M185 - Sicherheitsmassnahmen für KMU IT
  • Intro
  • Administration
    • 🗓️Organisatorisches / Bewertung
    • Bewertung / Kompetenznachweis
  • TAG 1
    • 🏁Tagesziele
    • Einstieg IT-Security
      • 📝Aufgabe 1
      • 📝Aufgabe 2 - Vorfälle untersuchen
    • Sicherheitsstandards
      • ISO 27001 / 27002
      • Center for Internet Security (CIS)
      • NIST
      • OSSTMM
    • BSI Grundschutzkompendium
      • IT-Grundschutz
      • 📝Aufgabe 1 - Strukturanalyse
      • 📝Aufgabe 2 - Analyse / Modellierung durchführen
  • TAG 2
    • 🏁Tagesziele
    • Bedrohungen und Angriffsformen
      • Ransomware-Angriffe
      • Phishing
      • Supply Chain-Angriffe
      • Zero-Day-Exploits
      • DDos-Angriffe
      • Credential Stuffing
      • Social Engineering
    • 📝Aufgabe - HackTheBox einrichten
    • 📝Aufgabe - HackTheBox Tier 0 lösen
    • 📝Aufgabe - HackTheBox Tier 1
    • 📝Aufgabe - BSI - Gefährdungskatalog
  • TAG 3
    • 🏁Tagesziele
    • Angriffsarten auf Web-Applikationen
      • OWASP TOP 10
      • 📝Aufgabe - OWASP TOP 10
      • 📝Aufgabe - Angriffsarten
    • Mittel und Methoden
    • 📝Nachbearbeitung - HackTheBox Tier 1
    • 📝Aufgabe - HackTheBox Tier 2
  • TAG 4
    • 🏁Tagesziele
    • Sicherheitsmechanismen
      • 📝Atomkraftwerk absichern
    • Audit-Reports
    • 📝Erstellen Audit-Report
  • TAG 5
    • 🏁Tagesziele
    • Cyberattacke - was tun?
    • Meldestelle Schweiz
    • 📝Aufgabe - Checkliste
  • Laborumgebung
    • Hardware
    • HackTheBox Setup
    • Software
Powered by GitBook
On this page
  1. TAG 2
  2. Bedrohungen und Angriffsformen

Social Engineering

PreviousCredential StuffingNextAufgabe - HackTheBox einrichten

Last updated 1 year ago

Social Engineering (deutsch: Soziale Manipulation) ist eine Form von nicht-technischen Angriffen, bei der Angreifer versuchen, Menschen dazu zu bringen, vertrauliche Informationen preiszugeben, sensible Daten freizugeben oder bestimmte Aktionen auszuführen, die ihnen zugutekommen. Dabei nutzen sie oft psychologische Manipulationstechniken, um das Vertrauen, die Neugier oder die Furcht der Opfer auszunutzen. Social Engineering ist eine der ältesten und effektivsten Taktiken in der Welt der Cyberkriminalität und kann in verschiedenen Formen auftreten. Hier sind einige häufige Beispiele:

Phishing

Bei Phishing-Angriffen senden Angreifer gefälschte E-Mails, die so aussehen, als kämen sie von vertrauenswürdigen Quellen wie Banken, Regierungsbehörden oder Unternehmen. In diesen E-Mails werden Opfer oft aufgefordert, persönliche Informationen, Passwörter oder Kreditkartendaten preiszugeben oder auf gefälschte Websites umgeleitet.

Pretexting

Pretexting beinhaltet das Erfinden einer erfundenen Geschichte oder eines Vorwandes, um Opfer dazu zu bringen, vertrauliche Informationen preiszugeben. Zum Beispiel kann sich ein Angreifer als Mitarbeiter eines Unternehmens ausgeben und den Kundendienst kontaktieren, um Zugriff auf Kontoinformationen zu erhalten.

Baiting

Bei Baiting-Angriffen werden Opfer dazu verleitet, schädliche Dateien herunterzuladen, indem ihnen verlockende Angebote wie kostenlose Software, Musik oder Filme gemacht werden. Diese Dateien enthalten oft Malware oder Viren.

Tailgating und Shoulder Surfing

Beim Tailgating versucht ein Angreifer physischen Zugang zu einem gesicherten Bereich zu erhalten, indem er sich hinter einer autorisierten Person versteckt und deren Zugang ausnutzt. Beim Shoulder Surfing beobachtet ein Angreifer die Eingabe von Passwörtern oder PINs, indem er über die Schulter eines Opfers schaut.

Vishing

Vishing ist die Telefonversion des Phishing, bei dem Angreifer Opfer anrufen und sich als vertrauenswürdige Personen oder Organisationen ausgeben, um Informationen zu erhalten oder Zugriff auf Systeme zu erhalten.

Herausforderungen des Sicherheitsbewusstseins

Social Engineering-Angriffe zielen oft auf menschliche Schwächen ab und können selbst bei guter Sicherheitstechnologie erfolgreich sein. Daher ist die Schulung und das Bewusstsein der Benutzer von entscheidender Bedeutung, um sich vor solchen Angriffen zu schützen.

Die effektivste Verteidigung gegen Social Engineering besteht darin, misstrauisch zu sein, keine vertraulichen Informationen preiszugeben, bevor die Identität des Anfragenden bestätigt wurde, und keine unaufgeforderten Anhänge oder Links in E-Mails zu öffnen oder herunterzuladen. Organisationen sollten Schulungen zum Thema Sicherheitsbewusstsein durchführen und Sicherheitsrichtlinien implementieren, um sich vor Social Engineering-Angriffen zu schützen.

https://www.freecodecamp.org/news/what-is-a-social-engineering-cyberattack/