutzen kann.
Ein Angreifer kann sich als externer IT-Dienstleister ausgeben, um interne Mitarbeiter zu bitten Informationen, die den Zugriff auf Systeme innerhalb des Unternehmens ermöglichen könnten.
Köder und Gegenleistungen
Eine andere Social-Engineering-Technik ist das Ködern, das die Neugier des Menschen ausnutzt. Das Ködern wird manchmal mit anderen Social-Engineering-Angriffen verwechselt. Sein Hauptmerkmal ist das Versprechen von Waren, mit denen Hacker die Opfer täuschen.
Ein klassisches Beispiel ist ein Angriffsszenario, in dem Angreifer eine schädliche Datei verwenden, die als Software-Update oder als generische Software getarnt ist. Ein Angreifer kann auch einen Köderangriff in der physischen Welt ausführen, z. B. infizierte USB-Token auf dem Parkplatz einer Zielorganisation verbreiten und darauf warten, dass internes Personal sie in Unternehmens-PCs einfügt.
Die installierte Malware Die USB-Token gefährden die PCs und erhalten die volle Kontrolle, die für die Angriffe erforderlich ist.
Ein Gegen-Gegen-Angriff (auch als „etwas für etwas“ -Angriff bezeichnet) ist eine Variante des Köderns. Anstatt ein Ziel mit zu ködern Das Versprechen einer guten Gegenleistung verspricht einen Dienst oder einen Vorteil, der auf der Ausführung einer bestimmten Aktion basiert.
In einem Gegenleistung-Angriffsszenario bietet der Hacker einen Dienst oder Vorteil im Austausch an Informationen oder Zugriff.
Der häufigste Gegen-Gegen-Angriff tritt auf, wenn ein Hacker sich als IT-Mitarbeiter eines großen Unternehmens ausgibt. Dieser Hacker versucht, die Mitarbeiter des Zielunternehmens telefonisch zu kontaktieren, und bietet ihnen dann eine Art an von Upgrade oder Softwareinstallation.
Möglicherweise erforderlich Erstes Opfer, um den Betrieb zu erleichtern, indem die AV-Software vorübergehend deaktiviert wird, um die schädliche Anwendung zu installieren Ein eingeschränkter Bereich, in dem die richtige Authentifizierung fehlt.
Der Angreifer kann einfach hinter eine Person treten, die zum Zugriff auf den Bereich berechtigt ist. In einem typischen Angriffsszenario gibt sich eine Person als mit Paketen beladener Zustellfahrer aus und wartet, bis ein Mitarbeiter seine Tür öffnet. Der Angreifer fordert den Mitarbeiter auf, die Tür zu halten und die vorhandenen Sicherheitsmaßnahmen (z. B. elektronische Zugangskontrolle) zu umgehen.
Weitere Informationen zu Social-Engineering-Angriffen
10 häufigste Phishing-Angriffe
5 Social Engineering-Bedrohungen für die Privatsphäre der Mitarbeiter
Spear-Phishing und Walfang
Quellen
5 Social Engineering Angriffe, auf die Sie achten sollten, der Sicherheitszustand
Qingxiong Ma, „Der Prozess und die Merkmale von Phishing-Angriffen: Eine kleine Fallstudie eines internationalen Handelsunternehmens“, Journal of Technology Research
The Social Engineering Framework, Sicherheit durch Bildung
Social Engineering: Quid Pro Quo-Angriffe, LinkedIn
Social Engineering: Was ist Tailgating?, Mailfence