Mit raffinierten Tricks geheime Daten stehlen
Social Hacking: Sicherheitslücke Mensch
Sicherheit
Virenscanner, Firewall, regelmäßige Sicherheitsupdates: Die meisten Nutzer legen großen Wert auf Sicherheit. Doch oft ist nicht die Software das größte Sicherheitsrisiko, sondern der Anwender. Viele Menschen fallen auf Phishing herein, geben freiwillig ihre Passwörter preis. Geschickte Gauner schaffen es, mit einem Vorwand wichtige Daten am Telefon zu erfragen, und wichtige Rechenzentren sind oft nur halbherzig bewacht, sodass sich fast jeder Zutritt verschaffen kann. Wie wichtig ist die Sicherheitskomponente Mensch?
Inhalt
- Soziales Hacken
- Massenphänomen Phishing
- Unternehmen im Fadenkreuz
- Sicherheitspuzzle
- Schutzmaßnahmen
- "Gesunde Skepsis"
Das Telefon klingelt, der Azubi der IT-Abteilung hebt ab. An der anderen Leitung: Hektik, Aufregung. "Hier ist Erich Erfunden, der Leiter des Rechenzentrums 'RZ Erfunden', wo eure Server stehen. Wir haben ein ernstes Problem mit den Festplatten und brauchen dringend euer ftp-Passwort um eure Daten zu sichern, sonst gibt es einen massiven Datenverlust!"
Der Lehrling erkennt den Ernst der Lage und gibt das Passwort heraus, von dem er weiß, dass es in der Schublade des Nachbarschreibtisches liegt. Gut gemacht, den Firmenserver vor einer teuren Panne bewahrt? Im Gegenteil, auf einen plumpen Trick hereingefallen.
Vorsicht bei fremden Anrufern, die Informationen erfragen
Sicherheit wird im Netz groß geschrieben. Laut des Lageberichts der IT-Sicherheit 2007 des Bundesamt für Informationssicherheit, nutzen 90 Prozent der Anwender einen Virenscanner, immerhin die Hälfte eine Firewall. Diese verschaffen dem Nutzer ein beruhigendes Gefühl. Meist ist aber der Mensch vor dem Bildschirm selbst das größte Sicherheitsrisiko.
Für kreative Hacker gibt es schier unendlich viele Möglichkeiten. Dabei sind die Methoden in der Praxis meist längst nicht so direkt und durchschaubar wie in unserem Beispiel. Geschickte Schnüffler spionieren ihre Opfer sehr unauffällig aus, sodass diese nicht merken, dass sie gerade mit bösen Absichten umgarnt werden. Diese Methoden sind einfach, aber effektiv. Denn mit ein wenig Hintergrundwissen wie dem Namen einiger Kollegen oder des aktuellen Projektes ist schnell ein vertrauenswürdiger Anschein geschaffen. Der Unbedarfte merkt nicht einmal, dass er gerade Informationen preisgegeben hat.
"Social Hacking" nennt man dieses Prinzip oder auch "Social Engineering". Die Angreifer gehen dabei oft äußerst perfide vor. Sie schaffen ein Vertrauens- oder Respektverhältnis zu ihrem Opfer und nutzen dieses zu ihren Gunsten. Wenn es um eine vermeintlich wichtige Angelegenheit geht oder der Mensch am anderen Ende der Leitung vorgibt, in einer wichtigen Position zu sein, fällt es vielen Menschen schwerer, dieses Anliegen in Frage zu stellen. Dabei geht es längst nicht immer darum, auf direktem Wege eine sensible Information herauszukitzeln. Oft sind es gerade die kleinen Dinge, die in Kombination miteinander zu einem großen Sicherheitsrisiko werden können.
Vereinfacht gesagt: Wenn der Hacker weiß, mit wem er telefoniert, wie dessen Kollegen heißen und woran dieser Angestellte momentan arbeitet, wird dieser kaum skeptisch sein, wenn das Gegenüber beim Gespräch hin und wieder eine Frage zur Arbeit fallen lässt. Ein normales Gespräch, fast wie unter Kollegen.
Die einfachste Art des Social Hackings ist wohl jedem schon einmal begegnet, der eine Emailadresse besitzt. "Phishing" nennt sich das Spielchen, wenn Bank oder ein anderer vermeintlicher Anbieter wie eBay wegen einer technischen Begebenheit Benutzername und Passwort oder Kontonummer, PIN und TAN "verifiziert" haben möchte. Einfache Falle, oft erfolgreich.
Bei anderen Beispielen geben sich die Spammer noch mehr Mühe. Es komme darauf an: "Wie gut ist die Story gemacht?" sagt Matthias Gärtner, Pressesprecher des Bundesamtes für Sicherheit in der Informationstechnik. "Diese Fälle nehmen quantitativ und qualitativ zu", erläutert Gärtner.
Druckversion | Links zum Artikel | Kommentare
Mehr über: Sicher im Internet, eMail Sicherheit, Spam
-
Diebstahl: Online-Identitäten bringen nur 100 Euro ein
Inflation bei Preisen für Adresse, Kontodaten und Passwörtern -
Tutorial: Dem Phisher vom Haken springen
Bleiben Sie gelassen bei Phishing-Attacken -
Hochentwickelter Roboter: Flame geht wie ein Mensch
Für Menschen selbstverständlich, für Roboter eine Meisterleistung
Links zum Artikel
Diskutieren Sie zu diesen Artikel im Forum!
Neues Thema eröffnen
Eine weitere Spielart des "Social Hacking" ist das Erraten selbstgewählter Passwörter durch Auskundschaften der Umgebung des Opfers. Wohnt jemand zum Beispiel gegenüber einer Tankstelle, so ist es durchaus vielversprechend, wenn man es mal mit "Aral" oder "Diesel" oder "Superplus" versucht.
Viele Zeitgenossen sind eben wenig kreativ, wenn es darum geht, ein Passwort zu erfinden. Da muß dann schon mal der Name der Frau, des Kindes, des Autos oder des Hundes herhalten. Damit hat man dann schon einmal ca. 30% Erfolgsquote. Nochmals 20% bekommt man, wenn man den Namen rückwärts schreibt.
Unter richtigen Hackern ist dieses Phänomen durchaus bekannt.
Die Schwierigkeit nur: Wie kann ich mir ein sinnloses, aus einer wirren Zahlen - Buchstabenkombination zusammengewürfeltes Passwort merken?
Hier gibt es einen Trick: Einen Merksatz, den sonst niemand kennt - eine Eselsbrücke sozusagen.
Wäre jemand in der Lage, ohne weitere Hilfsmittel z.B. "HgeeT:EM,dsnk-eEs." als Passwort zu erraten? Wohl kaum.
Dabei ist es ganz einfach - und auch genau so einfach zu merken. Die Lösung überlasse ich dem geneigten Leser. :D
P.S. Das ist natürlich nicht mein Passwort! Also, erst gar nicht versuchen, sich damit einzuloggen - es funktioniert nicht.
Zitat:
Wäre jemand in der Lage, ohne weitere Hilfsmittel z.B. "HgeeT:EM,dsnk-eEs." als Passwort zu erraten? Wohl kaum.
Dabei ist es ganz einfach - und auch genau so einfach zu merken. Die Lösung überlasse ich dem geneigten Leser. :D
Na, die natürlichen Grenzen dabei sind ja, dass ein Großteil der Internetgemeinde, wie wir sie heutzutage erleben dürfen/müssen, die Groß- und Kleinschreibung ja bereits verlernt hat, Rechtschreibung und Interpunktion sind auch schwierig. :zwickern:
'tschuldige, ich konnte nicht widerstehen.
Grüße,
Thorsten
So kenne ich das, obwohl ich es nicht nötig und auch gar kein Interesse an den Passwörtern meiner Nutzer habe:
Anrufer: Ich habe ein Problem mit "was weiß ich"
Ich: Ah OK, das ist nichts Rechnerspezifisches - um welchen Account geht es denn?
Anrufer: Was ist ein Account?
Ich: Ihr Benutzername.
Anrufer: Was?
Ich: Das Ding mit dem Sie sich am Rechner anmelden.
Anrufer: Ah OK: "dumpfbacke" "Kennwort123"
UND DAS IST NICHT ERFUNDEN !!
Soll ich noch mehr sagen...
Grüße Grunzer
Neues Thema eröffnen Top Virenschutz-Programme
- 29.11. Avira AntiVir Personal - Free Antivirus Handbuch
- 10.12. AVG Anti-Virus Free 7.5.524 Update (Windows)
- 28.11. avast! 4 Home Edition 4.8.1296
- 06.04. Kaspersky Anti-Virus Personal 7.0
- 10.03. BitDefender Free Edition 10 Build 247
- 20.11. NOD 32 3.0.669 (XP/Vista)
- 10.01. AntiVirenKit 2006 professional
- 10.11. ClamWin Antivirus ClamWin.conf
- 24.05. avast! Virus Cleaner 1.0.211
- 08.03. Kaspersky Internet Security 7.0
Sicher im Internet
Wer seiner Standard-Software traut, der sollte sich nicht wundern, wenn plötzlich ein Virus oder Trojaner entdeckt wird. Netzwelt erklärt, wie man ein PC-System absichert.
- Anleitung: Spybot sucht und zerstört Schädlinge
- Tutorial Ad-Aware: Kostenloser Malware-Schutz
- Tutorial: XP-Antispy richtig einrichten
- DMZ, NAT & Co - so arbeitet eine Firewall
- Tutorial: HiJackThis-Logs richtig auswerten
Top Anti-Virus Vollversionen
- 06.04. Kaspersky Anti-Virus Personal 7.0
- 08.03. Kaspersky Internet Security 7.0
- 29.11. Avira AntiVir Premium Handbuch
- 29.11. Avira Premium Security Suite 8.2.0.251 (englisch)
- 05.08. eTrust Antivirus 7.0
- 15.07. Kaspersky Anti-Virus 2009 2009
- 11.08. AVG Anti-Virus Professional 8.0 (1-Platz-Lizenz)
- 25.12. BitDefender Antivirus 2008 (1-Platz-Lizenz)
- 20.08. F-Secure Anti-Virus 2008 Jahreslizenz (3 User)
- 10.08. Steganos AntiVirus 2008 (1-Platz-Lizenz)
- 19.08. MySecurityCenter Anti-Virus
- 15.07. Steganos AntiVirus 2008 3-Platz-Lizenz 2008 3-Platz-Lizenz
- 20.08. Dr.Web Antivirus 4.4
- 03.08. SafenSec Personal 2.0
Virenschutz
Welche Software den PC wirklich vor Viren schützt und welche Updates Sie auf jeden Fall installieren sollten, zeigen wir Ihnen in unserem ausführlichen Special zum Thema Virenschutz.
- Vergleichstest: Wie Virenscanner das System ausbremsen
- Anleitung: Wenn sich AntiVir und Windows widersprechen
- Test: Sicherheits-Komplettpakete bieten kaum Schutz
- VIPs als Virenschleudern: Die fiesesten Promis im Netz
- Sicher, schnell und zuverlässig: Der beste Virenscanner
Email Sicherheit
Phishing ist wohl das bekannteste Phänomem, wenn es um Sicherheit und Emails geht. Dabei ist es so einfach seinen Mailer richtig einzustellen und damit die größten Gefahren direkt abzuwehren.
- Tutorial: Googlemails Spam-Filter für alle E-Mail-Konten nutzen
- Tutorial: Anonym Mailen, aber richtig!
- Mailinator.com: Spam-Fänger der anderen Art
- Tutorial: Dem Phisher vom Haken springen
- Ratgeber: Den SPAM-Overkill vermeiden
Virenschutz mit Avira AntiVir
Aviras AntiVir ist das Flaggschiff der Antiviren-Programme, das Beste daran: Es ist für Provatanwender kostenlos.
- Tutorial: AntiVir, der kostenlose Virenkiller
- Tutorial: Wichtige Einstellungen und Funktionen
- Tutorial: Scans und Updates automatisieren
- Download: AntiVir Personal Edition
akuma.de - Unser Musikdienst
Service-Angebote der netzwelt
Werbung
nach oben
