JRC Training

Angriffe mit Vertrautheit ... oder Angst

Pishing, CEO-Fraud, Identitätsübernahme: Angreifer nutzen mit betrügerischen Absichten natürliche menschliche Eigenschaften sowie technische Recherchemöglichkeiten für ihre Zwecke: Konten plündern, Bestellungen in fremden Namen, Weiterverkauf gewonnener Daten.

Positive Eigenschaften wie Hilfsbereitschaft, Kundenfreundlichkeit und Dankbarkeit,  aber auch weniger positive Aspekte wie Gutgläubigkeit, Konfliktvermeidung, Respekt vor Autoritäten oder Anerkennungsbedürfnis werden angesprochen, um unter Einsatz von technischen Hilfsmitteln an Informationen zu kommen oder eine bestimmte Reaktion zu erzielen.

Zielrichtung des Social Engineerings und die typischen Methoden
Industriespionage oder Vorbereitung für einen Einbruch in Firmennetze wird z. B. durch Erschleichen von Benutzernamen oder Passworten von Mitarbeitern, aber auch das Imitieren eines IT-Technikers für ein physisches Eindringen in Unternehmensbereiche betrieben.
Hier reicht die typische "IT‑Sicherheit" nicht aus, da diese fast ausschließlich technisch sichert.
Computerunterstützte Angriffe unter dem Aspekt des Social Engineerings
Anhand von aktuellen Beispielen und Methoden der Vorgehensweise wird erarbeitet, wie diese Angriffe schon im Vorfeld erkannt und vermieden werden können.
Zusätzlich werden Schutzkonzepte zur Schließung eigener Lücken, auch als Ergänzung bestehender IT-Sicherheitskonzepte, vorgestellt.

Wir machen es Angreifern zu leicht.

Ein typisches Beispiel der Vorbereitung eines solchen Angriffs?

  • Zunächst wird vorab gründlich im Internet über ein Unternehmen recherchiert. Hier bieten z.B. Google oder OSint-Techniken erstaunliche Möglichkeiten, an vollständige Adresslisten oder Firmeninterna zu gelangen.
  • Im zweiten Schritt werden gezielt Informationen über Mitarbeiter gesucht, z.B. wenn diese auf der Website aufgelistet werden.
  • Im dritten Schritt geht der Angreifer mit diesen Namen auf Plattformen wie Facebook, Xing, LinkedIn oder Meta-Suchmaschinen und erstellt Profile mit den gesammelten und privaten Informationen an.
  • Begleitend oder im vierten Schritt finden häufig direkte Kontakte statt: Dies kann mit Gesprächen in öffentlichen Bereichen beginnen, wenn Mitarbeiter Vertrauliches ausplaudern.