Was ist Social Engineering?
Der Hacker versucht durch den Menschen Zugriff zu Computersystemen zu erlangen, nicht durch technische Schwachstellen. Dafür nutzt er psychologische Tricks und menschliche Eigenschaften aus:
- Angst – zum Beispiel durch die Drohung, dass Daten unwiderruflich gelöscht werden
- Zeitdruck – so soll beispielweise eine angeblich wichtige Überweisung schnell überwiesen werden, wobei das Geld beim Angreifer landet.
- Hilfsbereitschaft – ein nett gemeintes Türaufhalten kann dazu führen, dass unbefugte Personen Zugang zum Unternehmensgelände bekommen.
- Vertrauen in Personen, die man kennt – oft geben Täter sich als Freunde oder Bekannte aus.
- Respekt und Vertrauen in Autoritätspersonen – z.B. gegenüber dem Chef oder Beamten, was dazu führen kann, dass man bei seltsamen E-Mails nicht nachfragt.
- Hacker können in E-Mails und Telefonaten leicht die Identität von anderen Personen annehmen.
Social Engineering-Angriffe werden immer häufiger.
Hier sehen sie ein kurzes Video zu Social Engineering:
Welche Arten von Social Engineering gibt es?
- Phishing, Smishing, Vishing – „Abfischen von Passwörtern“
- Eavesdropping – „Lauschangriff in der Öffentlichkeit“
- Dumpster Diving – „Vertrauliche Informationen aus dem Müll zaubern“
- USB Dropping – „Das neue trojanische Pferd“
- Tailgating – „Unberechtigter Zutritt durch Hindurchschlüpfen“
- Shoulder Surfing – „Ungewolltes Mitlesen“
Zu diesen verschiedenen Arten von Social Engineering finden Sie hier in den nächsten Wochen weitere Videos.
Wie kann man sich gegen Social Engineering schützen?
Eigentlich nur durch gute Ausbildung der Mitarbeiter. Security Awareness Training und simmulierte Phishing-Angriffe helfen allen Mitarbeitern diese Angriffsmethoden leichter zu erkennen. Wie wirksam Security Awareness Training ist, zeigt eine Statistik von KnowBe4 auf Basis von 4 Millionen Benutzern: Vor den Security Awareness Trainings öffneten 37,9% eine Phishing Mail und nach 12 Monaten Training nur noch 4,7%. Bereits nach 3 Monaten reduzierte sich das Risiko um 60%
Nutzen Sie unsere Security Awareness Trainings-Module, um Ihren Beitrag zur IT-Sicherheit Netz zu leisten!