Kategorien
Security

WordPress-Security (4): Social Engineering

Social Engineering

Du verwendest sichere Passwörter, ein SSL-Zertifikat, hast den Admin Nr.1 ersetzt und spielst alle Updates ein? Schön und gut, aber zum Anti-Hacking-Konzept gehört nicht nur die Technik. Gefahr droht auch durch Social Engineering, dem Erschleichen von Informationen mittels vorgetäuschter Vertraulichkeit. Als Synonym wird der Begriff Social Hacking verwendet. Die wichtigsten Angriffs- und Abwehrmethoden.

Inhalt

Technisches Social Enginering: Unternehmensinfos

Du hast ausführliche Organigramme auf deiner Website oder bei LinkedIn und Xing eingestellt? Und der Praktikant hat da auch ein Profil? Das freut die Angreifer, denn hier können Hacker eine Menge Interna abfischen – zur weiteren Verwendung. Als Rohmaterial begehrt:

  • Telefonlisten
  • Maillisten
  • Mitarbeiterlisten
  • Dienstpläne aller Art,
  • Raum- und Zeitpläne
  • Konferenzprotokolle und Anwesenheitslisten
  • Netzwerkadressen und Computernamen
  • PDFs mit internen Sicherheitsanweisungen
  • Dokumente zu technischen Zugangskontrollen

Manipulierte Eingabeseiten

Mailanhänge und Links zu manipulierten Seiten dienen den Angreifern zur Gewinnung sensibler Daten. So gehen die Hacker vor:

  1. Der Praktikant oder sonst ein Gutgläubiger wird auf eine präparierte Seite gelotst, oder ein präpariertes Eingabeformular
  2. Dort gibt er WordPress-Zugangsdaten oder andere Informationen preis
  3. Deine Website wird von den Angreifern übernommen – und du wirst ausgesperrt

Klassisches Social Enginering

Der Klassiker ist der unverfrorene Anruf: Jemand „wichtiges“ aus dem „Serverzentrum“ fragt ganz locker nach Passwörtern. Je größer die Firma, desto wahrscheinlicher, dass es irgendwo eine ähnliche Abteilung gibt. Besonders beliebt sind Unternehmen mit hoher Personalfluktuation oder während einer Umbau- oder Umzugsphase. Passwörter lassen sich auch durch einen Blick über die Schulter ausspionieren.

Die Methode ist so dreist, dass niemand damit rechnet – über die Gefahren von E-Mails weiß jeder bescheid, wer denkt da schon an das Telefon als Eingangstor, oder an Leute, die im Handwerker-Outfit im neuen Büro auftauchen?

Verteidigung gegen Social Enginering

Bewusstsein schaffen

Wer Passwörter verwaltet oder Kenntnisse darüber hat: Die Gefahr des Social Engineering ist real! Habt das immer im Hinterkopf und redet mit Kollegen darüber! Viele Leute sind sich nämlich gar nicht darüber bewusst, welchen realen Wert eine Unternehmens-Website besitzt.

Unternehmenskultur schützt vor Social Engineering

  • Die Angreifer setzen auf die Angst und Autoritätshörigkeit. Es wird mit „Konsequenzen von oben“ gedroht, wenn die Informationen nicht geliefert werden. Davor schützt eine Betriebskultur, in der die kritische Nachfrage nicht als Majestätsbeleidigung bestraft wird.
  • Die Angreifer setzen auf Mitleid: Der Anrufer behauptet, selbst unter (Zeit-) Druck zu stehen. Davor schützt die Gewöhnung an Sicherheitsrichtlinien.

Gesundes Misstrauen

Die Welt ist voller Schurken! Lieber einmal ins Fettnäpfchen treten oder als unhöflich gelten, als eine große Katastrophe auslösen!

Kommentar verfassen