Teil 1 (aufgrund der Größe des Artikels in Teile unterteilt. Sobald ich 50 Aufrufe habe, poste ich den zweiten Teil).

Viele echte Hacker, die ständig hacken, haben immer ein paar SI-Tricks auf Lager, denn wo es unmöglich ist, eine Schwachstelle im Code zu finden, findet man sie oft in den Köpfen des Support-Dienstes oder des Besitzers eines E-Mail-Geräts -Mail, ICQ oder Website...

Von der Theorie zur Praxis
Sie haben bereits in einer der vorherigen Ausgaben Ihres Lieblingsmagazins gelesen, was Social Engineering ist, wir können also mit Sicherheit sagen, dass die Hardware erfolgreich gemeistert wurde. Jetzt schlage ich vor, eine Übungsfahrt zu machen.

Social Engineers sind sehr angenehme Gesprächspartner: kultiviert, freundlich und mit viel Sinn für Humor. Sie haben einen unglaublich flexiblen Geist, innovatives Denken und viele Ideen, wie sie ihre Ziele effektiver erreichen können. An sie wandte ich mich, um Hilfe bei der Vorbereitung des Materials zu erhalten. Unsere Berater werden sein: GoodGod – der Schöpfer eines der beliebtesten russischsprachigen Projekte zum Thema Social Engineering socialware.ru; Ayumi (spylabs.org); Ivan ist ein weiterer Meister des Hackens menschliche Gehirne, der inkognito bleiben wollte.

Gehen!

ICQ-Nummern-Hijacking (ohne primäre E-Mail)
Um ICQ zu kapern, benötigen Sie:

• eine Liste von Domains, auf denen E-Mails registriert sind (wie man sie erhält – lesen Sie in der Dezember-Ausgabe von ][ für 2009, Video „Massenhijacking von Domains“ von GoodGod);
• ICQ-Nummer, von der aus der erste Angriff erfolgt;
• ICQ-Nummer ausgestellt unter SEO-Spezialist(mit den entsprechenden Daten und Details in der Info).

Wenn Sie sich nicht sofort kennenlernen möchten, unterbrechen Sie dieses Gespräch für eine Weile, denn wenn Sie zu stark darauf drücken, kann das Gegenteil der Fall sein; Ich komme besser später unter einem anderen Vorwand darauf zurück.

Übrigens: Wenn das Opfer von Natur aus schüchtern ist, werden Sie es nicht zwingen, Kontakt mit einem Fremden aufzunehmen, sondern müssen sich auf „Zuhälter“ einlassen, damit die Bekanntschaft zustande kommt. Und so wendet sich der Kunde an einen SEO-Freund (also an Sie). Zeigen Sie zu Beginn gesundes Misstrauen, indem Sie Fragen stellen wie „Wo haben Sie von dem Projekt erfahren?“ Von Sascha? Ahh, Sasha... Ja, ich erinnere mich. Ok, jetzt erzähle ich Ihnen die Essenz der Arbeit.“ Erzählen Sie uns als Nächstes etwas über das ICQ Search-Projekt und die Website-Werbung und beschreiben Sie die Zahlungsoptionen (200 Rubel pro Tag oder 1400 pro Woche – lassen Sie ihn die Option wählen, die für ihn am bequemsten ist). Konzentrieren Sie die Aufmerksamkeit des „Kunden“ ständig auf realistische Details, damit Sie ihn von unnötigen Gedanken ablenken. Je intensiver der Angriff und desto mehr neue Informationen, desto weniger Zeit hat er, darüber nachzudenken, was passiert. Beschreiben Sie abschließend das Schema zum Geldverdienen: Lassen Sie ihn eine Site aus der zu Beginn vorbereiteten Liste auswählen, durchsuchen Sie Whois nach der E-Mail, mit der die Site verlinkt ist (lassen Sie ihn das selbst tun) und geben Sie sie in das Feld „E-Mail“ ein ”-Feld in seinem ICQ-Profil. Erklären Sie unbedingt, dass bei Angabe derselben E-Mail-Adresse in den ICQ- und Domain-Daten das Ranking der Website in der Suchmaschine umso höher ist, je häufiger bei der Suche nach ICQ gesucht wird. Sobald das Opfer die Bindung abgeschlossen hat, stellen Sie das Passwort für die angegebene E-Mail-Adresse wieder her und die UIN gehört Ihnen!

Wenn das Passwort nicht per E-Mail eintrifft, bedeutet dies, dass die Nummer bereits über eine primäre E-Mail-Adresse verfügt und die Entführung auf andere Weise organisiert werden muss.

Mail-Hacking
Finden Sie die Antwort auf die Geheimfrage heraus
Fragen an Mailserver sind in der Regel recht ähnlich:

• Mädchenname der Mutter;
• Lieblingsgericht;
• Haustiername;
• Passport-ID;
• Persönliche Frage (Name des ersten Lehrers; Index; Lieblingsfilm; Lieblingsdarsteller).

Welche Schemata funktionieren? Mädchenname der Mutter – beginnen Sie ein Thema über den Stammbaum oder darüber, was für einen lustigen Nachnamen Ihre Mutter vor der Heirat hatte. Lieblingsgericht - hier ist alles klar. Tiername – sprechen Sie über Haustiere: Vergangenheit, Gegenwart und Zukunft, da das Codewort der Name des ersten gespendeten Hamsters sein kann. Schwieriger wird es mit der Passnummer. Hier können Sie beispielsweise versucht sein, ein preiswertes, knappes Produkt zu kaufen, das per Nachnahme geliefert wird. Um eine Bestellung aufzugeben, benötigen Sie jedoch Passdaten und Identifikations Code. Sie können den Namen der ersten Lehrerin bei den Klassenkameraden des Opfers herausfinden oder direkt mit ihr über ihre Lieblingslehrer sprechen; Es ist einfacher, den Index zu erhalten, indem man die Datenbank der Stadt herunterlädt, und man kann einfach beim Opfer herausfinden, in welcher Gegend es lebt. Hier kommt es vor allem auf Einfallsreichtum, Fantasie und Geduld an.

Es gibt eine kleine, aber wichtige Nuance. Manchmal kann die Antwort auf die Frage „Lieblingsgericht“ beispielsweise eine Telefonnummer sein, also eine völlige Diskrepanz zwischen Frage und Antwort. Hier müssen Sie ein Gespräch über lächerliche Kombinationen und die Sinnlosigkeit von Sicherheitsfragen beginnen und dann noch einmal von vorne beginnen, am besten unter einem anderen Konto.

Kontaktaufnahme mit dem Kundendienst
Diese Methode ist arbeitsintensiver und beängstigender, wird jedoch benötigt, wenn das Opfer nicht „injizieren“ möchte oder wenn die Kiste „tot“ ist, das heißt, der Besitzer sie längere Zeit nicht besucht hat. Gehen Sie dazu auf die Support-Seite des gewünschten E-Mail-Dienstes und schreiben Sie einen Brief mit der Bitte um Wiederherstellung des gestohlenen Passworts. Höchstwahrscheinlich werden Sie nach Ihrem Vornamen, Nachnamen (oder den Daten, die bei der Registrierung angegeben wurden), Ihrem Geburtsdatum und dem ungefähren Datum der Registrierung der Box (mindestens ein Jahr) gefragt. Versuchen Sie daher, möglichst viele Informationen über das Opfer und seine Kiste herauszufinden. Sie werden Ihnen dabei helfen Suchmaschinen, soziale Netzwerke und Blogs.

Phishing
Einer der meisten effektive Wege ein Passwort erhalten, ohne dass der Eigentümer davon erfährt. Dem Opfer wird ein Link angeboten, dem er folgen und seinen Benutzernamen und sein Passwort eingeben kann. Diese Daten werden an eine Berichtsdatei, eine Datenbank (bei massivem Diebstahl) oder eine E-Mail gesendet. Der Haupttrick besteht darin, das Opfer zum Klicken auf diesen Link zu zwingen. Das Formular kann alles sein:

• Eine Nachricht „von der Verwaltung“ (sprich: von einem Maildienst mit einer gefälschten Adresse) über Spam aus diesem Postfach. Beispiel: „Lieber Benutzer, (Benutzername)! Ihr Konto hat Beschwerden über Spam erhalten, und daher hat die Verwaltung das Recht, den Betrieb vorübergehend auszusetzen oder zu sperren. Es ist durchaus möglich, dass sich Angreifer Zugriff darauf verschafft haben. Um den Besitz Ihres Kontos zu bestätigen, autorisieren Sie es erneut über diesen Link (Hyperlink zu Fake). Erfolgt innerhalb von 5 Tagen keine Bestätigung, wird das Mailkonto gesperrt. Mit freundlichen Grüßen, Support-Service (Name des Postdienstes).“ Ausnutzen der Angst, die Box zu verlieren.
• Wenn Sie die Hobbys des Opfers kennen, können Sie Interesse zeigen. Zum Beispiel ein Brief mit einem interessanten Thema, in dem nur ein Teil der Informationen abgedeckt wird, der Rest wird durch Klicken auf den Link abgedeckt. Der Link führt zu einer Pseudo-Login-Seite, die restlichen Informationen können Sie erst nach dem Login lesen.

Landwirtschaft
Es kommt auch vor, dass das Opfer klug genug (oder gleichgültig) ist, nicht auf die Links zu klicken. In diesem Fall müssen Sie zur Manipulation auf Trojaner/Joiner/Skripte zurückgreifen HOSTS-Datei oder den DNS- oder DHCP-Server seines Anbieters hacken. Wenn der Benutzer gleichzeitig die Website aufruft, um die E-Mails abzurufen, erfolgt eine Weiterleitung zu genau derselben E-Mail, nur dass es sich um eine Phishing-E-Mail handelt. Der Benutzer ahnt nichts, gibt seine Daten ein und gelangt über ein internes Autorisierungsskript in seine „native“ E-Mail-Adresse, und der Benutzername und das Passwort werden an Ihre E-Mail-Adresse gesendet. Das Schöne ist, dass das Opfer nicht einmal weiß, was passiert ist.

Soziale Entwicklung– eine Methode, um Zugriff auf vertrauliche Informationen, Passwörter, Banking- und andere geschützte Daten und Systeme zu erhalten.
Cyberkriminelle nutzen Social Engineering, um gezielte Angriffe (Angriffe auf die Infrastruktur von Unternehmen oder Behörden) durchzuführen. Sie studieren die Abwehrmaßnahmen der Organisation im Voraus sorgfältig.

Veröffentlichung dieses Artikels auf dem Portal www. Weder die Herausgeber der Website noch der Autor des Artikels sind für die missbräuchliche Verwendung der aus dem Artikel erhaltenen Informationen verantwortlich!

Soziale Entwicklung

Social Engineering gilt als die gefährlichste und destruktivste Angriffsart auf Organisationen. Aber leider auf Konferenzen weiter Informationssicherheit Diesem Thema wird praktisch keine Beachtung geschenkt.

Gleichzeitig stammen die meisten Fälle im russischsprachigen Teil des Internets aus ausländischen Quellen und Büchern. Ich sage nicht, dass es in RuNet nur wenige solcher Fälle gibt, aber aus irgendeinem Grund wird nicht darüber gesprochen. Ich beschloss, herauszufinden, wie gefährlich Social Engineering wirklich ist, und abzuschätzen, welche Folgen sein Masseneinsatz haben könnte.

Social Engineering in der Informationssicherheit und beim Pentesting ist in der Regel mit einem gezielten Angriff auf eine bestimmte Organisation verbunden. In dieser Fallsammlung möchte ich einige Beispiele für den Einsatz von Social Engineering betrachten, bei denen „Angriffe“ massenhaft (wahllos) oder massenhaft (auf Organisationen in einem bestimmten Bereich) durchgeführt wurden.

Lassen Sie uns die Konzepte definieren, damit jeder verstehen kann, was ich meine. In dem Artikel werde ich den Begriff „Social Engineering“ in folgender Bedeutung verwenden: „eine Reihe von Methoden zur Erreichung eines Ziels, die auf der Nutzung menschlicher Schwächen basieren.“ Es ist nicht immer etwas Kriminelles, aber es hat durchaus eine negative Konnotation und wird mit Betrug, Manipulation und Ähnlichem in Verbindung gebracht. Aber alle möglichen psychologischen Tricks, um in einem Geschäft einen Rabatt zu bekommen, sind kein Social Engineering.

In diesem Bereich werde ich nur als Forscher tätig sein; ich habe keine schädlichen Websites oder Dateien erstellt. Wenn jemand von mir eine E-Mail mit einem Link zu einer Website erhielt, war diese Website sicher. Das Schlimmste, was dort passieren könnte, wäre, dass der Benutzer vom Yandex.Metrica-Zähler verfolgt wird.

Beispiele für Social Engineering

Sie haben wahrscheinlich schon von Spam mit „Zertifikaten über abgeschlossene Arbeiten“ oder Verträgen mit darin eingebetteten Trojanern gehört. Mit solchen Mailings werden Sie Buchhalter nicht überraschen. Oder Popup-Fenster mit „Empfehlungen“ zum Herunterladen eines Plugins zum Ansehen von Videos – das ist schon langweilig. Ich habe einige weniger offensichtliche Szenarien entwickelt und stelle sie hier als Denkanstoß vor. Ich hoffe, dass sie kein Leitfaden zum Handeln werden, sondern im Gegenteil dazu beitragen, das Runet sicherer zu machen.

Verifizierter Absender

Manchmal aktivieren Site-Administratoren aus Versehen die Filterung für das Feld „Name“ im Registrierungsformular nicht (z. B. beim Abonnieren eines Newsletters oder beim Einreichen einer Bewerbung). Anstelle eines Namens können Sie Text (manchmal mehrere Kilobyte Text) und einen Link zu einer schädlichen Website einfügen. Geben Sie im E-Mail-Feld die Adresse des Opfers ein. Nach der Registrierung erhält diese Person einen Brief vom Dienst: „Hallo, mein Lieber ...“ und dann unseren Text und Link. Die Nachricht des Dienstes wird ganz unten angezeigt.

Wie kann daraus eine Massenvernichtungswaffe werden?

Grundschule. Hier ist ein Fall aus meiner Praxis. Im Dezember 2017 entdeckte eine der Suchmaschinen die Möglichkeit, Nachrichten über ein Backup-E-Mail-Verknüpfungsformular zu versenden. Bevor ich im Rahmen des Bug-Bounty-Programms einen Bericht verschickte, war es möglich, 150.000 Nachrichten pro Tag zu versenden – man musste nur das Ausfüllen des Formulars ein wenig automatisieren.

Mit diesem Trick können Sie betrügerische E-Mails von einer echten Website-Adresse des technischen Supports versenden, und zwar mit allen digitale Signaturen, Verschlüsselung usw. Es stellt sich jedoch heraus, dass der gesamte obere Teil von einem Angreifer geschrieben wurde. Auch ich habe solche Briefe erhalten, nicht nur von großen Unternehmen wie booking.com oder paypal.com, sondern auch von weniger bekannten Seiten.

Und hier ist der „Trend“ vom April 2018.

E-Mails von Google Analytics

Ich erzähle Ihnen von einem völlig neuen Fall – vom April 2018. Von der Post Google Analytics An mehreren meiner Adressen traf Spam ein. Nach ein wenig Recherche habe ich herausgefunden, wie es versendet wird.

„Wie wendet man das an?“ - Ich dachte. Und Folgendes kam mir in den Sinn: Ein Betrüger kann beispielsweise einen solchen Text erstellen.

Diese Erfassung von Passwörtern kann nicht nur gezielt, sondern auch massenhaft erfolgen; Sie müssen lediglich den Prozess der Erfassung von Domains aus Google Analytics und der Analyse von E-Mails von diesen Websites leicht automatisieren.

Neugier

Diese Methode, eine Person dazu zu bringen, auf einen Link zu klicken, erfordert einige Vorbereitungen. Es wird eine Website für ein Fake-Unternehmen mit einem eindeutigen Namen erstellt, der sofort Aufmerksamkeit erregt. Nun, zum Beispiel LLC „ZagibaliVigibali“. Wir warten darauf, dass Suchmaschinen es indizieren.

Jetzt haben wir einen Grund, im Namen dieses Unternehmens zu gratulieren. Die Empfänger werden sofort anfangen zu googeln und unsere Website finden. Natürlich ist es besser, die Glückwünsche selbst ungewöhnlich zu gestalten, damit die Empfänger den Brief nicht im Spam-Ordner landen. Nach einem kleinen Test habe ich problemlos über tausend Conversions erzielt.

Gefälschtes Newsletter-Abonnement

Was steht da geschrieben?

Um Leute mit offenen Kommentaren aus einem Forum oder einer Website zu locken, müssen Sie keine verlockenden Texte erfinden – posten Sie einfach ein Bild. Wählen Sie einfach etwas Attraktiveres (eine Art Meme) und drücken Sie es so zusammen, dass der Text nicht mehr zu unterscheiden ist. Neugier führt immer dazu, dass Benutzer auf ein Bild klicken. Im Rahmen meiner Forschung habe ich ein Experiment durchgeführt und auf diese primitive Weise etwa 10.000 Übergänge erhalten. Die gleiche bösartige Methode wurde einst verwendet, um Trojaner über LJ (Live Journal) zu verbreiten.

Was ist Ihr Name?

Einen Benutzer dazu zu bringen, eine Datei oder sogar ein Dokument mit einem Makro zu öffnen, ist nicht so schwierig, auch wenn viele von den damit verbundenen Gefahren gehört haben. Beim Versenden von Massennachrichten erhöht allein schon die Kenntnis des Namens einer Person die Erfolgsaussichten erheblich.

Wir können beispielsweise eine E-Mail mit dem Text „Ist diese E-Mail noch aktiv?“ senden. oder „Bitte geben Sie die Adresse Ihrer Website ein.“ In mindestens 10–20 % der Fälle enthält die Antwort den Namen des Absenders (dies ist bei großen Unternehmen häufiger der Fall). Und nach einiger Zeit schreiben wir „Alena, hallo. Was stimmt mit Ihrer Website nicht (Foto im Anhang)?“ Oder „Boris, guten Tag. Ich komme mit der Preisliste nicht klar. Ich brauche die 24. Position. Ich füge den Preis hinzu. Nun, in der Preisliste steht ein banaler Satz „Um den Inhalt anzuzeigen, aktivieren Sie Makros ...“, mit allen daraus resultierenden Konsequenzen.

Im Allgemeinen werden persönlich adressierte Nachrichten um eine Größenordnung häufiger geöffnet und verarbeitet.

Massenintelligenz

Dieses Szenario ist weniger ein Angriff als vielmehr eine Vorbereitung darauf. Angenommen, wir möchten den Namen eines wichtigen Mitarbeiters herausfinden – zum Beispiel eines Buchhalters oder des Leiters des Sicherheitsdienstes. Dies geht ganz einfach, wenn Sie einem der Mitarbeiter, die möglicherweise über diese Informationen verfügen, einen Brief mit folgendem Inhalt schicken: „Bitte nennen Sie mir den zweiten Vornamen des Direktors und den Büroarbeitsplan.“ Wir müssen einen Kurier schicken.

Wir bitten um Arbeitszeiten, um unsere Augen zu bedecken, aber nach einem zweiten Vornamen zu fragen ist ein Trick, der es uns ermöglicht, nicht zu verraten, dass wir unseren Vor- und Nachnamen nicht kennen. Beides wird höchstwahrscheinlich in der Antwort des Opfers enthalten sein: Der vollständige Name wird meistens vollständig geschrieben. Im Rahmen meiner Recherchen konnte ich auf diese Weise die Namen von mehr als zweitausend Regisseuren zusammentragen.

Wenn Sie die E-Mail-Adresse Ihres Chefs herausfinden möchten, können Sie getrost an die Sekretärin schreiben: „Hallo. Ich habe lange nicht mit Andrey Borisovich gesprochen. Funktioniert seine Adresse noch? Und dann habe ich keine Antwort von ihm erhalten. Roman Gennadijewitsch. Die Sekretärin sieht eine E-Mail, die auf dem echten Namen des Direktors basiert und die Website des Unternehmens enthält, und gibt Andrei Borisovichs echte Adresse an.

In diesem Artikel widmen wir uns dem Konzept des „Social Engineering“. Hier werfen wir einen Blick auf die allgemeinen und erfahren, wer der Begründer dieses Konzepts war. Lassen Sie uns separat über die wichtigsten Social-Engineering-Methoden sprechen, die von Angreifern verwendet werden.

Einführung

Es bilden sich Methoden, die es ermöglichen, menschliches Verhalten zu korrigieren und seine Aktivitäten ohne den Einsatz technischer Werkzeuge zu steuern allgemeines Konzept soziale Entwicklung. Alle Methoden basieren auf der Aussage, dass der menschliche Faktor die destruktivste Schwäche eines jeden Systems ist. Oft dieses Konzept werden auf der Ebene der illegalen Aktivität betrachtet, durch die der Kriminelle eine Handlung begeht, die darauf abzielt, mit unlauteren Mitteln Informationen vom Subjekt-Opfer zu erhalten. Es könnte zum Beispiel sein bestimmter Typ Manipulation. Allerdings wird Social Engineering auch von Menschen für legitime Aktivitäten genutzt. Heutzutage wird es am häufigsten verwendet, um auf Ressourcen mit geheimen oder wertvollen Informationen zuzugreifen.

Gründer

Der Begründer des Social Engineering ist Kevin Mitnick. Das Konzept selbst stammt jedoch aus der Soziologie. Es bezeichnet eine allgemeine Reihe von Ansätzen, die von angewandten sozialen Medien verwendet werden. Die Wissenschaften konzentrierten sich auf die Veränderung der Organisationsstruktur, die in der Lage ist, menschliches Verhalten zu bestimmen und Kontrolle darüber auszuüben. Kevin Mitnick kann als Begründer dieser Wissenschaft angesehen werden, da er es war, der die sozialen Medien populär machte. Ingenieurwesen im ersten Jahrzehnt des 21. Jahrhunderts. Kevin selbst war zuvor ein Hacker, der es auf verschiedenste Datenbanken abgesehen hatte. Er argumentierte, dass der menschliche Faktor der verwundbarste Punkt eines Systems sei, unabhängig von seiner Komplexität und Organisation.

Wenn wir über Social-Engineering-Methoden sprechen, um (meist illegale) Rechte zur Nutzung vertraulicher Daten zu erlangen, dann können wir sagen, dass sie schon seit sehr langer Zeit bekannt sind. Es war jedoch K. Mitnik, der die Bedeutung ihrer Bedeutung und Anwendungsmerkmale vermitteln konnte.

Phishing und nicht vorhandene Links

Jede Social-Engineering-Technik basiert auf dem Vorhandensein kognitiver Verzerrungen. Verhaltensfehler werden in den Händen eines erfahrenen Ingenieurs zu einer „Waffe“, die in Zukunft einen Angriff starten kann, der darauf abzielt, an wichtige Daten zu gelangen. Zu den Social-Engineering-Methoden zählen Phishing und nicht vorhandene Links.

Beim Phishing handelt es sich um einen Internetbetrug, der darauf abzielt, an persönliche Informationen wie Login und Passwort zu gelangen.

Nicht vorhandener Link – die Verwendung eines Links, der den Empfänger mit bestimmten Vorteilen lockt, die durch Anklicken und Besuch einer bestimmten Website erzielt werden können. Am häufigsten verwendete Namen große Firmen und nahm subtile Anpassungen an ihren Namen vor. Durch Anklicken des Links gibt das Opfer „freiwillig“ seine personenbezogenen Daten an den Angreifer weiter.

Methoden, die Marken, fehlerhafte Antivirenprogramme und betrügerische Lotterien nutzen

Social Engineering nutzt auch Betrugsmethoden mit bekannten Marken, fehlerhaften Antivirenprogrammen und gefälschten Lotterien.

„Betrug und Marken“ ist eine Täuschungsmethode, die ebenfalls in den Bereich Phishing fällt. Dazu gehören E-Mails und Websites, die den Namen eines großen und/oder „beworbenen“ Unternehmens enthalten. Von ihren Seiten werden Nachrichten gesendet, die Sie über Ihren Sieg in einem bestimmten Wettbewerb informieren. Als nächstes müssen Sie wichtige Daten eingeben Konto und ihr Diebstahl. Auch diese Form Betrügereien können über das Telefon durchgeführt werden.

Bei einer gefälschten Lotterie handelt es sich um eine Methode, bei der dem Opfer eine Nachricht mit einer Textnachricht zugesandt wird, aus der hervorgeht, dass es im Lotto gewonnen hat. Meistens werden die Meldungen mit den Namen großer Unternehmen verschleiert.

Falsche Antivirenprogramme sind Softwarebetrug. Es verwendet Programme, die wie Antivirenprogramme aussehen. In Wirklichkeit führen sie jedoch zur Generierung falscher Benachrichtigungen über eine bestimmte Bedrohung. Sie versuchen auch, Benutzer für den Transaktionsbereich zu gewinnen.

Vishing, Phreaking und Vorwand

Wenn es um Social Engineering für Einsteiger geht, sind auch Vishing, Phreaking und Pretexting erwähnenswert.

Vishing ist eine Form der Täuschung, die nutzt Telefonnetze. Dabei werden vorab aufgezeichnete Daten verwendet Sprachnachricht, dessen Zweck darin besteht, den „offiziellen Anruf“ einer Bankstruktur oder eines anderen IVR-Systems nachzubilden. Am häufigsten werden Sie aufgefordert, einen Benutzernamen und/oder ein Passwort einzugeben, um Informationen zu bestätigen. Mit anderen Worten: Das System verlangt vom Benutzer, dass er sich mit PIN-Codes oder Passwörtern authentifiziert.

Phreaking ist eine weitere Form der Telefontäuschung. Es handelt sich um ein Hacking-System, das Tonmanipulation und Tonwahl nutzt.

Vorwand ist ein Angriff, der einen vorab durchdachten Plan nutzt, dessen Kern darin besteht, ihn einem anderen Subjekt vorzustellen. Eine äußerst schwierige Täuschungsmethode, da sie eine sorgfältige Vorbereitung erfordert.

Quid-pro-quo und die „Road-Apple“-Methode

Die Theorie des Social Engineering ist eine vielschichtige Datenbank, die sowohl Methoden der Täuschung und Manipulation als auch Möglichkeiten zu deren Bekämpfung umfasst. Die Hauptaufgabe von Angreifern besteht in der Regel darin, wertvolle Informationen zu extrahieren.

Zu den anderen Arten von Betrügereien gehören: Gegenleistung, die „Road-Apple“-Methode, Schultersurfen, die Nutzung offener Quellen und umgekehrte soziale Medien. Maschinenbau.

Quid-pro-quo (aus dem Lateinischen – „dies dafür“) ist ein Versuch, einem Unternehmen oder einer Firma Informationen zu entlocken. Dies geschieht durch Kontaktaufnahme per Telefon oder durch das Versenden von Nachrichten per E-Mail. Am häufigsten stellen sich Angreifer als technisches Personal vor. Unterstützung, die das Vorliegen eines spezifischen Problems am Arbeitsplatz des Mitarbeiters meldet. Sie schlagen außerdem Möglichkeiten zur Beseitigung vor, beispielsweise durch die Etablierung Software. Die Software erweist sich als fehlerhaft und trägt zur Förderung des Verbrechens bei.

Road Apple ist eine Angriffsmethode, die auf der Idee eines Trojanischen Pferdes basiert. Sein Wesen liegt in der Nutzung physischer Medien und der Substitution von Informationen. Sie können beispielsweise eine Speicherkarte mit einem bestimmten „Gut“ versehen, das die Aufmerksamkeit des Opfers erregt, es dazu bringt, die Datei zu öffnen und zu verwenden oder den in den Flash-Laufwerksdokumenten angegebenen Links zu folgen. Das „Road Apple“-Objekt wird an sozialen Orten abgelegt und wartet, bis eine Entität den Plan des Angreifers umsetzt.

Das Sammeln und Suchen von Informationen aus offenen Quellen ist ein Betrug, bei dem die Datenbeschaffung auf psychologischen Methoden, der Fähigkeit, Kleinigkeiten zu bemerken und der Analyse verfügbarer Daten, beispielsweise Seiten aus einem sozialen Netzwerk, basiert. Das ist genug neuer Weg soziale Entwicklung.

Schultersurfen und Reverse Social. Maschinenbau

Das Konzept des „Schultersurfens“ definiert sich als buchstäbliches Live-Beobachten eines Motivs. Bei dieser Art des Data Mining geht der Angreifer an öffentliche Orte, beispielsweise ein Café, einen Flughafen, einen Bahnhof, und überwacht dort Menschen.

Diese Methode sollte nicht unterschätzt werden, da viele Umfragen und Studien zeigen, dass ein aufmerksamer Mensch allein durch seine Beobachtung viele vertrauliche Informationen erhalten kann.

Social Engineering (als eine Ebene des soziologischen Wissens) ist ein Mittel zur „Erfassung“ von Daten. Es gibt Möglichkeiten, an Daten zu gelangen, bei denen das Opfer selbst dem Angreifer die notwendigen Informationen anbietet. Es kann jedoch auch zum Wohle der Gesellschaft dienen.

Umgekehrt sozial Ingenieurwesen ist eine weitere Methode dieser Wissenschaft. Die Verwendung dieses Begriffs ist in dem oben erwähnten Fall angemessen: Das Opfer selbst wird dem Angreifer die notwendigen Informationen anbieten. Diese Aussage sollte nicht als absurd angesehen werden. Tatsache ist, dass Personen, die in bestimmten Tätigkeitsbereichen über Befugnisse verfügen, häufig nach eigenem Ermessen Zugriff auf Identifikationsdaten erhalten. Die Basis hier ist Vertrauen.

Wichtig zu beachten! Support-Mitarbeiter werden den Benutzer beispielsweise niemals nach einem Passwort fragen.

Bewusstsein und Schutz

Das Social-Engineering-Training kann von einer Einzelperson sowohl auf der Grundlage persönlicher Initiative als auch auf der Grundlage von Handbüchern durchgeführt werden, die in speziellen Schulungsprogrammen verwendet werden.

Kriminelle können eine Vielzahl von Arten der Täuschung anwenden, die von Manipulation bis hin zu Faulheit, Leichtgläubigkeit, Freundlichkeit des Benutzers usw. reichen. Es ist äußerst schwierig, sich vor dieser Art von Angriff zu schützen, was darauf zurückzuführen ist, dass das Opfer sich dessen nicht bewusst ist ) wurde getäuscht. Um ihre Daten bei diesem Gefahrenniveau zu schützen, prüfen verschiedene Firmen und Unternehmen häufig allgemeine Informationen. Anschließend werden die notwendigen Schutzmaßnahmen in die Sicherheitsrichtlinie integriert.

Beispiele

Ein Beispiel für Social Engineering (sein Akt) im Bereich globaler Phishing-Mailings ist ein Ereignis aus dem Jahr 2003. Im Rahmen dieses Betrugs wurden eBay-Benutzer E-Mails an folgende Adresse gesendet: E-mailadressen. Sie behaupteten, dass ihnen gehörende Konten gesperrt worden seien. Um die Sperrung aufzuheben, mussten Sie Ihre Kontoinformationen erneut eingeben. Die Briefe waren jedoch gefälscht. Sie haben auf eine Seite weitergeleitet, die mit der offiziellen identisch, aber gefälscht ist. Nach Schätzungen von Experten war der Verlust nicht allzu groß (weniger als eine Million Dollar).

Definition von Verantwortung

In manchen Fällen kann Social Engineering strafbar sein. In einer Reihe von Ländern, beispielsweise in den Vereinigten Staaten, wird Pretexting (Täuschung durch Vortäuschen einer anderen Person) mit einer Verletzung der Privatsphäre gleichgesetzt. Dies kann jedoch strafbar sein, wenn die bei der Vortäuschung erlangten Informationen aus Sicht des Subjekts oder der Organisation vertraulich waren. Aufzeichnen Telefongespräch(als Methode des Social Engineering) ist ebenfalls gesetzlich vorgesehen und erfordert die Zahlung einer Geldstrafe von 250.000 US-Dollar oder eine Freiheitsstrafe von bis zu zehn Jahren für Einzelpersonen. Personen Unternehmen müssen 500.000 US-Dollar zahlen; die Frist bleibt gleich.

Soziale Entwicklung — Unbefugter Zugriff auf vertrauliche Informationen durch Manipulation des Bewusstseins einer Person. Social-Engineering-Methoden basieren auf den Besonderheiten der Psychologie und zielen darauf ab, menschliche Schwächen (Naivität, Unaufmerksamkeit, Neugier, kommerzielle Interessen) auszunutzen. Sie werden von Social Hackern sowohl im Internet als auch außerhalb aktiv genutzt.

Allerdings bzgl digitale Technologien, Webressourcen, Computer, Smartphones – der „Brain Fog“ der Netzwerknutzer entsteht auf etwas andere Weise. Betrüger platzieren „Snares“, „Fallen“ und andere Tricks überall und egal, in sozialen Netzwerken, auf Spieleportalen, in elektronischen Medien Postfächer und Online-Dienste. Hier nur einige Beispiele für Social-Engineering-Methoden:

Als Weihnachtsgeschenk... ein Trojanisches Pferd

Unabhängig von Charakter, Beruf oder Zahlungsfähigkeit freut sich jeder auf die Feiertage: Neues Jahr, 1. Mai, 8. März, Valentinstag usw., um sie natürlich zu feiern, zu entspannen, Ihre spirituelle Aura mit Positivität zu füllen und gleichzeitig Glückwünsche mit Ihren Freunden und Kameraden auszutauschen.

Derzeit sind Social Hacker besonders aktiv. An Vor- und Feiertagen versenden sie auf Konten Postdienst Postkarten: bunt, bunt, mit Musik und... gefährlicher Virus Trojaner Das Opfer, das von einer solchen Täuschung nichts weiß, in der Euphorie des Spaßes oder einfach nur der Neugier ist, klickt auf die Postkarte. Im selben Moment infiziert die Malware das Betriebssystem und wartet dann auf den richtigen Moment, um Registrierungsdaten und Telefonnummer zu stehlen Zahlungskarte oder ersetzen Sie die Webseite des Online-Shops in Ihrem Browser durch eine gefälschte und stehlen Sie Geld von Ihrem Konto.

Günstiger Rabatt und „virengeladen“

Ein großartiges Beispiel für Social Engineering. Der Wunsch, Ihr hart verdientes Geld zu „sparen“, ist völlig berechtigt und verständlich, jedoch in vertretbaren Grenzen und unter bestimmten Umständen. Es geht um „Es ist nicht alles Gold, was glänzt.“

Betrüger bieten unter dem Deckmantel der größten Marken, Online-Shops und -Dienste in entsprechendem Design den Kauf von Waren mit einem unglaublichen Rabatt an und erhalten zusätzlich zum Kauf ein Geschenk... Sie erstellen gefälschte Newsletter, gründen Gruppen in sozialen Netzwerken und thematische „Threads“ in Foren.

Naive Normalbürger lassen sich, wie sie sagen, von diesem bunten Werbeplakat „leiten“: In Eile zählen sie im Kopf, wie viel von ihrem Gehalt, ihrer Vorauszahlung noch übrig ist und klicken auf den Link „Kaufen“, „zur Website gehen“. kaufen“ usw. Danach erhalten sie in 99 von 100 Fällen statt eines gewinnbringenden Kaufs einen Virus auf ihrem PC oder senden kostenlos Geld an Social Hacker.

Spielerspende +300 % für Diebstahlfähigkeiten

In Online-Spielen und in Multiplayer-Spielen im Allgemeinen überleben mit seltenen Ausnahmen die Stärksten: diejenigen, die über eine stärkere Rüstung, mehr Schaden, stärkere Magie, mehr Gesundheit, Mana usw. verfügen.

Und natürlich möchte jeder Spieler um jeden Preis diese wertvollen Artefakte für seinen Charakter, seinen Panzer, sein Flugzeug und wer weiß was sonst noch bekommen. In Schlachten oder auf Kampagnen, mit eigenen Händen oder gegen echtes Geld (Spendenfunktion) im virtuellen Store des Spiels. Der Beste sein, der Erste... die letzte Entwicklungsstufe erreichen.

Betrüger wissen um diese „Spielerschwächen“ und verleiten Spieler auf jede erdenkliche Weise dazu, wertvolle Artefakte und Fähigkeiten zu erwerben. Manchmal gegen Geld, manchmal kostenlos, aber das ändert nichts am Wesen und Zweck des schurkischen Plans. Verlockende Angebote auf gefälschten Websites klingen etwa so: „Laden Sie diese Anwendung herunter“, „Installieren Sie den Patch“, „Um einen Gegenstand zu erhalten, gehen Sie zum Spiel“.

Als Gegenleistung für den lang erwarteten Bonus wird das Konto des Spielers gestohlen. Wenn es gut gepumpt ist, verkaufen die Diebe es oder extrahieren daraus Zahlungsinformationen (falls vorhanden).

Malware + Social Engineering = explosive Mischung aus Betrug

Achtung Symbole!

Viele Benutzer bedienen die Maus im Betriebssystem auf „Autopilot“: Klicken Sie hier, hier; entdeckte dies, das, das. Selten nimmt einer von ihnen einen genaueren Blick auf die Art der Dateien, ihr Volumen und ihre Eigenschaften. Aber vergeblich. Hacker tarnen ausführbare Malware-Dateien als normale Dateien Windows-Ordner, Bilder oder vertrauenswürdige Anwendungen, d. h. äußerlich, optisch kann man sie nicht unterscheiden. Der Benutzer klickt auf den Ordner, sein Inhalt wird natürlich nicht geöffnet, da es sich überhaupt nicht um einen Ordner handelt, sondern um ein Vireninstallationsprogramm mit der Erweiterung .exe. Und die Malware dringt „heimlich“ in das Betriebssystem ein.

Das sichere „Gegenmittel“ gegen solche Tricks ist Dateimanager Totaler Kommandant. Im Gegensatz zu integrierten Windows Explorer, werden alle Details der Datei angezeigt: Typ, Volume, Erstellungsdatum. Die größte potenzielle Gefahr für das System sind unbekannte Dateien mit den Erweiterungen: „.scr“, „.vbs“, „.bat“, „.exe“.

Angst schürt Vertrauen

1. Пользователь открывает «сайт-страшилку», и ему тут же сообщают пренеприятнейшую новость, или даже новости: «ваш ПК заражён опаснейшим трояном», «в вашей ОС обнаружено 10, 20... 30 вирусов», «с вашего компьютера рассылается спам» usw.
2. Und sie bieten sofort an (zeigen Sie „Besorgnis“), ein Antivirenprogramm zu installieren und so das auf der Website geäußerte Sicherheitsproblem zu lösen. Und das Wichtigste: völlig kostenlos.
3. Wenn ein Besucher Angst um seinen PC hat, folgt er dem Link und lädt ... kein Antivirenprogramm herunter, sondern ein falsches Antivirenprogramm – eine Fälschung voller Viren. Installationen und Starts – die Konsequenzen sind angemessen.

• Erstens kann eine Website den PC eines Besuchers nicht sofort scannen und Malware identifizieren.
• Zweitens vertreiben Entwickler ihre Antivirenprogramme, egal ob kostenpflichtig oder kostenlos, über ihre eigenen, also offiziellen Websites.
• Und drittens: Wenn Zweifel und Befürchtungen bestehen, ob das Betriebssystem „sauber“ ist oder nicht, ist es besser, dies zu überprüfen Systempartition, mit dem, was verfügbar ist, also dem installierten Antivirenprogramm.

Zusammenfassen

Psychologie und Hacking gehen heute Hand in Hand – ein Tandem aus der Ausnutzung menschlicher Schwächen und Software-Schwachstellen. Wenn Sie im Internet unterwegs sind, an Feiertagen und an Wochentagen, tagsüber oder nachts und ganz gleich in welcher Stimmung Sie sind, müssen Sie wachsam sein, Naivität unterdrücken und den Drang nach kommerziellem Gewinn und etwas „Kostenlosem“ vertreiben. Denn wie Sie wissen, gibt es nur Käse umsonst und nur in der Mausefalle. Erstellen Sie nur Passwörter, bewahren Sie diese an Orten auf und bleiben Sie bei uns, denn wie wir wissen, gibt es nicht zu viel Sicherheit.

Cyberkriminelle, die Social-Engineering-Techniken nutzen, haben in den letzten Jahren fortschrittlichere Methoden übernommen, die die Wahrscheinlichkeit erhöhen, Zugriff darauf zu erhalten notwendige Informationen, unter Verwendung der modernen Psychologie von Unternehmensmitarbeitern und Menschen im Allgemeinen. Der erste Schritt, um dieser Art von Trick entgegenzuwirken, besteht darin, die Taktiken der Angreifer selbst zu verstehen. Schauen wir uns acht Hauptansätze des Social Engineering an.

Einführung

In den 90er Jahren wurde das Konzept des „Social Engineering“ von Kevin Mitnick geprägt, einer Ikone auf dem Gebiet der Informationssicherheit und ehemaligen ernsthaften Hacker. Allerdings nutzten Angreifer solche Methoden schon lange bevor der Begriff selbst auftauchte. Experten sind davon überzeugt, dass die Taktik moderner Cyberkrimineller mit der Verfolgung zweier Ziele verknüpft ist: dem Diebstahl von Passwörtern und der Installation von Schadsoftware.

Angreifer versuchen, Social Engineering über Telefon, E-Mail und das Internet zu nutzen. Machen wir uns mit den wichtigsten Methoden vertraut, die Kriminellen helfen, an das zu kommen, was sie brauchen. vertrauliche Informationen.

Taktik 1. Die Theorie des zehn Händedrucks

Das Hauptziel eines Angreifers, der ein Telefon für Social Engineering nutzt, besteht darin, sein Opfer von einem von zwei Dingen zu überzeugen:

1. Das Opfer erhält einen Anruf von einem Mitarbeiter des Unternehmens;
2. Ein Vertreter einer autorisierten Stelle (z. B. ein Strafverfolgungsbeamter oder ein Wirtschaftsprüfer) ruft an.

Stellt sich ein Krimineller die Aufgabe, Daten über einen bestimmten Mitarbeiter zu sammeln, kann er sich zunächst an seine Kollegen wenden und auf jede erdenkliche Weise versuchen, an die benötigten Daten zu kommen.

Erinnern Sie sich an die alte Theorie des sechs Händedrucks? Nun, Sicherheitsexperten sagen, dass es zwischen einem Cyberkriminellen und seinem Opfer nur zehn „Handshakes“ geben kann. Experten glauben das moderne Verhältnisse Sie müssen immer ein wenig Paranoia haben, da Sie nicht wissen, was dieser oder jener Mitarbeiter von Ihnen will.

Angreifer zielen in der Regel auf eine Sekretärin (oder jemanden in einer ähnlichen Position) ab, um Informationen über Personen weiter oben in der Hierarchie zu sammeln. Experten weisen darauf hin, dass ein freundlicher Umgangston Betrügern sehr hilft. Langsam aber sicher schnappen sich Kriminelle den Schlüssel zu Ihnen, was bald dazu führt, dass Sie Informationen preisgeben, die Sie vorher nie preisgegeben hätten.

Taktik 2. Unternehmenssprache lernen

Wie Sie wissen, hat jede Branche ihre eigenen spezifischen Formulierungen. Die Aufgabe eines Angreifers, der versucht, an die erforderlichen Informationen zu gelangen, besteht darin, die Funktionen einer solchen Sprache zu untersuchen, um Social-Engineering-Techniken geschickter einsetzen zu können.

Alle Besonderheiten liegen im Studium der Unternehmenssprache, ihrer Begriffe und Merkmale. Wenn ein Cyberkrimineller für seine Zwecke eine vertraute, vertraute und verständliche Sprache spricht, wird er leichter Vertrauen gewinnen und in der Lage sein, schnell an die benötigten Informationen zu gelangen.

Taktik 3: Leihen Sie sich Musik aus, um Anrufe während eines Anrufs in der Warteschleife zu halten

Um einen erfolgreichen Angriff durchzuführen, benötigen Betrüger drei Komponenten: Zeit, Ausdauer und Geduld. Häufig werden Cyberangriffe mittels Social Engineering langsam und methodisch durchgeführt – dabei werden nicht nur Daten über die richtigen Personen, sondern auch sogenannte „Social Signals“ erfasst. Dies geschieht, um Vertrauen zu gewinnen und das Ziel zu täuschen. Beispielsweise können Angreifer die Person, mit der sie kommunizieren, davon überzeugen, dass es sich um Kollegen handelt.

Ein Merkmal dieses Ansatzes ist die Aufzeichnung von Musik, die das Unternehmen während der Anrufe verwendet, während der Anrufer auf eine Antwort wartet. Der Kriminelle wartet zunächst auf solche Musik, nimmt sie dann auf und nutzt sie dann zu seinem Vorteil.

Wenn also ein direkter Dialog mit dem Opfer stattfindet, sagen die Angreifer irgendwann: „Moment mal, da ist ein Anruf auf der anderen Leitung.“ Dann hört das Opfer vertraute Musik und hat keinen Zweifel daran, dass der Anrufer ein bestimmtes Unternehmen vertritt. Im Grunde handelt es sich lediglich um einen cleveren psychologischen Trick.

Taktik 4. Spoofing (Ersetzung) einer Telefonnummer

Kriminelle nutzen häufig Spoofing Telefonnummern, was ihnen hilft, die Nummer des Anrufers zu fälschen. Beispielsweise sitzt ein Angreifer möglicherweise in seiner Wohnung und ruft eine Person von Interesse an, in der Anrufer-ID wird jedoch eine firmeneigene Nummer angezeigt, sodass die Illusion entsteht, dass der Betrüger über eine Unternehmensnummer anruft.

Natürlich geben ahnungslose Mitarbeiter in den meisten Fällen vertrauliche Informationen, einschließlich Passwörter, an den Anrufer weiter, wenn die Anrufer-ID zu ihrem Unternehmen gehört. Dieser Ansatz hilft Kriminellen auch, der Nachverfolgung zu entgehen, denn wenn Sie unter dieser Nummer zurückrufen, werden Sie zur internen Leitung des Unternehmens weitergeleitet.

Taktik 5: Die Nachrichten gegen sich nutzen

Unabhängig von den aktuellen Schlagzeilen nutzen Angreifer diese Informationen als Köder für Spam, Phishing und andere betrügerische Aktivitäten. Kein Wunder, dass Experten in letzter Zeit einen Anstieg der Zahl von Spam-E-Mails feststellen, deren Themen sich auf Präsidentschaftswahlkämpfe und Wirtschaftskrisen beziehen.

Ein Beispiel wäre ein Phishing-Angriff auf eine Bank. In der E-Mail steht etwa Folgendes:

„Eine andere Bank [Name der Bank] übernimmt Ihre Bank [Name der Bank]. Klicken Sie auf diesen Link, um sicherzustellen, dass Ihre Bankdaten bis zum Abschluss des Geschäfts aktualisiert sind.

Dies ist natürlich ein Versuch, an Informationen zu gelangen, mit denen sich Betrüger in Ihr Konto einloggen, Ihr Geld stehlen oder Ihre Daten an Dritte verkaufen können.

Taktik 6: Nutzen Sie das Vertrauen in soziale Plattformen

Es ist kein Geheimnis, dass Facebook, Myspace und LinkedIn äußerst beliebte Social-Networking-Sites sind. Laut Expertenforschung neigen Menschen dazu, solchen Plattformen zu vertrauen. Ein aktueller Spear-Phishing-Vorfall gegen LinkedIn-Nutzer stützt diese Theorie.

Daher vertrauen viele Benutzer einer E-Mail, wenn sie angeblich von Facebook stammt. Eine gängige Technik besteht darin, zu behaupten, dass das soziale Netzwerk aktiv sei technischer Service, müssen Sie „hier klicken“, um die Informationen zu aktualisieren. Aus diesem Grund empfehlen Experten, dass Unternehmensmitarbeiter Webadressen manuell eingeben, um Phishing-Links zu vermeiden.

Beachten Sie auch, dass Websites in sehr seltenen Fällen Benutzer dazu auffordern, ihr Passwort zu ändern oder ihr Konto zu aktualisieren.

Taktik 7. Typesquatting

Diese Schadtechnik zeichnet sich dadurch aus, dass Angreifer den Faktor Mensch ausnutzen, nämlich Fehler bei der URL-Eingabe Adressleiste. So kann der Benutzer bereits durch den Fehler eines einzigen Buchstabens auf eine von Angreifern speziell für diesen Zweck erstellte Website gelangen.

Cyberkriminelle bereiten den Boden für Tippfehler sorgfältig vor, damit ihre Website genau der legitimen Website entspricht, die Sie ursprünglich besuchen wollten. Wenn Sie also Ihre Webadresse falsch schreiben, landen Sie auf einer Kopie einer legitimen Website, deren Zweck entweder darin besteht, etwas zu verkaufen, Daten zu stehlen oder Malware zu verbreiten.

Taktik 8. FUD nutzen, um den Aktienmarkt zu beeinflussen

FUD ist eine Taktik der psychologischen Manipulation, die im Marketing und in der Propaganda im Allgemeinen eingesetzt wird und darin besteht, Informationen über etwas (insbesondere ein Produkt oder eine Organisation) so zu präsentieren, dass beim Publikum Unsicherheit und Zweifel an seinen Eigenschaften und damit der Ursache gesät werden Angst davor.

Nach neuesten Untersuchungen von Avert können die Sicherheit und Schwachstellen von Produkten und sogar ganzen Unternehmen Auswirkungen auf den Aktienmarkt haben. Forscher haben beispielsweise die Auswirkungen von Ereignissen wie dem Microsoft Patch Tuesday auf die Aktien des Unternehmens untersucht und dabei jeden Monat nach der Veröffentlichung von Informationen über Schwachstellen eine spürbare Schwankung festgestellt.

Sie können sich auch daran erinnern, wie Angreifer im Jahr 2008 falsche Informationen über den Gesundheitszustand von Steve Jobs verbreiteten, was zu einem starken Rückgang der Apple-Aktien führte. Dies ist das typischste Beispiel dafür, dass FUD für böswillige Zwecke verwendet wird.

Darüber hinaus ist die Verwendung erwähnenswert Email die „Pump-and-Dump“-Technik umzusetzen (ein Schema zur Manipulation des Wechselkurses an der Börse oder am Kryptowährungsmarkt mit anschließendem Zusammenbruch). In diesem Fall können Angreifer senden E-Mails und beschrieb damit das erstaunliche Potenzial der im Vorfeld aufgekauften Aktien.

Daher werden viele versuchen, diese Aktien so schnell wie möglich aufzukaufen, und der Preis wird steigen.

Schlussfolgerungen

Cyberkriminelle sind beim Einsatz von Social Engineering oft äußerst kreativ. Nachdem wir uns mit ihren Methoden vertraut gemacht haben, können wir den Schluss ziehen, dass verschiedene psychologische Tricks den Angreifern sehr dabei helfen, ihre Ziele zu erreichen. Auf dieser Grundlage sollten Sie auf jede Kleinigkeit achten, die einen Betrüger unabsichtlich enthüllen könnte, und Informationen über Personen, die Sie kontaktieren, überprüfen und noch einmal überprüfen, insbesondere wenn vertrauliche Informationen besprochen werden.