Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Social Engineering von Sven Vetsch (Disenchant)

Veröffentlicht von:Jonas Brauer Geändert vor über 4 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Social Engineering von Sven Vetsch (Disenchant)"—  Präsentation transkript:

1 Social Engineering von Sven Vetsch (Disenchant)
Sven Vetsch IT-Security

2 Sven Vetsch (Disenchant)
Name: Sven Vetsch Geb. Datum: Wohnort: Frauenfeld (CH) Mehr Infos: Sven Vetsch IT-Security

3 Warum hat Social Engineering Erfolg? Arten von Social Engineering
Inhalt Definition Warum hat Social Engineering Erfolg? Arten von Social Engineering Vorgehen der Social Engineer in sechs Schritten Beispielszenario Schutzmaßnahmen Fragen Sven Vetsch IT-Security

4 Angriff auf IT-Systeme oder Diebstahl von Daten über Menschen
Definition Angriff auf IT-Systeme oder Diebstahl von Daten über Menschen Durch Manipulation von Personen an Informationen kommen Sven Vetsch IT-Security

5 Ziele von Social Engineering
Industriespionage Datendiebstahl Identitätsdiebstahl Sven Vetsch IT-Security

6 Warum hat Social Engineering Erfolg?
Ein Mensch vertraut einer anderen Person bis zu einem bestimmten Punkt. Man unterwirft sich leicht, wenn man merkt, dass ein anderer überlegen ist. Macht alle Soft- und Hardware zur Abwehr von Angriffen unbrauchbar. Die wenigsten Unternehmen und auch Privatpersonen sind sich der Gefahr von Social Engineering bewusst. Sven Vetsch IT-Security

7 Arten von Social Engineering
Computer Based Social Engineering Human Based Social Engineering Reverse Social Engineering Sven Vetsch IT-Security

8 Computer Based Social Engineering
Ohne direkten Kontakt mit dem “Opfer“ Kein “wirkliches“ Social Engineering z.B Popups Phising Sven Vetsch IT-Security

9 Human Based Social Engineering
Direkter “Angriff“ z.B. Sich als andere Person ausgeben und Daten verlangen Durchwühlen von Müll ("dumpster diving„) Gesetzlich erlaubt, da Müll weder Privat noch Eigentum ist. Sven Vetsch IT-Security

10 Reverse Social Engineering
Passive Interaktion Man verursacht ein Problem und ist dann zur Stelle, um es wieder zu lösen. z.B. Wir schleusen einen Virus ein  Wir wollen den Virus entfernen dafür, müssen wir aber das Passwort des Opfers bekommen Sven Vetsch IT-Security

11 Vorgehen der Social Engineer in sechs Schritten
1.) Informieren Informationen über das Ziel der Social Engineering Attacke sammeln Internet Dumpster diving Sven Vetsch IT-Security

12 Vorgehen der Social Engineer in sechs Schritten
2.) Kontakt aufbauen Anrufen Persönlicher Besuch Brief Sven Vetsch IT-Security

13 Vorgehen der Social Engineer in sechs Schritten
3.) Vortäuschung einer Identität In eine andere Rolle schlüpfen In der Unternehmenshierarchie höher gestellte als die Kontaktperson Endanwender Kunde Telefonumfrage Sven Vetsch IT-Security

14 Vorgehen der Social Engineer in sechs Schritten
4.) Zielinformationen erarbeiten Sich durch verschiedene Fragen an die Zielinformationen herantasten Könnte ich als Beispiel einmal ihre ID wissen? Was machen Sie, wenn ein Auftrag hereinkommt? Sven Vetsch IT-Security

15 Vorgehen der Social Engineer in sechs Schritten
5.) Wenn man die Zielinformationen hat Den Kontakt möglichst nicht “verlieren“ Die Kontaktperson darf nicht merken, dass sie sensible Daten an einen Social Engineer weitergegeben hat. Guten Kontakte kann man immer wieder verwenden. Sven Vetsch IT-Security

16 Vorgehen der Social Engineer in sechs Schritten
6.) Informationen Zusammensetzen Die Teilantworten sinnvoll kombinieren Meist hat man nur nach Teilinformationen gefragt bzw. nur solche erhalten. Die erhaltenen Informationen können, auch wenn sie noch so banal scheinen, meist zu sensiblen Informationen kombiniert werden. Etwa fünf unwichtige Informationen ergeben eine sensible. Sven Vetsch IT-Security

17 Vorgehen der Social Engineer in sechs Schritten
Übersicht: Informieren Kontakt aufbauen Vortäuschung einer Identität Zielinformationen erarbeiten Wenn man die Zielinformationen hat Informationen Zusammensetzen Sven Vetsch IT-Security

18 Beispielszenario Gelöschte Userdaten
Situation: Herr Stefan Dau ist in der Buchhaltungsabteilung der Firma VTB tätig. S Roger ist unser Social Engineer, der die Zugangsdaten von Stefan Dau möchte.  R Sven Vetsch IT-Security

19 Beispielszenario Gelöschte Userdaten
Bei VTB klingelt das Telefon: S: Hallo. VTB Buchhaltungsabteilung, Sie sprechen mit Stefan Dau. R: Hallo Stefan, hier ist Roger von der IT-Abteilung. Es ist mir etwas peinlich, aber wir haben ein riesiges Problem. S: Sorry, aber von IT habe ich überhaupt keine Ahnung. Sven Vetsch IT-Security

20 Beispielszenario Gelöschte Userdaten
R: Oh… Nein du hast mich falsch verstanden. Du musst keine Ahnung davon haben, sonst hätten wir hier wohl auch nichts mehr zu tun *g*. Nein jetzt im Ernst, uns ist der Server ausgefallen, mit dem wir alle Passwörter und so weiter wieder herstellen können, wenn diese verloren gehen sollten. S: Ja und was hat das jetzt mit mir zu tun? Sven Vetsch IT-Security

21 Beispielszenario Gelöschte Userdaten
R: Ganz einfach, wir haben durch den Ausfall dieses Servers alle Userdaten verloren und um zu vermeiden, dass die Systeme der User keine Probleme haben, beim nächsten Passwortwechsel, müssen wir diese wieder manuell eintragen. S: Das heisst, du möchtest dafür meine Daten? Sven Vetsch IT-Security

22 Beispielszenario Gelöschte Userdaten
R: Ja das wäre super. S: Tut mir leid Roger, aber ich habe schon soviel gehört von Leuten, die ihre Daten weitergegeben haben und dann Probleme bekommen haben. Somit kann ich dir die Daten leider nicht geben. R: Oh… Naja da wird auch viel übertrieben. Immerhin weißt du, dass du deine Daten nicht jedem geben solltest, ich wünschte alle würden schon so denken. Das Problem ist jetzt nur, das es die einzige Möglichkeit ist, die Verfügbarkeit unseres Servers wieder garantieren zu können. Sven Vetsch IT-Security

23 Beispielszenario Gelöschte Userdaten
S: Phuu… Ja was machen wir denn jetzt? R: Ach kein Problem. Gib mir einfach deine Userdaten und in fünf Minuten ruf ich dich zurück und dann kannst du das Passwort sofort wechseln. Somit hätte ich nicht die Zeit, irgend etwas Böses mit deinen Daten anzustellen. *g* S: Ok das leuchtet ein. Also mein Username ist “Stefanius“ und mein Passwort ist “123456a“. Sven Vetsch IT-Security

24 Beispielszenario Gelöschte Userdaten
R: Ok. Danke Stefan und nur so als Tipp, wähl nachher ein etwas schwierigeres Passwort, denn dieses ist ja nicht wirklich sicher. Aber egal, geht mich ja nichts an. Dann bedanke ich mich für deine Hilfe und wie gesagt, ich ruf dich in zirka fünf Minuten wieder zurück. Tschüss. S: In Ordnung. Tschüss. Sven Vetsch IT-Security

25 Beispielszenario Gelöschte Userdaten
Nun ist wohl klar was passiert. Roger loggt sich sofort mit Stefans Daten ein. Ändert Stefans Passwort Sucht sich in aller Ruhe die Dateien die er möchte. Sven Vetsch IT-Security

26 Analyse Beispielszenario Gelöschte Userdaten
Stefan hat zuerst richtig reagiert und seine Daten nicht an Roger weitergegeben, dann aber einer völlig sinnlosen Idee von Roger zugestimmt. Roger hat auch viel Dinge gesagt, die nicht notwendig waren, jedoch die Stimmung gelockert haben. z.B. „sonst hätten wir hier wohl auch nichts mehr zu tun“ Sven Vetsch IT-Security

27 Schutzmaßnahmen Vergleichen Sie es mit Computerviren
Es gibt immer neue Techniken und man ist davor nie 100%-ig sicher. Der wohl beste Ansatz ist, seine Mitarbeiter entsprechend zu schulen, damit diese in heiklen Situationen richtig reagieren. Sensible Daten nur einem möglichst kleinen Personenkreis zugänglich machen. Ausgedruckte Daten egal welcher Art sollten vor dem wegwerfen immer geschreddert werden. Nun werden zwei weitere Schutzmaßnahmen vorgestellt Sven Vetsch IT-Security

28 Weitere Möglichkeit um sich gegen Social Engineering zu schützen.
Richtlinien Weitere Möglichkeit um sich gegen Social Engineering zu schützen. Für die Mitarbeiter der eigenen Unternehmung Inhalt: Zuständigkeiten festlegen Potentielle Social Engineer vor der Übergabe von Informationen zurückrufen, um eine Standortbestimmung vorzunehmen Einführung einer ID-Card Dokumente mit sensiblem Inhalt einschliessen Sven Vetsch IT-Security

29 Informieren Es reicht nicht die Mitarbeiter nur schriftlich über die Gefahren von Social Engineering zu informieren. Besser sind: Demos Schulungen Videos Plakate Sven Vetsch IT-Security

30 Nun haben Sie Zeit Fragen zu stellen.
Sollte Ihnen später noch Fragen in den Sinn kommen, erreichen Sie mich unter: Sven Vetsch IT-Security

31 Vielen Dank für Ihre Aufmerksamkeit
Sven Vetsch IT-Security

Herunterladen ppt "Social Engineering von Sven Vetsch (Disenchant)"

Ähnliche Präsentationen

Interview mit der Tell Familie

Interview mit der Tell Familie
Gespräch zwischen Onkel julius

Gespräch zwischen Onkel julius
Passwörter.

Passwörter.
Social Engineering – Christian Grafe

Social Engineering – Christian Grafe
Was atmet. Eine Rose. Die Haut. Ein Molekül. Holz

Was atmet. Eine Rose. Die Haut. Ein Molekül. Holz
Aus dem Leben eines Hotline-Mitarbeiters

Aus dem Leben eines Hotline-Mitarbeiters
Aus dem Leben eines Hotline- Mitarbeiters Begriffe: HLM:Hotline-Mitarbeiter DAU:dümmster anzunehmender User.

Aus dem Leben eines Hotline- Mitarbeiters Begriffe: HLM:Hotline-Mitarbeiter DAU:dümmster anzunehmender User.
Ende der Bildschirmpräsentation. Zum Beenden klicken.

Ende der Bildschirmpräsentation. Zum Beenden klicken.
DER GRENZLOSEN KOMMUNIKATION

DER GRENZLOSEN KOMMUNIKATION
Informations-struktur

Informations-struktur
Tipps.

Tipps.
Passwörter.

Passwörter.
Gegen die Liebe ist kein Kraut gewachsen

Gegen die Liebe ist kein Kraut gewachsen
P S Ich werde Dir 3 Fragen stellen, und möchte daß Du diese sofort beantwortest! Du darfst Dir keine Bedenkzeit nehmen, sonder mußt sofort antworten! OK,

P S Ich werde Dir 3 Fragen stellen, und möchte daß Du diese sofort beantwortest! Du darfst Dir keine Bedenkzeit nehmen, sonder mußt sofort antworten! OK,
Kinderrechte Am 20. November 1989 wurde die Kinderrechtskon-vention von den Vereinten Nationen verabschiedet. Die Konvention legt fest welche Rechte Kinder.

Kinderrechte Am 20. November 1989 wurde die Kinderrechtskon-vention von den Vereinten Nationen verabschiedet. Die Konvention legt fest welche Rechte Kinder.
Das MÄNNERMANIFEST (ein für alle Mal!)

Das MÄNNERMANIFEST (ein für alle Mal!)
Der Weg zum Glück von Margitta.

Der Weg zum Glück von Margitta.
Schwierige Situationen meistern ...

Schwierige Situationen meistern ...
Das Problem von Mo.

Das Problem von Mo.
Computational Thinking Online Algorithmen [Was ist es wert, die Zukunft zu kennen?] Kurt Mehlhorn Konstantinos Panagiotou.

Computational Thinking Online Algorithmen [Was ist es wert, die Zukunft zu kennen?] Kurt Mehlhorn Konstantinos Panagiotou.

Ähnliche Präsentationen

Google-Anzeigen