WordPress-Security (4): Social Engineering

Social Engineering

Du verwendest sichere Passwörter, ein SSL-Zertifikat, hast den Admin Nr.1 ersetzt und spielst alle Updates ein? Schön und gut, aber zum Anti-Hacking-Konzept gehört nicht nur die Technik. Gefahr droht auch durch Social Engineering, dem Erschleichen  Informationen mittels vorgetäuschter Vertraulichkeit. Als Synonym wird der Begriff Social Hacking verwendet. Die wichtigsten Angriffs- und Abwehrmethoden.

Technisches Social Enginering: Unternehmensinfos

Du hast ausführliche Organigramme auf deiner Website und bei Xing eingestellt? Und der Praktikant hat da auch ein Profil? Das freut die Angreifer, denn hier können Sie eine Menge Interna abfischen – zur weiteren Verwendung. Als Rohmaterial begehrt:

  • Telefonlisten
  • Maillisten
  • Mitarbeiterlisten
  • Dienstpläne aller Art, Raum- und Zeitpläne
  • Konferenzprotokolle und Anwesenheitslisten
  • Netzwerkadressen und Computernamen
  • PDFs mit internen Sicherheitsanweisungen
  • Dokumente zu technischen Zugangskontrollen

Manipulierte Eingabeseiten

Mailanhänge und Links zu manipulierten Seiten dienen den Angreifern zur Gewinnung sensibler Daten. So gehen die Hacker vor:

  1. Der Praktikant oder sonst ein Gutgläubiger wird auf eine präparierte Seite gelotst, oder ein präpariertes Eingabeformular.
  2. Dort gibt er WordPress-Zugangsdaten oder andere Informationen preis.
  3. Deine Website wird von den Angreifern übernommen – und du wirst ausgesperrt.

Klassisches Social Enginering

Der Klassiker ist der unverfrorene Anruf: Jemand „wichtiges“ aus dem „Serverzentrum“ fragt ganz locker nach Passwörtern. Je größer die Firma, desto wahrscheinlicher, dass es irgendwo eine ähnliche Abteilung gibt. Besonders beliebt sind Unternehmen mit hoher Personalfluktuation oder während einer Umbauphase.

Die Methode ist so dreist, dass niemand damit rechnet – über die Gefahren von E-Mails weiß jeder bescheid, wer denkt da schon an das Telefon als Eingangstor?

Verteidigung gegen Social Enginering

Bewusstsein schaffen

Wer Passwörter verwaltet oder Kenntnisse darüber hat: Die Gefahr des Social Enineering ist real! Habt das immer im Hinterkopf und redet mit Kollegen darüber!

Psychische Verteidigung

  • Die Angreifer setzen auf die Angst. Es wird mit „Konsequenzen von oben“ gedroht, wenn die Informationen nicht geliefert werden
  • Die Angreifer setzen auf Mitleid: Der Anrufer behauptet, selbst unter (Zeit-) Druck zu stehen

Dagegen helfen Aufklärung, Sicherheitsrichtlinien und ein vernünftiges Betriebsklima!

Gesundes Misstrauen

Die Welt ist voller Schurken! Lieber einmal ins Fettnäpfchen treten oder als unhöflich gelten, als eine große Katastrophe auslösen!

Ähnliche Beiträge auf onlineshop-DIY:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.