Social Engineering

Was bedeutet Social Engineering?

Social Engineering ist heutzutage eines der meist verbreitetsten Angriffsmodelle neben dem traditionellen Hackingangriff.
Beim Social Engineering wird Ihr Mitarbeiter via Telefon, E-Mail, SMS oder auch persönlich im Gebäude oder im öffentlichen Raum angesprochen und auf diesem Wege versucht Zugriff auf firmeninterne Informationen und Daten zu gelangen (technisch wie auch physisch).

Warum ist diese Art von Angriffen bei Kriminellen so beliebt?
Es ist meist viel einfacher und schneller, den oder die Betroffenen zu manipulieren, um so an die benötigten Informationen zu gelangen.

Modern devices, documents, eyeglasses on the foreground, unrecognized businessmen on the background
rsz_internet-3592056

Warum ist Social Engineering gefährlich?

Technische Systeme lassen sich technisch wie auch physisch gut vor Angriffen schützen. Das Risiko ist für Firmen nahezu kalkulierbar. Der Risikofaktor Mensch ist leider nur schwer kalkulierbar. Aktuelle Statistiken belegen, dass mehr als 90% der modernen Cyberattacken auf Social Engineering Techniken basieren oder diese mit einbeziehen.

Aus diesem Grund ist es wichtig, die Awareness der Mitarbeiter auf diese Angriffsmöglichkeiten zu stärken.

Welche Arten von Social Engineering gibt es?

Social Engineering kann in verschiedenen Arten auftreten. Nachfolgend einige Beispiele:

Physische Imitation
Häufig nutzen Angreifer diese Methode um in das Unternehmen einzudringen und so an vertrauliche Daten zu gelangen oder bösartigen Code zu installieren. Sie stellen sich als Putzfrau, Polizeibeamte oder andere Personen vor, mit dem Ziel, unautorisierte Eingriffe zu ermöglichen. Daher ist es wichtig für Unternehmen, dass sie Maßnahmen gegen Social Engineering implementieren.

Phishing
Sie kennen die typische Form des Social Engineerings, die durch E-Mails verbreitet wird: Diese Emails treten häufig in Form von „Ihrer Bank“, „Google Sicherheit“, „einer gerichtlichen Vorladung“ oder „Ihrem liebsten Freund" auf. Wenn Sie auf Links oder Dateianhänge in dieser E-Mail klicken, sind Sie einer Phishing-Attacke ausgesetzt. Die Angreifer versuchen dadurch Zugangsdaten zu erlangen oder Malware zu installieren. Menschliche Täuschung und Tricks sind sehr beliebte Methoden beim Phising.

Spear-Phishing
Dies ist eine sogenannte Subversion des Phishing, die auf eine bestimmte Person, meist einen CEO oder eine andere einflussreiche Person, abzielt. Angreifer sammeln viele Informationen über jene Person, bevor sie den Angriff starten, so dass die an das Subjekt gesendete E-Mail sehr echt wirkt.

Vishing
Es handelt sich beim Vishing um eine Art von Social Engineering, welche per Telefon stattfindet. Die Täter rufen an und versuchen den Angerufenen zu der Herausgabe von Bankinformationen, sowie wie PIN und CVV-Code zu bewegen.
Gewöhnlich wird vorgegeben, der Anrufer sei von einem Finanzdienstleister oder einer ähnlichen Institution.

man-404376_1920
1837-n

Wie kann DIESEC bei diesem Thema unterstützen?

Wir als DIESEC unterstützen Sie darin, Ihre Mitarbeiter in zu diesem Thema zu sensibilisieren und so die nötige Awareness in Ihrem Unternehmen zu schaffen. Um die nötige Aufmerksamkeit für dieses Thema zu schaffen, haben wir ein entsprechendes Programm ausgearbeitet:

Im ersten Schritt werden von unseren Spezialisten Social Engineering Tests unter Realbedingungen in Ihrem Unternehmen ausgeführt, wie Test Phishing E-Mails oder auch Vishing Angriffe.

Im zweiten Schritt werden Ihre Mitarbeiter für das Thema Social Engineering Angriffe in Ihrem Unternehmen sensibilisiert, unter Einbeziehung der Ergebnisse aus dem ersten Schritt wird die Kampagne dementsprechend angepasst.

Nach einer erfolgreichen Sensibilisierung und den künstlichen Social Engineering Angriffen sollte die Awareness für einen möglichen Sozial Engineering Angriff bei den Mitarbeitern bestehen sowie wie sie damit umzugehen haben.

Sie interessieren sich für Social Engineering?

Wenn Sie Fragen haben, können Sie sich gerne
an uns wenden. Wir freuen uns auf Ihre Nachricht.