Bedrohliche Social-Engineering-Angriffe gegen Unternehmen und Mitarbeiter: Watering Hole, Piggybacking, Dumster Diving und mehr

Social engineering attacks exploit our human trust, such as our fears, our curiosity, and even our desire to help others. A study shows that 75% of respondents believe that social engineering and phishing attacks pose the greatest threat to cybersecurity in their organization. Cybersecurity threats are evolving. While the number of classic attack methods may decrease , more complex attacks will continue to increase. That's why it's important to stay alert and educate yourself to stay protected.

Carlos Salas, Engineering Manager at NordLayer , shares 10 social engineering techniques hackers can use to target both individuals and businesses. Salas: “Social engineering is one of the easiest ways to get sensitive data, especially if employees aren't trained on how to recognize and combat it. Since every member of the organization is a potential target, such attacks can be prevented with interactive and informative training." Below, the expert shares his expertise on how to avoid potential damage from such attacks.

1. bait

In baiting attacks, false promises are made to arouse the victim's desire or curiosity. Social engineer attackers use "bait" to lure users into a trap to steal their personal information or infect their systems with malware. For example, infected USB memory sticks are left in parking lots or offices to lure people to see what's on them. One should never try to check what is on an unknown USB stick. Anyone who sees such a USB stick lying around should definitely report this to the IT team.

1. pretext

An attacker uses a fake scenario (an excuse) to trick an employee into revealing sensitive information, such as B. Login data for IT systems or personal information about other employees. It is often necessary to learn more about the victim before the attack in order to make the scenario more plausible and gain the victim's trust. If such an attack occurs, the most important thing is to verify the identity of the suspected malicious party, refrain from sharing personal information, and report the incident to the IT team.

1. Watering Hole

In a watering hole attack, the attacker infects an existing website or creates a fake website that imitates an existing website that is commonly used by a certain group of people, such as employees of a company. The goal is to infect the computer of a selected victim and e.g. B. To gain access to the network at the victim's workplace. To protect yourself, only access websites that have HTTPS in the URL code, always update your software, and use malware detection tools.

1. Quid Pro Quo Attack

Quid-pro-quo attacks exploit people's mutual trust. The attackers offer services, help, or other benefits in exchange for information. For example, someone posing as an IT professional might ask for your device's credentials to get it up and running faster. To prevent information leakage, you should verify the identity of the supposed IT expert, question their modus operandi and tools, and use anti-malware software.

1. scareware

Scareware ist eine Form von bösartiger Software, in der Regel ein Pop-up-Fenster, das davor warnt, dass Ihre Sicherheitssoftware veraltet ist oder dass bösartige Software auf Ihrem Computer entdeckt wurde. Sie verleitet die Opfer dazu, bösartige Webseiten zu besuchen oder unbrauchbare Antiviren-Software zu kaufen. Verwenden Sie einen Werbeblocker und ein zuverlässiges Antivirenprogramm und klicken Sie nicht auf fragliche Pop-ups.

1. Tailgating and Piggybacking

Bei Tailgating und Piggybacking verschafft sich ein Angreifer Zugang zu einem gesicherten oder geschützten Bereich. Zum Beispiel könnte eine Person einem Mitarbeiter ins Büro folgen und behaupten, er habe seine Zugangskarte verloren, sich als Reparaturtechniker ausgeben oder mit beiden Händen Kaffeetassen halten und Sie um Hilfe beim Öffnen der Tür bitten.

1. Vishing 

Vishing, auch bekannt als „Voice Phishing“, ist eine Praxis, bei der versucht wird, jemandem über das Telefon Informationen zu entlocken oder ihn zu beeinflussen. Allein im Jahr 2021 haben die US-Amerikaner laut TrueCaller 29.800.000 $ durch Telefonbetrug verloren. Vermeiden Sie es, auf E-Mails oder Nachrichten in den sozialen Medien zu antworten, in denen nach Ihrer Telefonnummer gefragt wird. Denken Sie daran, dass Ihre Kollegen Sie niemals unter Ihrer privaten Telefonnummer anrufen und Sie bitten würden, Geld oder andere sensible Informationen zu übermitteln.

1. Shoulder Surfing

Beim Shoulder Surfing beobachtet der Täter sein ahnungsloses Opfer, während es Passwörter und andere sensible Informationen eingibt. Aber diese Methode muss nicht aus nächster Nähe angewendet werden, indem man dem Opfer buchstäblich über die Schulter schaut. Der Hacker kann sie auch aus der Ferne anwenden, wenn er z. B. ein Fernglas oder eine versteckte Kamera benutzt. Um das Risiko zu minimieren, auf diese Weise ausspioniert zu werden, sollten Sie starke Single-Sign-On-Passwörter, biometrische Anmeldung und die 2-Faktor-Authentifizierung verwenden.

1. Dumpster Diving

Beim Dumpster Diving durchsuchen Angreifer den Müll eines Unternehmens nach Dokumenten mit sensiblen oder vertraulichen Informationen. Verwenden Sie immer einen Aktenvernichter, um einen solchen Verlust von Informationen zu verhindern.

1. Deepfakes

Deepfakes (“deep learning” + “fake”) are manipulated media content in which a person in a real image, audio or video is replaced with the likeness of another person. It is possible to detect deep fakes. Notice if there are shadows on the face or if the eyes are blinking. Voices can also be imitated. So be careful when making phone calls. Does the voice sound like a poor quality recording? Then pay special attention to how letters like F, S, V and Z are pronounced - the software usually still has trouble distinguishing them from background noise.