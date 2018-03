zu Teil 1: Tücken des Social Engineerings

Die BSI-Webseite informiert Sie nach Eingabe Ihrer Daten per E-Mail über die dazugehörigen Schutzmaßnahmen. Nur falls die eingegebene Adresse nicht betroffen ist, wird keine Benachrichtigung versendet (Bild 5).

Viele Formen des Angriffs sind möglich

Die meisten Anwender wissen, dass Passwörter an niemanden weitergegeben werden dürfen. Trotzdem bringen Angreifer sie oft dazu, wichtige Informationen preiszugeben oder sogar freien Zugang zu gewähren. Wie ist das möglich? Die folgenden Fälle geben Aufschluss:

Ein Angreifer kann das Opfer bitten, ihm unbekannte Befehle oder Applikationen auszuführen, z.?B. weil dies bei einem IT-Problem helfen soll. Dies kann eine versteckte Anweisung für eine Änderung von Zugriffsrechten sein. So kann der Angreifer an sensible Informationen gelangen.

Viele Benutzer verwenden zwar starke Passwörter, aber nutzen diese für mehrere Konten. Wenn ein Angreifer einen nützlichen Netzdienst (wie ein E-Mail-Adressensystem) betreibt, an dem die Anwender sich authentisieren müssen, kann er an die gewünschten Passwörter gelangen. Viele Benutzer werden die Anmeldedaten, die sie für diesen Dienst benutzen, auch bei anderen Diensten verwenden.

Eine sehr gewiefte Art könnte sich so darstellen: Der Angreifer, eine externe Person, möchte Herrn Schmidt sprechen, der aber nicht erreichbar ist. Die Information, dass Herr Schmidt drei Tage abwesend ist, sagt dem Angreifer auch gleichzeitig, dass der Account dieses Herrn in dieser Zeit nicht benutzt wird, also unbeobachtet ist. Da über einen freien SMTP-Server oder über einen eigenen E-Mail-Server der E-Mail-Absender frei festgelegt werden kann, ist der Angreifer in der Lage, E-Mails mit der Absenderadresse von Herrn Schmidt zu versenden.

Der vermeintliche Irrtum taucht erst auf, wenn dieser wieder im Dienst ist. Der technische Aufwand muss gar nicht so weit betrieben werden. Es genügt schon, dass der Angreifer über eine fremde Absenderadresse Nachrichten in Vertretung von Herrn Schmidt versendet.

Eine Strategie der Angreifer imitiert den Vorgesetzten einer Vorzimmerangestellten und benötigt ...

