In diesem Blog erfahren Sie, wie Hacker Bankkonten, Social Media Konten und Systeme hacken. Dieses Tutorial ist nur für pädagogische Zwecke.
Hacker verwenden eine Technik, die Social Engineering genannt wird, also sollten wir zuerst wissen, was Social Engineering genannt wird?
Social Engineering ist die psychologische Manipulation von Menschen, damit sie Handlungen ausführen oder vertrauliche Informationen preisgeben.
In einfachen Worten bedeutet es, Menschen auszutricksen, damit der Angreifer vertrauliche Informationen der Person erhalten kann. Diese soziale Manipulation ist nicht nur für finanzielle Vorteile gedacht. Social Engineering kann auch zu anderen Zwecken eingesetzt werden, z. B. zum Sammeln von Informationen von Personen. Social-Engineering-Angriffe sind nicht nur auf eine einzelne Person beschränkt, sondern können auch in einer Organisation durchgeführt werden, für die es keine Zertifizierung gibt. Sogar Ihre Freunde, die neben Ihnen sitzen und sich auf Ihre Tastatur konzentrieren, während Sie Ihre Passwörter eintippen, sind Social Engineers.
Arten von Social Engineer-Angriffen:
Es gibt viele Social Engineering-Taktiken, je nachdem, welches Medium zur Umsetzung verwendet wird. Das Medium kann E-Mail, Internet, Telefon, USB-Laufwerke oder etwas anderes sein. Lassen Sie uns also über die verschiedenen Arten von Social-Engineering-Angriffen sprechen:
Phishing ist die häufigste Art von Social-Engineering-Angriffen. Der Angreifer bildet die Website oder das Support-Portal eines bekannten Unternehmens nach und sendet den Link über E-Mails oder Social-Media-Plattformen an die Zielpersonen. Die andere Person, die den wahren Angreifer nicht kennt, gibt schließlich persönliche Informationen und sogar Kreditkartendaten preis.
Sie können Phishing-E-Mails verhindern, indem Sie Spam-Filter in Ihren E-Mail-Konten verwenden. Bei den meisten E-Mail-Anbietern ist dies heutzutage standardmäßig der Fall. Öffnen Sie außerdem keine E-Mails, die von einer nicht vertrauenswürdigen Quelle stammen oder Ihnen verdächtig vorkommen.
Spear Phishing
Eine Social-Engineering-Technik, die als Spear Phishing bekannt ist, kann als eine Untergruppe des Phishings angesehen werden. Obwohl es sich um einen ähnlichen Angriff handelt, erfordert er einen zusätzlichen Aufwand auf Seiten der Angreifer. Sie müssen bei der begrenzten Anzahl von Nutzern, auf die sie abzielen, auf den Grad der Einzigartigkeit achten. Und die harte Arbeit zahlt sich aus, denn die Wahrscheinlichkeit, dass Benutzer auf die falschen E-Mails hereinfallen, ist beim Spear-Phishing wesentlich höher.
Vishing
Impostoren oder Social Engineers können überall im Internet sein. Aber viele bevorzugen die altmodische Methode: Sie benutzen das Telefon. Diese Art von Social-Engineering-Angriff ist als Vishing bekannt. Sie bauen das IVR-System (Interactive Voice Response) eines Unternehmens nach. Sie verbinden es mit einer gebührenfreien Nummer und verleiten die Leute dazu, die Nummer anzurufen und ihre Daten einzugeben. Würden Sie dem zustimmen? Die meisten Menschen denken nicht zweimal darüber nach, bevor sie vertrauliche Daten in ein vermeintlich vertrauenswürdiges IVR-System eingeben, nicht wahr?
Pretexting
Pretexting ist ein weiteres Beispiel für Social Engineering, das Ihnen vielleicht schon begegnet ist. Es basiert auf einem geskripteten Szenario, das den Zielpersonen vorgespielt wird, um personenbezogene Daten oder andere Informationen zu erhalten. Ein Angreifer kann sich als eine andere Person oder eine bekannte Person ausgeben.
Vielleicht haben Sie schon verschiedene Fernsehsendungen und Filme gesehen, in denen Detektive diese Technik anwenden, um an Orte zu gelangen, zu denen sie persönlich nicht befugt sind, oder um Informationen zu erlangen, indem sie Leute austricksen. Ein weiteres Beispiel für Pretexting sind gefälschte E-Mails, die Sie von entfernten Freunden erhalten, die Geld brauchen. Wahrscheinlich hat jemand ihr Konto gehackt oder ein gefälschtes Konto erstellt.
Baiting
Wenn Sie den Film Troja gesehen haben, können Sie sich vielleicht an die Szene mit dem trojanischen Pferd erinnern. Eine digitale Variante dieser Technik ist als Baiting bekannt und gehört zu den Social-Engineering-Techniken, die von Menschen eingesetzt werden. Angreifer infizierten USB-Laufwerke oder optische Datenträger an öffentlichen Orten in der Hoffnung, dass jemand sie aus Neugierde mitnimmt und auf seinen Geräten verwendet. Ein moderneres Beispiel für Köder ist im Internet zu finden. Verschiedene Download-Links, die meist bösartige Software enthalten, werden zufälligen Personen vor die Füße geworfen, in der Hoffnung, dass jemand darauf klickt.
Tailgating
Unser letzter Social-Engineering-Angriffstyp des Tages ist als Tailgating oder „Huckepack“ bekannt. Bei dieser Art von Angriffen folgt eine Person ohne entsprechende Authentifizierung einem authentifizierten Mitarbeiter in einen geschützten Bereich. Der Angreifer könnte sich als Lieferfahrer ausgeben und vor einem Gebäude warten, um die Dinge in Gang zu bringen. Wenn ein Angestellter die Genehmigung des Sicherheitsdienstes erhält und die Tür öffnet, bittet der Angreifer den Angestellten, die Tür aufzuhalten, und verschafft sich so Zugang zum Gebäude.
Tailgating funktioniert nicht in allen Unternehmensumgebungen, z. B. in großen Unternehmen, deren Eingänge die Verwendung einer Schlüsselkarte erfordern. In mittelgroßen Unternehmen können Angreifer jedoch mit Mitarbeitern ins Gespräch kommen und diese Vertrautheit nutzen, um an der Rezeption vorbeizukommen.
Colin Greenless, ein Sicherheitsberater bei Siemens Enterprise Communications, nutzte diese Taktik, um sich Zugang zu mehreren Stockwerken und dem Datenraum eines FTSE-gelisteten Finanzunternehmens zu verschaffen. Er war sogar in der Lage, sich in einem Besprechungsraum im dritten Stock einzurichten und dort mehrere Tage lang zu arbeiten.
Wie kann man sich vor Social Engineers schützen?
Hier sind einige Tipps, die Unternehmen in ihre Schulungsprogramme zum Sicherheitsbewusstsein aufnehmen können und die den Benutzern helfen, Social-Engineering-Methoden zu vermeiden:
- Öffnen Sie keine E-Mails aus nicht vertrauenswürdigen Quellen. Wenden Sie sich persönlich oder telefonisch an einen Freund oder ein Familienmitglied, wenn Sie eine verdächtige E-Mail-Nachricht von ihnen erhalten.
- Geben Sie Angeboten von Fremden keinen Glauben schenken. Wenn sie zu gut erscheinen, um wahr zu sein, sind sie es wahrscheinlich auch.
- Schließen Sie Ihren Laptop ab, wenn Sie nicht an Ihrem Arbeitsplatz sind.
- Kaufen Sie eine Antiviren-Software. Keine AV-Lösung kann alle Bedrohungen abwehren, die auf die Daten der Benutzer abzielen, aber sie kann vor einigen schützen.
- Lesen Sie die Datenschutzrichtlinien Ihres Unternehmens, um zu verstehen, unter welchen Umständen Sie einen Fremden in das Gebäude lassen können oder sollten.
Denken Sie nach, bevor Sie handeln
Meistens umfassen solche Fragen weniger wichtige Dinge wie Kosenamen, Schulnamen, Geburtsort usw. Achten Sie auch darauf, welche Webseiten Sie besuchen oder welche Dateien Sie herunterladen. Sie können bösartige Tools enthalten, die Ihre Daten abfangen.
Verbessern Sie Ihre emotionale Intelligenz
Sozialtechniker können auch versuchen, den emotionalen Teil des menschlichen Gehirns anzusprechen. Sie können versuchen, Schuldgefühle zu wecken, Nostalgie zu schüren oder sogar negative Auswirkungen zu haben. Die Situation wird alarmierend; Menschen neigen dazu, sich vor denen zu öffnen, die versuchen, ihnen emotionalen Trost zu spenden.
2-Faktor-Authentifizierung
Die Menschen sollten 2FA verwenden, um sich vor dieser Art von Angriffen zu schützen, da es eine Art Sicherheitsfunktion ist, die von den Unternehmen bereitgestellt wird.Die Leute haben den Mythos, dass 2FA nicht umgangen werden kann, aber es kann umgangen werden, und ich werde Ihnen in meinem nächsten Tutorial sagen, wie das geht.
Beispiele für Social-Engineering-Angriffe
Stellen Sie sich vor, Sie könnten einfach 10 Dollar an einen Investor überweisen und sehen, wie daraus 10.000 Dollar werden, ohne dass Sie sich anstrengen müssen? Cyberkriminelle nutzen die grundlegenden menschlichen Gefühle des Vertrauens und der Gier, um ihre Opfer davon zu überzeugen, dass sie wirklich etwas umsonst bekommen können. In einer sorgfältig formulierten Köder-E-Mail werden die Opfer aufgefordert, ihre Kontodaten anzugeben, damit das Geld noch am selben Tag überwiesen werden kann.
Beispiel 2 -URGENCY
Sie erhalten eine E-Mail vom Kundendienst einer Online-Shopping-Website, auf der Sie häufig einkaufen, in der Ihnen mitgeteilt wird, dass Ihre Kreditkartendaten bestätigt werden müssen, um Ihr Konto zu schützen. In der E-Mail werden Sie aufgefordert, schnell zu reagieren, um sicherzustellen, dass Ihre Kreditkartendaten nicht von Kriminellen gestohlen werden. Ohne lange zu überlegen und weil Sie dem Online-Shop vertrauen, übermitteln Sie nicht nur Ihre Kreditkartendaten, sondern auch Ihre Postanschrift und Ihre Telefonnummer. Ein paar Tage später erhalten Sie einen Anruf von Ihrer Kreditkartengesellschaft, die Ihnen mitteilt, dass Ihre Kreditkarte gestohlen und für Tausende von Dollar an betrügerischen Einkäufen verwendet wurde.
Beispiel 3 FALSCHE BENACHRICHTIGUNG
Viele Menschen benutzen Sims von Betreibern wie Airtel, Jio, Vodafone, AT&T, Industrieunternehmen usw.Eine Nachricht kommt auf unser Telefon, wenn wir 50% oder 100% des Internets vom Betreiber nutzen und unten gibt es einen Link zur App des Betreibers und eine Nachricht und wir können die Datennutzung verfolgen und Addons zum Aufladen anbieten.So werden Sie denken, was wird der Nutzen dieser Hacker?
Ein Hacker wird diese Nachricht verwenden, um Ihr Handy zu hacken.
Der Hacker wird die Nachricht fälschen und die Nutzlast mit der App injizieren, und wenn Sie die App Boom herunterladen, wird Ihr System gehackt.
Dies sind einige Beispiele für Social-Engineering-Angriffe.
Ich hoffe, Sie werden dieses Tutorial mögen.
Bleiben Sie sicher vor diesen Arten von Angriffen.