| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung |
| gf_informatik:web_sca:social_engineering [2024-02-04 09:57] – sca | gf_informatik:web_sca:social_engineering [2024-03-05 09:39] (aktuell) – [Social Engineering] sca |
|---|
| ====== Social Engineering ====== | ====== Social Engineering ====== |
| |
| | ++++Lernziele| |
| | |
| | * Wissen, was Social Engineering ist, und welche Skills es dafür braucht. |
| | * Verschiedene wichtigen Arten von Social Engineering inkl. deren Name kennen (alle, die auf Wikiseite zum Thema besprochen werden). |
| | * Eigene Social Engineering Attacken ausdenken können. |
| | * Erklären können, wie man sich gegen Social Engineering Attacken schützen kann. |
| | |
| | ++++ |
| | |
| | **{{ :gf_informatik:web_sca:web_04_social_engineering.pdf |Slides Social Engineering}}** |
| |
| {{ :gf_informatik:web_sca:dr-evil.jpeg?400 |}} | {{ :gf_informatik:web_sca:dr-evil.jpeg?400 |}} |
| |
| ===== Theorie ===== | ===== Lektion 1 ===== |
| |
| ==== Übersicht ==== | ==== Übersicht ==== |
| Folgend werden einige "beliebte" Strategien bzw. Tricks des Social Engineering erläutert. Man spricht auch von Social-Engineering-Vektoren. Ein Vektor ist ja sowas wie ein Pfeil mit einer bestimmten Richtung. Bildlich gesprochen kann eine Betrüger:in also unterschiedliche Vektoren wählen, um die Zielpersonen aus unterschiedlichen Richtungen bzw. auf unterschiedlichen Wegen anzugreifen. Welcher Weg auch gewählt wird: immer kommen psychologische Tricks zur Anwendung, die helfen, die Opfer zu täuschen. | Folgend werden einige "beliebte" Strategien bzw. Tricks des Social Engineering erläutert. Man spricht auch von Social-Engineering-Vektoren. Ein Vektor ist ja sowas wie ein Pfeil mit einer bestimmten Richtung. Bildlich gesprochen kann eine Betrüger:in also unterschiedliche Vektoren wählen, um die Zielpersonen aus unterschiedlichen Richtungen bzw. auf unterschiedlichen Wegen anzugreifen. Welcher Weg auch gewählt wird: immer kommen psychologische Tricks zur Anwendung, die helfen, die Opfer zu täuschen. |
| |
| === Phishing via Mail === | === Artikel 1: Phishing via Mail === |
| |
| Beim Phishing via E-Mail wird der "Köder" via E-Mail versendet. Meistens wird die E-Mail an sehr viele Empfänger:innen verschickt, in der Hoffnung, dass ein kleiner Teil "anbeisst". Es ist quasi ein Fischen mit grossem (aber durchlässigem) Netz. Ziel ist dann, vertrauliche Daten wie Passwörter oder Informationen zum Bankkonto von möglichst vielen Personen zu sammeln. Die gesammelten Daten können dann beispielsweise an Andere verkauft oder für spätere, gezieltere Attacken (siehe unten) genutzt werden. | Beim Phishing via E-Mail wird der "Köder" via E-Mail versendet. Meistens wird die E-Mail an sehr viele Empfänger:innen verschickt, in der Hoffnung, dass ein kleiner Teil "anbeisst". Es ist quasi ein Fischen mit grossem (aber durchlässigem) Netz. Ziel ist dann, vertrauliche Daten wie Passwörter oder Informationen zum Bankkonto von möglichst vielen Personen zu sammeln. Die gesammelten Daten können dann beispielsweise an Andere verkauft oder für spätere, gezieltere Attacken (siehe unten) genutzt werden. |
| Weshalb funktioniert das dennoch bloss bei einem kleinen Teil der Empfänger:innen? Der Hauptgrund hierfür liegt darin, dass E-Mail-Anbieter Spam-Filter haben und die meisten Phishing-Mails gar nicht erst gelesen werden. Ausserdem sind viele dieser Phishing-Mails nicht besonders sorgfältig und überzeugend gestaltet. Das hat damit zu tun, dass es relativ einfach ist, eine Phishing-Attacke zu starten, wie etwa [[https://youtu.be/u9dBGWVwMMA?t=61|dieses Video]] zeigt. Viele von uns erhalten täglich mehrere E-Mails; wenn sich darunter eines befindet, das irgendwie "fishy" aussieht, haben wir wenig Mühe damit, es einfach zu ignorieren. Dennoch ist **grundsätzlich Vorsicht und Skepsis angebracht**: Manche Phishing-Mails sind so gut gemacht, dass wir leicht auf sie hereinfallen. | Weshalb funktioniert das dennoch bloss bei einem kleinen Teil der Empfänger:innen? Der Hauptgrund hierfür liegt darin, dass E-Mail-Anbieter Spam-Filter haben und die meisten Phishing-Mails gar nicht erst gelesen werden. Ausserdem sind viele dieser Phishing-Mails nicht besonders sorgfältig und überzeugend gestaltet. Das hat damit zu tun, dass es relativ einfach ist, eine Phishing-Attacke zu starten, wie etwa [[https://youtu.be/u9dBGWVwMMA?t=61|dieses Video]] zeigt. Viele von uns erhalten täglich mehrere E-Mails; wenn sich darunter eines befindet, das irgendwie "fishy" aussieht, haben wir wenig Mühe damit, es einfach zu ignorieren. Dennoch ist **grundsätzlich Vorsicht und Skepsis angebracht**: Manche Phishing-Mails sind so gut gemacht, dass wir leicht auf sie hereinfallen. |
| |
| === Spear phishing und Whaling === | === Artikel 2: Spear phishing und Whaling === |
| |
| Eine Spear-phishing-Attacke richtet sich gezielt auf eine einzelne Person (wie auch beim Fischen mit Wurfspiess (spear) nach genau einem Fisch gezielt wird). Handelt es sich dabei um eine besonders "wichtige" Person, etwa um die oder den CEO einer Firma, spricht man auch von //Whaling// (Walfang): man hat es auf ein besonders grosses Tier abgesehen. Weshalb? | Eine Spear-phishing-Attacke richtet sich gezielt auf eine einzelne Person (wie auch beim Fischen mit Wurfspiess (spear) nach genau einem Fisch gezielt wird). Handelt es sich dabei um eine besonders "wichtige" Person, etwa um die oder den CEO einer Firma, spricht man auch von //Whaling// (Walfang): man hat es auf ein besonders grosses Tier abgesehen. Weshalb? |
| == CEO Fraud == | == CEO Fraud == |
| |
| Gewinnt eine Hacker:in ausreichend Einblick in die Organisation einer Firma sowie Informationen über die Namen und E-Mail-Adressen der Angestellten, so könnte sie oder er versuchen, E-Mails an bestimmte Mitarbeitende zu versenden, deren Absender scheinbar die oder der CEO dieser Firma ist (oder eine Person in ähnlich hoher Position). Dann erhält zum Beispiel ein:e Mitarbeitende:r in der Buchhaltungsabteilung plötzlich eine Mail vom CEO, in der steht, dass SOFORT, noch innerhalb der nächsten Minuten, die schon lange versäumte Zahlung über 50'000 Franken an X mit Kontonummer Y gezahlt werden soll. Weil hier sowohl hohe Autorität als auch hohe Dringlichkeit vorgetäuscht wird, kann es passieren, dass Mitarbeitende den Anweisungen in der Mail folgen, obwohl es Regeln gäbe, die so unvorsichtiges Handeln verhindern sollten. | Gewinnt eine Hacker:in ausreichend Einblick in die Organisation einer Firma sowie Informationen über die Namen und E-Mail-Adressen der Angestellten, so könnte sie oder er versuchen, E-Mails an bestimmte Mitarbeitende zu versenden, deren Absender scheinbar die oder der CEO dieser Firma ist (oder eine Person in ähnlich hoher Position). Dann erhält zum Beispiel eine Mitarbeiterin in der Buchhaltungsabteilung plötzlich eine Mail vom CEO, in der steht, dass SOFORT, noch innerhalb der nächsten Minuten, die schon lange versäumte Zahlung über $50'000$ Franken an X mit Kontonummer Y gezahlt werden soll. Weil hier sowohl hohe Autorität als auch hohe Dringlichkeit vorgetäuscht wird, kann es passieren, dass Mitarbeitende den Anweisungen in der Mail folgen, obwohl es Regeln gäbe, die so unvorsichtiges Handeln verhindern sollten. |
| |
| === Vishing === | === Artikel 3: Vishing === |
| |
| Vishing steht für **V**oice ph**ishing** und bezeichnet das Vorgehen, Phishing-Attacken via Telefon-Kommunikation durchzuführen. Die **Vorteile** (aus Sicht der Betrüger:innen) gegenüber dem Phishing via Mail liegen unter anderem im höheren **Vertrauen** gegenüber dieser Art von Kommunikation sowie in der **Unmittelbarkeit** eines direkten Gesprächs. | Vishing steht für **V**oice ph**ishing** und bezeichnet das Vorgehen, Phishing-Attacken via Telefon-Kommunikation durchzuführen. Die **Vorteile** (aus Sicht der Betrüger:innen) gegenüber dem Phishing via Mail liegen unter anderem im höheren **Vertrauen** gegenüber dieser Art von Kommunikation sowie in der **Unmittelbarkeit** eines direkten Gesprächs. |
| Smishing ist das Ph**ishing** via **SM**S. Wie beim E-Mail-Phishing enthalten die Nachrichten meistens eine Aufforderung, einem Link zu folgen oder auch eine bestimmte Nummer anzurufen. "Vorteile" gegenüber dem E-Mail-Phishing bestehen unter anderem darin, dass den Nachrichten kaum Spam-Filter im Wege stehen. Auf dem Smartphone, auf dem die SMS gelesen wird, ist es ausserdem nicht so bequem möglich, die tatsächliche Adresse hinter einem Link anzuzeigen. Bekannte Beispiele für Smishing sind SMS, die angeblich von Lieferdiensten wie UPS oder DHL stammen. Beispielsweise wird mitgeteilt, dass ein Paket nicht geliefert werden könne und man – "unter diesem Link" fehlende Angaben ergänzen soll. | Smishing ist das Ph**ishing** via **SM**S. Wie beim E-Mail-Phishing enthalten die Nachrichten meistens eine Aufforderung, einem Link zu folgen oder auch eine bestimmte Nummer anzurufen. "Vorteile" gegenüber dem E-Mail-Phishing bestehen unter anderem darin, dass den Nachrichten kaum Spam-Filter im Wege stehen. Auf dem Smartphone, auf dem die SMS gelesen wird, ist es ausserdem nicht so bequem möglich, die tatsächliche Adresse hinter einem Link anzuzeigen. Bekannte Beispiele für Smishing sind SMS, die angeblich von Lieferdiensten wie UPS oder DHL stammen. Beispielsweise wird mitgeteilt, dass ein Paket nicht geliefert werden könne und man – "unter diesem Link" fehlende Angaben ergänzen soll. |
| |
| === Baiting === | === Artikel 4: Baiting === |
| |
| Das klassische Baiting ("Ködern") mit physikalischen Datenträgern wie CD-ROMs oder USB-Sticks war verbreiteter, als diese noch öfter in Gebrauch waren, aber kommt auch heute noch vor (siehe Artikel unten). | Das klassische Baiting ("Ködern") mit physikalischen Datenträgern wie CD-ROMs oder USB-Sticks war verbreiteter, als diese noch öfter in Gebrauch waren, aber kommt auch heute noch vor (siehe Artikel unten). |
| Eine weitere Möglichkeit des Phishing wäre beispielsweise das Verteilen von Plakaten, Flugblättern oder Aufklebern, die einen **QR-Code** enthalten und Neugierde wecken. Vielleicht gibt es tolle Preise zu gewinnen. Die Links hinter den QR-Codes führen dann beispielsweise auf die Seite des Wettbewerbs, für den man sich erst anmelden und einige persönliche Informationen bekannt geben muss. | Eine weitere Möglichkeit des Phishing wäre beispielsweise das Verteilen von Plakaten, Flugblättern oder Aufklebern, die einen **QR-Code** enthalten und Neugierde wecken. Vielleicht gibt es tolle Preise zu gewinnen. Die Links hinter den QR-Codes führen dann beispielsweise auf die Seite des Wettbewerbs, für den man sich erst anmelden und einige persönliche Informationen bekannt geben muss. |
| |
| ===== Aufträge ===== | (Ende Artikel 4) |
| |
| Löse die Aufgaben unten. Einige Personen/Gruppen werden ausgewählt, ihre Lösung im **Plenum zu präsentieren**. | ===== Lektion 2 ===== |
| | |
| | 1. Zusammen Video schauen: [[https://www.youtube.com/watch?v=u9dBGWVwMMA]] |
| | 1. Kurze Besprechung |
| | 1. Aufträge unten lösen. |
| | 1. Kurze Präsentationen der Lösungen. |
| |
| === Auftrag 1: Wer wäre dein(e) Wa(h)l? === | === Auftrag 1: Wer wäre dein(e) Wa(h)l? === |
| * Wie genau gehst du vor? Verfasse die entsprechende Nachricht. | * Wie genau gehst du vor? Verfasse die entsprechende Nachricht. |
| |
| **Wichtig:** Setze diese Attacke nicht in die Tat um! | **Wichtig:** Setze diese Attacke *nicht* in die Tat um! |
| |
| |
| * Studiere folgenden Artikel, der über eine Baiting-Attacke berichtet: [[https://www.inside-it.ch/de/post/fin7-bande-verschickt-usb-sticks-mit-ransomware-20220111]] | * Studiere folgenden Artikel, der über eine Baiting-Attacke berichtet: [[https://www.inside-it.ch/de/post/fin7-bande-verschickt-usb-sticks-mit-ransomware-20220111]] |
| * Welche Szenarien von Baiting-Attacken könnten an der KSR vorkommen? Mit welchen Zielen? | * Welche Szenarien von Baiting-Attacken könnten an der KSR vorkommen? Mit welchen Zielen? |
| | |
| | |
| | ===== Lektion 3 (optional) ===== |
| | |
| | **Idee:** In Gruppe Angriff mit Social Engineering im Detail planen |
| | |
| | 1. **Gruppen bilden:** 3-4 SuS, ChefIn bestimmen. |
| | 1. Gesamter Prozess auf OneNote im "Platz für Zusammenarbeit" **dokumentieren**. |
| | 1. **Wer** seid ihr und **was** wollt ihr mit eurer Attacke erreichen? Beispiel: Gruppe politischer Aktivisten (welche), die an geheime Informationen von politischem Gegner (welchen? warum?) gelangen wollen. |
| | 1. **Art** von Social Engineering Attacke aus den [[gf_informatik:web_sca:social_engineering#social-engineering-vektoren|vier Artikeln]] auswählen. Falls man eine andere Art von Attacke machen möchte, muss das kurz mit der Lehrperson abgesprochen werden. |
| | 1. **Details** ausarbeiten (und dokumentieren). Beispiel: Falls Phishing via E-Mail betrieben werden soll, muss das zu versendende E-Mail verfasst werden. |
| | 1. Sobald **fertig**, benachrichtigt die GruppenchefIn die Lehrperson per Teams. |
| | |
sca