Buffl
Buffl
IT-Security

Kapitel 4: Social Engineering

NS
by Natalie S.

Begriffsbildung und Abgrenzung



Social Engineering (soziale Manipulation): Angriffe richten sich nicht direkt auf technische Systeme, sondern auf ihre Benutzer. Ziele sind z.B.

-       Informationsgewinnung

-       Benutzer führt vom Angreifer gewünschte Aktion aus

-       Betrug oder Abzocke

Funktionsweise:

Ausnutzung menschlicher Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst, etc.

Jede menschliche Schwäche kann ausgenutzt werden

Angreifer Perspektive

kategorisierung

etablierte Kategorien

typische Eigenschaften von Social Engineers


Kategorisierung und Arten von Social Engineering:

-       Passive Anrgriffe, z.b. belauschen von Gesprächen, shoulder surfing, dumpster diving, baiting

-       Aktive Angriffe, z.b. pretexting, phishing, fake accounts

Etablierte Kategorien:

-       Human-based Social Engineering

-       Computer based social Engineering

-       Reverse Social Engineering: Opfer wendet sich freiwillig an Angreifer

 

Typische Eigenschaften von Social Engineers:

-       Können gut mit Menschen kommunizieren

-       Sind geduldige Schauspieler

-       Sind sich nicht zu schade für dumpster dving etc.

Anwender Perspektive

Gegenmaßnahmen:


Technisch:

-       Dumpster Diving: Aktenvernichtung / Papiertonnen abschließen

-       Shoulder Surfing: Sichtschutzfolien für Notebook-Displays

-       Tailgating: Wachdienst, Vereinzelungsanlagen, Tür vor der Nase schließen

-       Baiting: Systeme einschränken, z.B. USB-Ports deaktivieren

Organisatorisch:

-       Sensibilisieren durch Schulungen, Plakate, Übungen, ...

-       Klare Anweisungen z.B. zu Auskünften am Telefon

-       Meldepflicht für verdächtige Vorkommnisse inkl. Tests

Durchführung von Social Penetration Tests

Grundidee

Ablauf

Grundidee:

Pentests als Dienstleistung

Ziel: White Hacker identifizieren und melden bis dato unbekannte Sicherheitslücken

Untersuchungen sind Organisationsspezifisch

Pentests oft Auftrag an externe Anbieter, um bestes Know How zu verfügung zu haben

Ablauf:

1.     Planung und Zielfestlegung (zusammen mit dem Auftraggeber)

2.     Informationsakquise und Auskundschaften

3.     Spezifikation der durchzuführenden Angriffe (“Szenarien”)

4.     Angriffe (unbemerkt) durchführen

Ergebnisbericht und Kundenberatung

Durchführung von Social Penetration Tests

Unterschiede zu richtigen Angriffen

Unterschiede zu richtigen Angriffen:

-       Kostenfaktor: kosten pro tag und Kopf

-       Ethische Aspekte: Ausklammern bestimmter Angriffswege, z.b. privatleben des personals

-       Keine Beschädigung/Entwenden von Utensilien

Join Course
Preview

Author

Natalie S.

Information

Last changed

Report course
© 2023 Buffl GmbH