Vermeidung von Social-Engineering- und Phishing-Attacken

Geben Sie sensible Informationen an niemanden weiter, ausser Sie sind sich ganz sicher, dass die betreffende Person diejenige ist, für die sie sich ausgibt, und dass diese Person auch tatsächlich Zugang zu diesen Daten braucht.

Was ist eine Social-Engineering-Attacke?

Um eine Social-Engineering-Attacke durchzuführen setzt ein Angreifer menschliche Interaktion ein (soziale Fähigkeiten), um Information über eine Organisation oder ihre Computersysteme zu erhalten oder zu kompromittieren. Ein Angreifer erscheint vielleicht unauffällig und respektabel, behauptet möglicherweise, ein neuer Mitarbeiter zu sein, ein Mechaniker oder Forscher, und weist vielleicht sogar Papiere oder sonstige Beweismittel vor, um diese Identität zu stützen. Aber, indem er Fragen stellt, kann er sich vielleicht in die Lage versetzen, genügend Informationen zusammenzustückeln, um das Netzwerk einer Organisation zu infiltrieren. Falls ein Angreifer nicht fähig ist, genug Information aus einer Quelle zu beschaffen, dann kontaktiert er vielleicht weitere Quellen innerhalb derselben Organisation und benutzt dabei die Informationen der ersten Quelle, um seine Glaubwürdigkeit zu erhöhen.

Was ist eine Phishing-Attacke?

Phishing ist eine Form von Social Engineering. Phishing-Attacken benutzen Email oder böswillige Webseiten, um persönliche Informationen zu sammeln, häufig finanzieller Art. Angreifer senden vielleicht ein Email, das anscheinend von einer Kreditkartenfirma mit gutem Ruf stammt, oder von einem Finanzinstitut, das Kontoinformationen abfragt, häufig mit dem Hinweis, dass es ein Problem gäbe. Wenn ein Benutzer mit der geforderten Information antwortet, kann sie der Angreifer dazu benutzen, Zugang zu den Konten zu erlangen.

Wie vermeidet man, ein Opfer zu werden?

  • Seien Sie unverlangten Anrufen, Besuchen oder Emails gegenüber misstrauisch, bei denen Personen nach Mitarbeitern oder internen Informationen fragen. Falls ein Unbekannter oder eine Unbekannte behauptet, von einer legitimern Organisation zu sein, versuchen Sie, seine oder ihre Identität direkt mit der betreffenden Firma zu klären.
  • Geben Sie keinerlei persönliche Informationen heraus, oder Informationen über ihre Organisation, einschliesslich ihrer Strukturen oder Netzwerke, ausser sie sind sich ganz sicher darüber, dass die Person die Autorisierung hat, über diese Informationen zu verfügen.
  • Geben Sie keine persönlichen oder finanziellen Informationen per Email preis, und reagieren Sie nicht auf Anfragen nach diesen Informationen. Dieses nicht-Reagieren bedeutet nicht nur, keine Email-Antwort zu senden, sondern auch, keine im Email angegebenen Links anzuklicken.
  • Senden sie sensitive Information nicht über das Internet, bevor Sie nicht die Sicherheit einer Webseite überprüft haben. Dazu gehört insbesondere die Ãœberprüfung der Gültigkeit eines Zertifikats.
  • Achten Sie auf die URL einer Webseite. Böswillige Webseiten sehen vielleicht genauso aus wie die legitime Seite, aber die URL benutzt wahrscheinliche eine leichte Variation in Schreibweise oder eine ganz andere Domäne (etwa .com gegenüber .net).
  • Falls Sie unsicher sind, ob eine Email-Anfrage legitim ist oder nicht, versuchen Sie, das direkt mit der betreffenden Firma zu klären. Benutzen Sie nicht die Kontaktinformation, die auf einer Webseite angegeben ist, die im Email erwähnt ist. Benutzen Sie stattdessen die Kontaktinformation aus früherer Post. Informationen über bekannten Phishing-Attacken ist auch Online verfügbar von Gruppen wie der Arbeitsgruppe Anti-Phishing (http://www.antiphishing.org/phishing_archive.html).
  • Installieren und Updaten Sie Anti-Virus Software, Firewalls, und Email-Filter um einigen von diesem unerwünschten Verkehr zu reduzieren (siehe Understanding Firewalls,Understanding Anti-Virus Software, und Reducing Spam für mehr Information dazu).

Was tun, wenn Sie glauben, Sie seien ein Opfer geworden?

  • Wenn Sie glauben, Sie hätten sensitive Information über Ihre Organisation preisgegeben, dann informieren Sie die zuständigen Personen innerhalb Ihrer Organisation, einschliesslich der Netzwerkadministratoren. Das kann sie auf verdächtige oder ungewähnliche Aktivitäten aufmerksam machen.
  • Wenn Sie glauben, Ihre Finanzkonten seien kompromittiert worden, kontaktieren Sie sofort Ihr Finanzinstitut und schliessen Sie alle Konten, die möglicherweise kompromittiert worden sind. Seien Sie auf der Hut vor unerklärlichen Belastungen auf Ihren Konten.
  • Ziehen Sie eine Anzeige bei der Polizei in Betracht.

Autor: Mindi McDowell. Originalartikel beim US-CERT
Copyright 2004 Carnegie Mellon University.

Comments are closed.