Schwachstellenanalyse durch Social Engineering

Social Engineering (SE) ist eine Mischung aus Wissenschaft, Psychologie und Kunst. Diese auf den ersten Blick oft verblüffende und komplex erscheinende Disziplin ist jedoch in vielen Situationen einfach anzuwenden. Durch das Manipulieren von Personen kann ein erfahrener Hacker Informationen sammeln, Zugang zu gesicherten Daten oder Bereichen erhalten oder gezielte Angriffe auf Personen starten.


Jegliches Handeln, dass Personen beeinflusst etwas zu tun, das möglicherweise nicht in ihrem eigenen Interesse steht.


Im Kontext der Informationssicherheit wird Social Engineering, oft auch "human hacking" genannt, als Angriffsmethode verwendet, die auf den menschlichen Faktor als schwächstes Glied in der Verteidigungskette abzielt. Angriffe können sich in Form von Phishingmails, vor einem Bürogebäude platzierten USB Sticks oder einfach nur durch selbstsicheres Auftreten beim unerlaubten Betreten von gesperrten Bereichen darstellen. Den Möglichkeiten sind hierbei keine Grenzen gesetzt, selbst Hausmeister- oder Wachdienstuniformen finden hier ihre Verwendung.

Social Engineering ist eine reale Bedrohung für Unternehmen welche jedoch oft übersehen oder als unwahrscheinlich abgetan wird. In den meisten Unternehmen werden Endgeräte die sich im internen Netzwerk befinden als sicher eingestuft. Dabei wird jedoch oft nicht bedacht, dass das Betreten des Firmengebäudes und Einstecken eines USB-Sticks oder Rechners in eine der verfügbaren Schnittstellen meist nicht so schwierig ist, wie es zunächst klingt. Und je größer ein Büro, desto leichter wird es.

Ihre Mitarbeiter sollten wissen wie sie die folgenden und weitere Szenarien entdecken können und darauf reagieren sollten. Ebenso ist eine zentrale Anlaufstelle wichtig, an die Auffälligkeiten berichtet werden können.

Entziehen von Informationen

Entziehen von Informationen

Meist reicht es schon aus, einmal durch ein Gebäude zu spazieren und durch "shoulder surfing", Informationen am schwarzen Brett oder flüchtige Blicke auf Präsentationen, Whiteboards, Dashboards und offene Dokumente wertvolle Daten zu ergattern.

Diebstahl von Dokumenten

Diebstahl von Dokumenten

Der Diebstahl von Dokumenten ist ein beliebter Weg um an detailreiche Informationen zu gelangen. Dokumente auf Schreibtischen und in Druckern, angemeldete Rechner, USB-Sticks und Backup-Festplatten sind leichte Opfer für jeden der das Gebäude betreten kann.

Manipulation von Hardware

Manipulation von Hardware

Installation von Keyloggern, bösartigen USB-Sticks oder versteckten Aufnahmegeräten können Angreifer Remote-Zugriff und manchmal sogar Logindaten verschaffen. Dank Sicherheitslücken wie BadUSB bergen solche "rogue devices" ein hohes Risiko.

Das physikalische Testen der Sicherheit Ihrer Büros und Gebäude und das Verhalten Ihrer Mitarbeiter gegenüber Eindringlingen ist nur eine Art, wie Ihre Sicherheit durch Social Engineering getestet werden kann. Aber nicht alle Risiken kommen durch einen persönlichen Kontakt. Phishing Kampagnen und das Sammeln von Informationen durch Emails und sozialen Netzwerken sind ein weiterer Risikofaktor welcher adressiert werden muss.

Reconaissance

Reconaissance

Reconaissance, oder Informationsbeschaffung, ist ein wichtiger Teil eines geplanten Angriffs. Ihr Unternehmen und Ihre Angestellten hinterlassen unwissend eine Spur an Informationen, die, wenn zusammengetragen, ein äußerst detailliertes Bild der internen Abläufe zeichnen können.

Phishing Nachrichten

Phishing Nachrichten

Phishing Nachrichten sind Versuche, Angestellte des Unternehmens dazu zu bringen bestimmte Aktionen durchzuführen, wie das Klicken eines Links, herunterladen eines Virus, (unwissende) Abschalten von Sicherheitvorkehrungen oder Herausgeben von geheimen Informationen.

Spear Phishing

Spear Phishing

Je mehr Informationen gesammelt werden konnten, desto präziser können Angriffe durchgeführt werden. Spear Phishing nutzt Informationen wie Hobbys, Vorlieben und Abneigungen einzelner Personen für exakt zugeschnittene Angriffe mit hoher Erfolgsrate.

Unser Social Engineering Dienst zeigt nicht-technische Schwachstellen auf und vermittelt Ihren Mitarbeitern welches Verhalten riskant ist und weshalb. Es ist eine herausragende Ergänzung zu den Awareness Trainings um das erlernte Wissen aufzufrischen und Ihre Mitarbeiter mit realen Szenarien in Berührung zu bringen.


Ihre Mitarbeiter sind die Besten, wenn es darum geht Anomalien zu entdecken. Zeigen Sie ihnen wie sie darauf reagieren sollen und Ihre Mitarbeiter werden Teil Ihrer Sicherheit.

Awareness, oder Aufmerksamkeit zu Deutsch, ist etwas, dass nicht von heute auf morgen beigebracht werden kann. Mit der Zeit werden Ihre Angestellten jedoch lernen, auf Vorfälle instinktiv richtig zu reagieren und neuen Mitarbeitern den Weg zu weisen. Dadurch werden Sicherheitslücken im Unternehmen automatisch entdeckt und der Schutzfaktor enorm gesteigert.

Haben Sie Fragen? Kontaktieren Sie uns doch einfach per E-Mail, über das Kontaktformular oder rufen Sie uns einfach unter +49 (0)89 3078 4343 an.