Skip to main content

2024 | Buch

Social Engineering und Human Hacking

Strategien zur Prävention und Abwehr von Manipulationstechniken in der IT

verfasst von: Erfan Koza, Asiye Öztürk, Michael Willer

Verlag: Springer Berlin Heidelberg

insite
SUCHEN

Über dieses Buch

Entdecken Sie die psychologischen Tricks und Techniken, mit denen Human Hacker Ihre persönlichen Gefühle, Eigenschaften und digitale Verhaltensmuster ausnutzen, um die Informationssicherheit gezielt zu kompromittieren. Dieses Lehrbuch bietet Ihnen einen spielerischen Ansatz, um die Funktionsweise von Social Engineering zu verstehen und sich erfolgreich dagegen zu verteidigen. Erfahren Sie zudem, wie Sie Ihre Wahrnehmung schärfen, Ihre Emotionen kontrollieren und effektive Abwehrstrategien entwickeln können, um Ihre Daten und Ihr Unternehmen vor den Taktiken der Angreifer zu schützen. Ausgestattet mit psychologischen Denkmodellen sowie Abwehrstrategien, werden Sie bereit sein, sich den Herausforderungen des modernen Sicherheitsumfelds zu stellen.

Inhaltsverzeichnis

Frontmatter

White Chapter: Theorie

Frontmatter
Kapitel 1. Ursprung und Chroniken des Human Hacking
Zusammenfassung
Was ist, wenn wir Ihnen erzählen, dass Sie ein Human Hacker sind? Vermutlich werden Sie überrascht sein. Denn die Geschichte des Human Hacking und des Social Engineering ist ein reiches Geflecht, das vermutlich so alt ist wie die Menschheit selbst. Schon in den frühesten Epochen der Zivilisation begannen Menschen nicht nur Werkzeuge aus Stein und Feuer zu schmieden, sondern auch subtile Techniken zu entwickeln, um ihre Mitmenschen zu überzeugen, manipulieren und zu beeinflussen.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 2. Definition: Social Engineering
Zusammenfassung
Setzen wir nun die Betrachtung mit unserem Postulat „Sie sind ein Human Hacker“ fort. Sie gehören nicht zu den Bösen oder zu denjenigen die, nachdem Sie dieses Buch gelesen haben, hinausgehen, um schädliche Absichten zu verfolgen.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 3. Anwendungsgebiet des Social Engineering
Zusammenfassung
Das Anwendungsgebiet, in dem die analogen und digitalen Methoden des Social Engineering zur Infiltration und Kompromittierung von Organisationen und Unternehmen eingesetzt werden, lässt sich verständlicherweise innerhalb der Grenzen einer Organisation sowie an den Grenzen der definierten Schnittstellen zu anderen Organisationen bestimmen.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 4. Psychologische Hintergründe zum Social Engineering
Zusammenfassung
Beim Social Engineering zielt der Human Hacker auf die Emotionen seines Opfers. Der rationale Verstand rückt hierbei oft in den Hintergrund. Die Entscheidungen des Opfers erfolgen gemäß seinem Empfinden. Doch ist es wirklich so einfach? Die Psychologie des Social Engineering ist äußerst vielfältig und komplex, da sie auf mehreren wissenschaftlichen Disziplinen basiert. Um das volle Ausmaß der psychologischen Hintergründe des Social Engineering zu verstehen, müssen wir in der Gesamtheit der Betrachtung die folgenden wissenschaftlichen Aspekte berücksichtigen:
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 5. Arten des Social Engineering
Zusammenfassung
Der menschliche Faktor nimmt eine zentrale Position im Kontext des Social Engineering ein, sowohl direkt (unmittelbar) als auch indirekt (mittelbar). Bei direkter Beteiligung ist der Mensch aktiv an vorsätzlichen Handlungen beteiligt, wie es beispielsweise bei Insider Threats der Fall sein kann.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 6. Wie läuft ein Social Engineering-Angriff ab?
Zusammenfassung
Die Phasen des Social Engineering-Angriffszyklus, wie von Mitnick und Simon [1] klassifiziert, konzentrieren sich primär auf die allgemeinen Schritte und Entwicklungsphasen eines Social Engineering-Angriffs. Diese Phasen dienen als Rahmenwerk, um die psychologischen Mechanismen und den Ablauf eines erfolgreichen Angriffs zu verstehen. Die spezifischen Angriffstaktiken und -techniken, die während eines Social Engineering-Angriffs eingesetzt werden, sind äußerst vielfältig und kontextabhängig.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 7. Evolution des Social Engineering
Zusammenfassung
Die Evolution, als fortwährender Prozess der Anpassung und Veränderung, zeigt deutliche Parallelen zu den Dynamiken im Bereich des Social Engineering. In beiden Kontexten sind erfolgreiche Anpassungen an die Umgebung entscheidend für das Überleben und die Durchsetzung bestimmter Merkmale beziehungsweise Techniken. Im Bereich des Social Engineering ist nicht nur die historische Erprobung von Methoden relevant, sondern auch ihre kontinuierliche Anpassung an eine sich wandelnde Umgebung.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 8. Globale Verteidigungskonzepte
Zusammenfassung
In diesem Kapitel zeigen wir globale Verteidigungskonzepte und -ansätze für Unternehmen im Bereich der präventiven, reaktiven und detektierenden Informationssicherheit. Unsere Fokussierung liegt dabei auf einer ganzheitlichen Präsentation der Verteidigungskonzepte, um unsere Ansätze differenziert und verständlich darzulegen. Ein grundlegendes Verständnis besteht darin, dass die präventiven, reaktiven und detektierenden Konzepte nicht isoliert existieren können.
Erfan Koza, Asiye Öztürk, Michael Willer

Black Chapter: Angriffstechniken

Frontmatter
Kapitel 9. Business Email Compromise (BEC)
Zusammenfassung
Bei Business Email Compromise (BEC) handelt es sich um einen E-Mail-Betrug, bei dem sich Angreifer als Vorgesetzte, Mitarbeiter, Dienstleister, Partner oder Kunden ausgeben mit dem Ziel, geschäftliche Geldtransaktionen auf eigene Konten zu erwirken. Auch die Preisgabe vertraulicher oder sensibler Daten kann Ziel eines BEC-Angriffs sein. Hierfür nutzt der Angreifer in der Regel eine gefälschte E-Mail-Adresse oder greift auf Mail-Spoofing zurück.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 10. Ceo-Fraud | Geschäftsführerbetrug
Zusammenfassung
CEO-Fraud, eine global verbreitete Form des BEC, zeichnet sich dadurch aus, dass Angreifer, wie zuvor erläutert, die Identität eines CEO oder anderer hochrangiger Führungskräfte annehmen. Ihr Ziel ist es, leicht beeinflussbare Mitarbeiter in der Buchhaltung dazu zu verleiten, Überweisungen von teilweise erheblichen Geldsummen vorzunehmen.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 11. Shoulder Surfing
Zusammenfassung
Die Methode des Social-Engineering-Angriffs, bekannt als Shoulder Surfing, kann den Angriffs- bzw. Ausspähvektoren zugeordnet werden und bezeichnet im vorliegenden Kontext das gezielte Beobachten des Opfers, um Informationen zu erlangen.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 12. Dumpster Diving
Zusammenfassung
In der Sphäre des Informationsdiebstahls offenbart sich eine oftmals unterschätzte, jedoch äußerst wirkungsvolle Praktik: das Dumpster Diving. Diese Methode bezieht sich auf das systematische Durchsuchen von Müllcontainern, mit dem Ziel, vertrauliche Informationen zu erlangen. Kriminelle Akteure, potenzielle Wettbewerber oder einfach nur neugierige Individuen durchforsten Abfallbehälter nach jeglichem Material, das ihnen potenziell wertvolle Erkenntnisse liefern könnte.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 13. Tailgating
Zusammenfassung
Die Social-Engineering-Angriffsart Tailgating, auch als Piggybacking bekannt, basiert auf der Strategie, den Weg des geringsten Widerstands zu wählen, indem sich ein Angreifer unbemerkt Zugang zu einem gesicherten Bereich verschafft.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 14. Vishing
Zusammenfassung
Im Rahmen des Social Engineering haben Human Hacker eine Vielzahl von Methoden entwickelt, um Zugang und Zugriff zu sensiblen Informationen zu erlangen. Eine besonders ausgeklügelte Taktik innerhalb dieser Strategien ist das Vishing (Voice Phishing). Beim Vishing setzen Human Hacker gezielte Telefonanrufe ein, um wertvolle Schlüsselinformationen zu erschleichen oder die angerufene Person zu Handlungen zu verleiten, die potenziell schädlich für sie oder ihr Unternehmen sind.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 15. Enkelkind-Betrug
Zusammenfassung
Der Begriff Enkelkind-Betrug bezieht sich auf eine Form des Betrugs, bei dem in der klassischen Form ältere Menschen, insbesondere Großeltern, von Kriminellen kontaktiert werden, die sich als ihre Enkelkinder ausgeben. Diese Betrüger nutzen dann Manipulationstechniken aus dem Social Engineering, um das Vertrauen der älteren Menschen zu gewinnen und sie dazu zu bringen, Geld zu übergeben oder persönliche Informationen preiszugeben.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 16. Phishing
Zusammenfassung
In der gegenwärtigen Ära der digitalen Vernetzung stellen E-Mails ein unentbehrliches Kommunikationsmittel dar. Bedauerlicherweise hat die zunehmende Relevanz von E-Mails auch die Verbreitung von Cyberkriminalität, insbesondere von E-Mail-Phishing, begünstigt.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 17. Smishing
Zusammenfassung
Im Kontext der Mobilkommunikation hat sich neben den traditionellen Phishingmethoden eine neue Bedrohung etabliert: Smishing, ein Kofferwort aus SMS-Phishing. Diese spezielle Art des Phishingangriffs zielt darauf ab, Mobilfunknutzer über SMS und andere Instant-Messenger-Dienste zu attackieren. Ähnlich wie beim traditionellen Phishing und Spear Phishing verfolgt Smishing das Ziel, sensible Informationen zu stehlen, Empfänger zu bestimmten Handlungen zu bewegen und Mobilgeräte mit Malware zu infizieren.
Erfan Koza, Asiye Öztürk, Michael Willer

Yellow Chapter: Anomalieerkennung und Abwehrstrategien

Frontmatter
Kapitel 18. Technisches Basisverteidigungskonzept
Zusammenfassung
Die Einflussreichweite von Human Hacking und Social Engineering verdeutlicht, dass kriminelle Aktivitäten nicht allein auf den unautorisierten Informationsgewinn oder Authentifizierungsdiebstahl abzielen. Vielmehr werden sie auch dazu genutzt, tiefgreifende Angriffsarten und Operationen zur Beeinträchtigung der Prozesse bis hin zur vollständigen Lahmlegung von Netzwerken zu initiieren. Wie im White Chapter dargestellt, wird deutlich, dass hierfür ein durchdachtes und umfassendes Sicherheitskonzept erforderlich ist, welches die drei Kernelemente der Informationssicherheit in einer kohärenten Kombination aufgreift und praxisorientiert operationalisiert.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 19. Technische Abwehrtaktiken
Zusammenfassung
Die technische Absicherung gegen BEC erfordert eine Vielzahl von Ansätzen und Technologien. Im Folgenden werden alternative und zusätzliche Maßnahmen präsentiert, die eine grundlegende Verteidigung gegen BEC-Angriffe ermöglichen.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 20. Organisatorisches Basisverteidigungskonzept
Zusammenfassung
Das holistische, organisatorische Basisverteidigungskonzept umfasst mehrere entscheidende Elemente, die in ihrer Kombination dazu beitragen, die Organisation wirksam vor Social-Engineering-Angriffen zu schützen. Diese Elemente bilden eine umfassende Sicherheitsstrategie, die sowohl präventive als auch reaktive Maßnahmen integriert. Im Folgenden werden die Schlüsselelemente dieses Konzepts näher erläutert.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 21. Organisatorische Abwehrtechniken
Zusammenfassung
In diesem Kapitel werden wir uns mit organisatorischen Abwehrtaktiken gegen verschiedene Täuschungsversuche befassen, darunter Vishing, Phishing, Smishing und BEC. Diese Angriffsarten mögen in ihren spezifischen Ausprägungen Unterschiede aufweisen, jedoch teilen sie einen fundamentalen taktischen Nenner. Dieser besteht darin, elektronische Datenübertragungstechnologien zu nutzen, um die Zielperson zur Durchführung von Handlungen zu veranlassen, die unter normalen Umständen vermieden werden sollten.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 22. Human-based Basisverteidigungskonzept
Zusammenfassung
Ein humanbasiertes Basisverteidigungskonzept gegen Social Engineering erfordert eine mehrstufige, ganzheitliche Definition, Planung und Umsetzung.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 23. Human-based Abwehrtaktiken
Zusammenfassung
Im Rahmen dieses Kapitels laden wir Sie zu einer aufschlussreichen Reise ein, bei der Sie die Gelegenheit erhalten, sich selbst zu schulen oder auch möglicherweise besser kennenzulernen. Ziel dieser Aufführung ist es, Red Flags zu identifizieren, Anomalien zu erkennen, Abwehrmöglichkeiten zu erfahren und somit angemessen auf mögliche Angriffsarten zu reagieren.
Erfan Koza, Asiye Öztürk, Michael Willer

Red Chapter: Design an Attack

Frontmatter
Kapitel 24. Szenariobasiertes Red Teaming
Zusammenfassung
Durch die Gamifizierung des Lernprozesses, insbesondere beim Verstehen der Denkweise eines Angreifers, wird ein effizienter und effektiver Ansatz gewählt. Indem man den Gegner besser kennenlernt, kann man gezielt gegen ihn vorgehen und Schutzmechanismen entwickeln, um mögliche Angriffe abzuwehren. Die spielerische Herangehensweise ermöglicht es, komplexe Themen auf anschauliche Weise zu vermitteln und eine tiefgreifende Auseinandersetzung mit den Inhalten zu erreichen.
Erfan Koza, Asiye Öztürk, Michael Willer

Green Chapter: Die Kunst der holistischen Verteidigung

Frontmatter
Kapitel 25. Die Hölle, das Sind die anderen…
Zusammenfassung
Die berühmte Aussage: „Die Hölle, das sind die anderen“, stammt von Jean-Paul Sartre und findet sich in seinem Theaterstück „Geschlossene Gesellschaft“ („Huis clos“). In diesem Werk, das 1944 veröffentlicht wurde, entwirft Sartre eine düstere Vision der Hölle, die nicht etwa von physischen Qualen geprägt ist, sondern von der unablässigen Überwachung, dem Urteil und der Konfrontation mit anderen Menschen.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 26. CISOs und ISBs müssen Kommunikation können …
Zusammenfassung
CISOs (Chief Information Security Officers) und ISBs (Informationssicherheitsbeauftragte) spielen eine entscheidende Rolle in der Sicherheitsarchitektur eines Unternehmens. Ihre Fähigkeiten in der Kommunikation sind von entscheidender Bedeutung, da sie nicht nur technische und organisatorische Expertise, sondern auch die Fähigkeit benötigen, komplexe Sicherheitskonzepte effektiv zu vermitteln und mit verschiedenen Interessengruppen zu kommunizieren.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 27. Erfolgsschlüssel 1: „Sicherheitskultur“
Zusammenfassung
Die Implementierung und Pflege einer robusten Sicherheitskultur innerhalb einer Organisation erweist sich als essenziell für den effektiven Schutz vor Cyberbedrohungen. Technische Schutzmechanismen können nahezu sofort in Betrieb genommen werden, um das System zu sichern.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 28. Erfolgsschlüssel 2: Holistik
Zusammenfassung
Bei Betrachtung des digitalen Schlachtfelds zwischen den Verteidigern der Systeme und den Angreifern der Systeme wird deutlich, dass wir uns innerhalb eines soziotechnischen Systems im Rahmen einer Organisation bewegen, in dem sämtliche Elemente der Triangulation aufeinandertreffen. Es wäre daher irreführend zu glauben, dass eine isolierte technische Sicherheitsstrategie genügt, um unsere Netzwerke, Applikationen und Daten angemessen zu schützen.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 29. A Day in the Life of a Hacker
Zusammenfassung
Design an Attack oder auch anders ausgedrückt „a day in the life of a hacker“ ist eine faszinierende Perspektive, die tiefe Einblicke in die Denkweise und Methoden von Angreifern gewährt. Das Prinzip, einen Angriff zu gestalten, indem man sich in die Lage des Angreifers versetzt, ist von grundlegender Bedeutung für die Entwicklung nachhaltiger Verteidigungsstrategien im Bereich der Informationssicherheit.
Erfan Koza, Asiye Öztürk, Michael Willer
Kapitel 30. Fazit des Buches
Zusammenfassung
In einem umfassenden Überblick über die Welt des „Social Engineering und Human Hacking“ haben wir in diesem Buch nicht nur die Taktiken und Techniken analysiert, sondern auch einen tieferen Einblick in die Verbindung zwischen Menschen und Sicherheit gewonnen. Das Leitmotiv, dass Informationssicherheit ohne die Berücksichtigung der ganzheitlichen Triangulation bestehend aus menschlichen, technischen sowie organisatorischen Faktoren, erfolgt, stellt einen Schlüsselaspekt dar.
Erfan Koza, Asiye Öztürk, Michael Willer
Backmatter
Metadaten
Titel
Social Engineering und Human Hacking
verfasst von
Erfan Koza
Asiye Öztürk
Michael Willer
Copyright-Jahr
2024
Verlag
Springer Berlin Heidelberg
Electronic ISBN
978-3-662-69388-9
Print ISBN
978-3-662-69387-2
DOI
https://doi.org/10.1007/978-3-662-69388-9