Social Engineeringist eine extrem effiziente Methode um an Unternehmensinformationen zu kommen; und zwar ohne Einsatz von technischen Hilfsmitteln.
Der Angreifer geht schrittweise vor. In Telefonaten mit verschiedenen Unternehmensmitarbeitern entlockt er im ersten Schritt Namen von weiteren Mitarbeitern, insbesondere die von Verantwortungsträgern, und Informationen über Organisationsstrukturen. Im zweiten Schritt verwendet er für seinen Angriff die zuvor herausgelockten Informationen als Mittel zur Vertrauensbildung.
Beispiel 1
Ein Angreifer ruft beim Helpdesk an und behauptet, ein Mitarbeiter oder Kunde des Unternehmens zu sein, der sein Passwort vergessen hat und bittet darum, dass sein Passwort auf einen definierten Wert zurückgesetzt wird. Im Gespräch streut er Namen von Mitarbeitern oder die von Vorgesetzten oder sonstige relevante Informationen ein, und spielt auf diese Weise einen neuen Kollegen vor.
Beispiel 2
Bei einem anderen Angriff gibt der Angreifer vor, ein IT-Mitarbeiter zu sein und fragt den Anwender nach seinem Passwort oder anderen sensiblen Informationen. Wieder ist das Telefonat gut vorbereitet und gespickt mit Detailwissen, welches den Anrufer scheinbar legitimiert.
Das „Mülleimertauchen“ ist eine zusätzliche Methode um an Informationen Ihres Unternehmens zu gelangen.
Gelingt es jemandem, Zugang zu weggeworfenen Akten, Memos, Organisationsplänen, CD's, Backups oder Ähnlichem zu bekommen, lässt sich aus diesen Unterlagen rekonstruieren, wer welche Rolle im Unternehmen spielt.
Eine solche Aktivität kann bereits die Vorbereitungsmaßnahme für eine Spionage oder einen Hackangriff sein.
Fallbeispiel
Dumpster Diving wird als Gefahr unterschätzt! In einem Test wurde Altpapier von 1135 Privat- und 869 gewerblichen Haushalten nach vertraulichen Daten durchsucht und erschreckende Ergebnisse erzielt.
Insgesamt wurden 4311 Namens- und Adressdaten aufgefunden, wobei Privathaushalte mit 37 Prozent, Unternehmen mit 31 Prozent sowie deren Kunden- und Geschäftspartner mit 28 Prozent in ungefähr gleichem Maße betroffen gewesen sein sollen. Die große Zahl an Namens- und Adressdaten sei darauf zurückzuführen, dass in Einzelfällen komplette Listen mit Kundendaten ohne weitere Vorsichtsmaßnahmen im Papiermüll entsorgt wurden. Zudem hätten einzelne Arztpraxen ganze Patientenkarteien weggeworfen. Des Weiteren wurden 897 Unterschriften vorgefunden, die zu über 50 Prozent aus Unternehmen stammten.
Den sogenannten „Fußabdruck“ mittels Footprinting genauer zu Analysieren ist eine weitere Methode um an weiter wichtige Informationen Ihres Unternehmens zu gelangen.
Mit den Techniken des Footprintings wird versucht, möglichst viel über eine Person oder ein System in Erfahrung zu bringen, sodass man sich ein genaues Abbild der Person oder des Systems und dessen Umgebungen machen kann.
Möchten Sie wissen, welche Informationen über Sie im Internet kursieren, in welchen Foren oder Seiten Sie Ihre Spuren hinterlassen haben, wo Ihre Daten herumschwirren? Dann ist es Zeit, uns den Auftrag zu geben, Ihre Spuren zu suchen und zu verwischen.