Ein dringender Anruf.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
Im Allgemeinen ist Social Engineering ein sehr mächtiges Werkzeug, mit der richtigen Fähigkeit, ein Gespräch zu führen (denken Sie an den Scout Stierlitz), wird der Gesprächspartner Ihnen selbst alles erzählen, was Sie brauchen.
Zuerst werde ich eine kleine Geschichte über den berühmten Einbrecher Kevin Mitnick geben. Er schaffte es sogar, Informationen aus Segmenten des Netzwerks zu stehlen, die nicht mit dem Internet verbunden waren. Dies geschah wie folgt. Angenommen, Abteilung A verfügt über eine Internetverbindung und Abteilung B verfügt nicht über dieselbe Firma. Mitnick, der über das Adressbuch des Unternehmens verfügte, rief einen Mitarbeiter von Abteilung B an, stellte sich als Mitarbeiter von A vor und bat ihn höflich, ihm ein Fax mit den Informationen zu senden, die er interessiert, und erklärte dies damit, dass er sich außerhalb des Büros befindet und diese Daten dringend benötigt. Jemand hat abgelehnt, aber früher oder später gab es unbedingt einen Mitarbeiter (in der Regel eine Frau), der die Anfrage des Hackers erfüllte.
Trotz der Tatsache, dass diese Geschichte mehr als ein Dutzend Jahre alt ist, wird diese Art der Informationsgewinnung immer noch praktiziert. Wenn Sie beispielsweise von jemandem, der nicht gut zu hören ist, am Mobiltelefon angerufen wird, erscheint es als ein tatsächlich vorhandener Mitarbeiter und bittet Sie, beispielsweise die Kontaktinformationen Ihres Vorgesetzten oder eines anderen Mitarbeiters mitzuteilen. Dies erklärt sich dadurch, dass der Anrufer außerhalb des Büros ist und diese Informationen dringend benötigt. Viele in einer solchen Situation erfüllen die Bitte des Anrufers. Aber es könnte ein Angreifer sein.
Die richtige Maßnahme in einer solchen Situation ist eine höfliche Verweigerung der Bereitstellung von Informationen. Zum Beispiel können Sie sagen, dass Sie nicht gut hören können, und Sie bitten, später zurückzurufen. Das reicht jedoch nicht aus. Idealerweise sollte dieser Anruf dem Sicherheitsdienst des Unternehmens gemeldet werden. Wenn es keine gibt oder Sie aus persönlichen Gründen nicht darauf zugreifen möchten, informieren Sie zumindest Ihren direkten Vorgesetzten.
Übrigens führt derselbe Sicherheitsdienst oft ähnliche «Übungen» durch und ruft seine Mitarbeiter im Namen von Unbekannten an. Wenn die erforderlichen Informationen erhalten wurden, wird der Mitarbeiter bestraft, falls er nichts erfahren konnte, aber dem Sicherheitsdienst mitgeteilt wurde, wird der Mitarbeiter ermutigt. Viele werden solche Provokationen für unmoralisch halten, aber diese Methode wird nicht nur in Bildungseinrichtungen der jeweiligen Sicherheitsbehörden, sondern auch in verschiedenen Kursen zur Informationssicherheit unterrichtet.
Im Allgemeinen sollten Benutzeraktionen in solchen Situationen jedoch in der Sicherheitspolitik des Unternehmens, die jeder Mitarbeiter bei der Einstellung unterschreibt, klar definiert sein.
