Anzeige
Erst vor einer Woche gab es einen Leak, bei welchem Passwort/Username Kombinationen veröffentlicht wurden. Zig-tausende wurden veröffentlicht. Mir ist es selbst einmal passiert. Und dabei bin ich jemand der sehr vorsichtig ist, keinen E-Mail Anhang ungeprüft öffnet und sich eher auskennt.
Aber trotzdem war ich von dem Leak betroffen. Die Auswirkungen waren nicht spürbar, da ich mich an viele Regeln der Sicherheit beim Umgang mit dem Internet halte. Auch wenn dann andere Parteien Fehler begehen, wie zum Beispiel lückenhafte Serverkonfigurationen, kann wenig passieren.
Viele denken bei Attacken durch Hacker selten an das Social Engineering. Dabei wird sehr untechnisch vorgegangen. Eher werden Schwächen von Menschen ausgenutzt, um sich Zugang in gesicherte Systeme zu organisieren.Es geht dabei darum, Informationen zu sammeln, die bei dem Einbruch in Systeme helfen können. Dabei gibt es verschiedene Möglichkeiten und Ansetzpunkte.
Auf einer öffentlichen Veranstaltung könnte der Angreifer in ein vertrauliches Gespräch mit einem technischen Mitarbeiter kommen. Er schafft vertrauen, indem er sich als ein Leidensgenosse aus der IT-Abteilung ausgibt. Er habe auch Probleme mit dem aktuellen Update der Server-Software XYZ. Nach dem die Brücke geschlagen ist, wird der Unternehmensmitarbeiter vorsichtig ausgehorcht. So erfährt der Angreifer mehr über die eingesetzte Software, Firewalls und verwandte Sachen. Diese alleine helfen nicht, können aber bei einem Angriff von außen bestimmte Schwachstellen der eingesetzten Software gezielt ausnutzen.
Auch über andere Arten der Beziehung zu hochrangigen Mitarbeitern können so sicherheitsrelevante Puzzle-Teile auspioniert werden. Die Informationen einzeln ergeben vielleicht wenig Angriffsflächen, kombiniert können aber Rückschlüsse auf die Sicherheitsarchitektur des Unternehmens erlangt werden.
Seien Sie immer mißtrauisch. Reden Sie mit niemandem über Passwörter oder sicherheitsrelevante Details. Auch wenn ihr Gesprächspartner Ihnen gegenüber keine bösen Absichten hegt, könnte es passieren, dass die Informationen über Umwege bei den Falschen landen.
Ein Klassiker: Der Angreifer versucht den Firmenserver zu überlasten. Dies geschieht, in dem ein koordinierter Angriff (Serveranfragen) von teilweise tausenden Rechnern gestartet wird. Diese wurden in der Regel durch einen Virus oder Trojaner unter Kontrolle gebracht um den Angriff koordniniert zu starten. Oft wissen die Nutzer der Rechner nicht bescheid und bleiben in Unkenntnis, bis der Angriff von ihrem Rechner aus gestartet wird.
Viel bleibt nicht zu tun. Der angegriffene Server wird vom Netz genommen (er kann seiner Funktion sowieso nicht nachkommen). Virenhersteller versuchen dann so schnell wie möglich die Ursache zu finden und durch rasche Aktualisierung der Virenerkennungssoftware die infizierten Rechner zu bereinigen, so dass diese den Angriff nicht mehr durchführen.
Wenn ein Webseitenbetreiber seine Datenbank, welche die Passwörter speichert, unzureichend sichert, können Hacker diese Passwörter in erfahrung bringen und auf die (eigentlich) gesicherten Daten der Webseite zugreifen.
Auch einfach zu erratende Passwörter können verwendet werden um durch reines Ausprobieren Zugang zu gesicherten Bereichen zu bekommen.
Eine besondere Gefahr besteht darin, wenn man ein Passwort für mehrere Zugänge verwendet. Dann muss der Hacker nur eine Seite hacken und bekommt Zugriff auf viele andere des Opfers.
Die sind ganz einfach:
Das hört sich jetzt sehr umständlich an, aber Passwortmanager helfen dabei, den Aufwand zu reduzieren.
Diese Kategorie fasst verschiedene Arten zusammen. Viren und Trojaner sind den meisten bekannt. Dabei wird eine Software auf den eigenen Rechner gebracht, meist durch das Ausnutzen von Sicherheitslücken, oft aber auch durch Unkenntnis der Anwender (Fake-Emails mit Softwareanhängen). Diese ermöglichen es dem Angreifer Daten auf dem Rechner zu zerstören, manipulieren oder auszuspionieren. Oft werden diese Zugägen auch genutzt und weiter in das System (Netzwerk) einzudringen oder zusätzliche Informationen (Ausspähen von Passwörtern) zu gewinnen.
Machen Sie niemals Anhänge auf von Personen, die Sie nicht kennen. Halten Sie Ihren Virenscanner aktuell. Und wennd er Virenscanner Alarm schlägt, klicken Sie die Meldung nicht weg, sondern nehmen Sie sie ernst!
Auch hier wird auf die Naivität der Anwender gebaut. Oft wird eine E-Mail genutzt, um zum Beispiel die Loginseite bekannter Dienstleister nachzuahmen. Die Hoffnung besteht darin, dass sich der Anwender einzuloggen versucht und dabei sein Passwort bekannt gibt.
Oft wird ein reiserischer E-Mail Betreff gewählt, der Handlungsdruck vorgaukelt. Ein unermesslicher Gewinn oder eine Mahnung werden dazu oft angegeben.
Achten Sie bei solchen E-Mails darauf ob es plausibel ist. Haben Sie tatsächlich einen so hohen Betrag bei dem Unternehmen ausgegeben? Bewahren Sie auf jeden Fall die Ruhe. Oft sind solche E-Mails oder die Fake-Login Seiten in schlechtem deutsch gehalten. Seien Sie skeptisch. Wollen Sie Sicherheit haben, dann besuchen SIe die Webseite des Anbieters, aber über eine bekannte Webadresse, nicht die in der E-Mail. Die Webadresse, welche in der E-Mail angegeben wird ist oft auch als schlechte Kopie erkennbar.
Verschiedene Software-Anbieter bieten die Möglichkeit, den eigenen Rechner sicherer zu machen. Ein Anbieter ist Cybercure. Der Ansatz ist äußerst interessant, da die Instanz auf dem eigenen Rechner mit anderen Instanzen kommuniziert. Wird nun ein Rechner angegriffen, dann bekommen alle anderen Cybercure geschützen Rechner das mit und treffen entsprechende Gegenmaßnahmen (zum Beispiel das Blockieren der angreifenden IP Adressen) und können so den Angriff abwehren, bevor er überhaupt stattfindet.