Drucksache: Windows Developer 7.19 - Soziales Problem mit technischer Lösung
Im Windows Developer 7.19 ist der zweite von zwei Artikeln über Social Engineering erschienen, in dem die Gegenmaßnahmen sowie aktuelle Forschungsergebnisse vorgestellt werden.
Worum geht es darin?
Bekanntlich gilt ja, dass sich soziale Probleme nicht zufriedenstellend mit technischen Ansätzen lösen lassen. Das trifft auch auf das Social Engineering zu. Aber es gibt dabei ja meist auch eine technische oder organisatorische Komponente, und auf der Ebene lässt sich was gegen die Angriffe machen.
Im Windows Developer 6.2019 habe ich einen kleinen Überblick über die aktuellen Social-Engineering-Angriffe gegeben [1]. Der war bei weitem nicht vollständig, die Cyberkriminellen sind sehr erfindungsreich. Aber alle "üblichen Verdächtigen" für Angriffe über das Netz sind drin, und Angriffe wie "USB-Stick mit Schadsoftware wird von Mitarbeiter auf dem Parkplatz gefunden und infiziert nach Einstecken in dessen Rechner das Unternehmensnetz" und andere Angriffe mit physikalischer Komponente kommen zwar vor, sind aber doch eher selten.
Die Angriffe zu kennen ist wichtig, denn nur was man kennt kann man abwehren. Und genau darum geht es in diesem Artikel: Was lässt sich gegen die Angriffe aus dem ersten Teil tun? Und was sagen eigentlich die Sicherheitsforscher zu dem Thema?
Links & Literaturverweise
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Eilers, Carsten; Windows Developer 6.2019: "Cyberkriminelle lieben Social Engineering"
- [2] Zheng, Xudong: "Phishing with Unicode Domains"
- [3] Chromium Bugs - Issue 683314: "Security: Whole-script confusable domain label spoofing (Cyrillic)"
- [4] IDN in Google Chrome
- [5] Bugzilla Bug 1332714: "IDN Phishing using whole-script confusables on Windows and Linux"
- [6] Internet Explorer: Event 1032 - Internationalized Domain Names (IDN) Support
- [7] IDN Checker
- [8] Homoglyph Attack Generator
- [9] Aonzo, Simone; Merlo, Alessio; Tavella, Giulio; Fratantonio, Yanick: "Phishing Attacks on Modern Android"
- [10] Thomas, Kurt; Moscicki, Angelika; Google Security Blog: "New research: Understanding the root cause of account takeover"
- [11] Bayliss, Nathan; Amnesty International: "When Best Practice Isn’t Good Enough: Large Campaigns of Phishing Attacks in Middle East and North Africa Target Privacy-Conscious Users"
- [12] CERT-Bund, @certbund auf Twitter, 11.4.2019: "Seit Ende 2018 späht #Emotet aus Outlook-Postfächern nicht nur die Kontaktbeziehungen, sondern auch die ersten 16kB jeder E-Mail aus. Diese ausgespähten E-Mails werden nun verwendet, um mit vermeintliche Antworten die #Schadsoftware weiter zu verbreiten."
- [13] Tyler, Michael; The PhishLabs Blog: "This message is from a trusted sender, or is it?"
- [14] Jang, Min-Chang; Black Hat Asia 2019: "When Voice Phishing Met Malicious Android App"
- [15] Bahnsen, Alejandro Correa; Black Hat Europe 2018: "DeepPhish: Simulating Malicious AI" (Video auf YouTube)
- [16] Harris, Ian; Carlsson, Marcel; Black Hat USA 2018: "Catch me, Yes we can! – Pwning Social Engineers using Natural Language Processing Techniques in Real-Time" (Video auf YouTube)
- [17] Wixey, Matt; Black Hat USA 2018: "Every ROSE has its Thorn: The Dark Art of Remote Online Social Engineering" (Video auf YouTube)
- [18] Malmquist, Kingkane; Black Hat USA 2018: "Exposing the Bait: A Qualitative Look at the Impact of Autonomous Peer Communication to Enhance Organizational Phishing Detection" (Video auf YouTube)
- [19] Crumbaugh, Joshua; Black Hat Europe 2017: "How to Rob a Bank Over the Phone - Lessons Learned and Real Audio from an Actual Social Engineering Engagement" (Video auf YouTube)
- [20] Burnett, Karla; Black Hat USA 2017: "Ichthyology: Phishing as a Science" (Video auf YouTube)
- [21] Vishwanath, Arun; Black Hat USA 2017: "Why Most Cyber Security Training Fails and What We Can Do About it" (Video auf YouTube)
- [22] Singh, Ankit; Thaware, Vijay; Black Hat USA 2017: "Wire Me Through Machine Learning"
- [23] Turpin, Keith; Black Hat Asia 2017: "Phishing for Funds: Understanding Business Email Compromise" (Video auf YouTube)
Trackbacks