Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

ITS > Sicherheitsfaktor Mensch > Flashcards

Sicherheitsfaktor Mensch Flashcards

1
Q

<p>Welche drei unterschiedlichen Ausprägungen der Angriffsformen gibt es um an Informationen mittels sozialer Kontakte zu gelangen?</p>

A 
<ul>
	<li>Computer-Based</li>
	<li>Human-Based</li>
	<li>Reverse Social Engineering</li>
</ul>

<p>Sie haben das Ziel, Informationen durch Annäherung an Personen mittels sozialer Kontakte zu erlangen.</p>

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

<p>Was ist Human-Based Engineering?</p>

A

<ul>
<li>Informationen beschaffen über soziale Annäherung. Zu dieser Form zählen z.B. Informationen über Gespräche zu erhalten (selbst geführte oder mitgehörte, z.B. in der Betriebskantine oder übers Telefon). Diese Form baut also darauf, dass das Opfer dem Hacker vertraut oder die Informationen unbewusst weitergibt.</li>
</ul>

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Welche Vorbereitung / Informationen benötigt ein Social Engineer.

A 
∞	Telefonlisten / Mitarbeiterlisten
∞	Organigramme und Hierarchiestrukturen
∞	Dienstleister und Zulieferer
∞	Raumpläne
∞	Dienst und Schichtpläne
∞	Memos und Briefe
∞	Netzpläne, Computernamen, Netzwerkadressen
∞	Prozessbeschreibung
∞	Arbeitsanweisungen und Policies
∞	Entsorgung von Datenträgern
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Wie werden diese Informationen beschafft?

A 
∞	Trashing
∞	Über das Telefon
∞	Vor Ort
∞	Öffentlichkeit
∞	Technische Hilfsmittel
       ◦	Keylogger
       ◦	Spyphones
       ◦	Kameras
       ◦	Mikrofone
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Welchen Schutz kann man am Arbeitsplatz vornehmen?

A

∞ Beim Verlassen des Raumes den Bildschirm sperren.
∞ Schubladen und Rollcontainer müssen abschließbar sein, damit Sie sicherer sind.
∞ Zugangsdaten nicht analog auf dem Schreibtisch notieren (zb Auf Blatt Papier)
∞ Vertrauliche Unterlagen müssen bei Abwesenheit grundsätzlich verschlossen aufbewahrt werden.
∞ Meetingräume müssen sauber hinterlassen werden. Das heißt alle Notizen und Unterlagen mitnehmen.
∞ Mobile Geräte sind zu verschlüsseln und mit einem Passwort zu versehen.
∞ Keine Mitnahme von Daten nach hause.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Welche Grundsätze gelten beim Passwort?

A

∞ Oft wechseln
∞ Niemand verraten
∞ Lange Passwörter sind besser
∞ Nicht sichtbar für andere notieren.
∞ Mindestens 8 Zeichen am besten mit Ziffern und Sonderzeichen
∞ Standardpasswörter direkt durch eigene ersetzen
∞ Alle 90 Tage sollte das Passwort von jedem gewechselt werden.
∞ Keine alten Passwörter wiederverwenden
∞ Für verschiedene Anwendungen sollten verschiedene Passwörter genutzt werden.
∞ Passwort sollte immer unbeobachtet eingegeben werden
∞ Zur Passwortverwaltung sollte Passwortsoftware genutzt werden

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

<p>Was ist Reverse Social Engineering?</p>

A

<ul>
<li>Hier gibt sich der Hacker z.B. als neuer Supportmitarbeiter aus der nur noch ein paar Informationen benötigt um seine Arbeit aufzunehmen. Der Anwender gibt also von sich aus die Informationen preis.</li>
<li>Für diese Technik müssen schon im voraus Informationen über die Person/Firma gesammelt werden um sich dann als "Fachkundiger" auszugeben. (Facebook und Google sind hier dein Freund)</li>
</ul>

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

<p>Was bedeutet Dumpster-Diving?</p>

A

<p>Wie der Name schon sagt wird hier im Müll nach wichtigen Informationen gesucht. Z.B. nach Zugangsdaten auf Post-it Zetteln, Datenblättern usw.</p>

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

<p>Jede Information (ob über Personen oder die Infrastruktur) kann einem Angreifer helfen! Wie kann man es dem Hacker schwerer machen an diese zu gelangen?</p>

A

<ul>
<li>über Facebook, LinkedIn und Co kann ein Hacker schnell an Informationen zu Personen gelangen, dies würde sich nur über ein Verbot einschränken lassen, dass den Mitarbeiter verbietet zu schreiben wo Sie arbeiten. Dies würde allerdings kaum Akzeptanz finden (Netzwerken über diese Kanäle ist heutzutage wichtig für Kundenverkehr und Karriere) und wäre auch nicht förderlich für die Außendarstellung des Unternehmens.</li>
<li>Netzpläne, Memos, Netzwerkadressen, Telefonlisten usw. sollte immer nur ein überschaubarer Kreis an Leuten zur Verfügung stehen, also auch nicht in einer Abteilung offen ausgehängt werden. Die Personen die über diese Interna verfügen sollten über die Gefahren informiert sein. Dann wird die Wahrscheinlichkeit geringer, dass Informationen nach Außen dringen.</li>
<li>Es muss also geklärt werden wer Berechtigt ist bestimmte Informationen einzusehen. Diese Personenkreise sollten so klein wie möglich gehalten werden</li>
</ul>

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

<p>Wie kann ein Social Engineers schneller zu seinem Ziel kommen, als durch reine soziale Annäherung?</p>

A

<p>Sie kombinieren ihre Methoden mit technischen Angriffsvarianten! Dazu Zählen Phishing-Mails, Popup-Fenster die zur Eingabe von Passwörtern/ Interna auffordern, Hoaxes, präparierte Webseiten oder Mailanhänge mit Trojanern und ähnlichem. Diese Varianten können zusammen mit dem Social Engineering einen klassischen Hack über das Internet ersetzen. Social Engineering ist also Interdisziplinär. Eine gezielte Einsetzung der technischen Möglichkeiten kann zu einem sehr effektiven Angriff führen, der den Prozess der Informationsbeschaffung beschleunigt.</p>

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

<p>Was kann man gegen Reverse Social Engineering tun?</p>

A

<p>Es sollte klare Anweisungen geben wo man sich bei IT Problemen zu melden hat und wer sich dann um einen kümmert. Wenn es ein deutliches verbot gibt sich direkt bei Mitarbeitern des Supports zu melden wird es schwieriger für einen Reverse Social Engineer sich als ein Supporter auszugeben. Auch sollte es eine Anweisung geben, dass Sich jemand der etwas an einem Mitarbeiter PC macht sich gegenüber den Mitarbeitern irgendwie ausweisen muss.</p>

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

<p>Warum schützt ein gutes Betriebsklima vor Social Engineering?</p>

A

<ul>
<li>Wenn man Fehler oder unwissenheit dem Chef "beichten" kann ist man schwerer Erpressbar und bei Unklarheiten hilft dann eine einfache Nachfrage.</li>
<li>Ein Mitarbeiter, der einen Chef mit „offenem Büro“ hat, wird sich immer trauen, angebliche Entscheidungen zu hinterfragen, und ist mit dem Vorgehen des „Vorgesetzten“ nicht zu überlisten.</li>
<li>Ein gutes Betriebsklima sorgt für mehr Kommunikation unter den Mitarbeitern. Viele Tricks funktionieren dann nicht mehr. Schnell passiert es dem Angreifer, dass er enttarnt wird, weil die Zielperson eine Aussage sofort als unwahr erkennt.<br></br>
</li>
</ul>

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

<p>Welche Rollen schauspielert ein Social-Engineer gerne um an Informationen zu kommen?</p>

A

<ul>
<li>Angriff auf Vertrauensbasis (Vertrauen gewinnen durch z.B. beheben eines selbst verursachten Problems)</li>
<li>Der Hilfsbedürftige (Einklinken als neuer unwissender Mitarbeiter)</li>
<li>Der Moralische ( Das „Opfer“ wird als egoistisch und nicht teamfähig dargestellt)</li>
<li>Erzeugen von Schuldgefühlen ( Wechsel in den Beraten bereich und aufzeigen der Probleme die durch sein handeln auf ihn Privat zukommen könnten)</li>
<li>Der Insider ( Versuchen durch firmeninterne Infos das vertrauen der Mitarbeiter zu bekommen)</li>
<li>Der Fachchinese ( Verwirren eines Anwenders mit Technischen Informationen bis er einsieht das Sie wirklich von der Firma sind)</li>
<li>Der Vorgesetzte ( Vermitteln des Gefühls ihm in den Hirarchieebenen übergeordnet zu sein)</li>
</ul>

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

ITS (5 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions