ECDL

M8IT - Security

(confidential:vertraulich)

HACKING

unberechtigtes Eindringen in

Computersysteme und Netzwerke

Schwachstellen in Computersystemen

werden gesucht

Versuche von Technik-Freaks, über

das Internet auf PCs zuzugreifen

teils als reine Herausforderung,

aus Spaß an der Technik…

ETHISCHES HACKING

ohne kriminelle Absicht

auch ohne kriminelle Mittel

Ziel, Schwachstellen in Netz-

werken aufzuzeigen

oft im Auftrag von Firmen, die ihr

Netzwerk überprüfen lassen wollen

CRACKING

vom englischen Wort für "knacken"

oder "(ein)brechen"

Hacking mit krimineller Absicht

CRACKING

auch: Entfernen von Kopierschutz:

Herstellen einer Software-Kopie, die

ohne Eingabe eines Lizenzschlüssels

installiert werden kann

SOCIAL ENGINEERING

Informationsbeschaffung direkt beim

Computerbenutzer, ohne technische

Hilfsmittel

SOCIAL ENGINEERING

durch Ausspionieren des Umfelds des

Opfers oder Vortäuschen falscher

Identitäten entlockt man jemandem

vertrauliche Informationen

Beispiel: Jemand gibt sich am

Telefon als Bankbediensteter

aus und fragt mich nach

meinen Codes

BEISPIELE FÜR SOCIAL ENGINEERING:

Passwort-Fischen (password-fishing)

durch gefälschte Mails oder

SMS wird versucht,

Zugang zu Passwörtern

zu erlangen

PHISHING

PHISHING

Beispiele:

Massenmails, die täuschend echt wie

zB ebay- oder paypal-Mails aussehen,

sollen zur Eingabe von Passwörtern verleiten

Mail "Unser System wird umgestellt – bitte

geben Sie Ihren Benutzernamen und Ihr

Passwort in folgendem Formular ein, damit die

Änderungen für Ihr Konto durchgeführt werden

können" o.ä.

BEISPIELE FÜR SOCIAL ENGINEERING:

pretext … engl. für "Vorwand"

durch Beschaffen persönlicher

Informationen werden

falsche Tatsachen vorgetäuscht

PRETEXTING

PRETEXTING

Beispiele:

durch Angabe zB von Versicherungsnummern

oder Geburtsdaten wird vorgegaukelt, Recht

auf bestimmte Informationen zu haben

gefälschte Formulare oder Webseiten

täuschen Organisationen und Banken vor

bietet sogar die Möglichkeit, unter

falschem Namen Straftaten zu begehen

SKIMMING

Ausspionieren speziell von Bank-

Zugangsdaten

mit Hilfe der erhaltenen Informationen

können Konten geplündert werden

geht möglichst unbemerkt vonstatten,

damit die Betroffenen ihr

Bankkonto nicht sperren lassen

SKIMMING

durch Manipulation von Geldautomaten

werden Kundendaten "abgeschöpft"

Magnetstreifeninformation einer

Bankomatkarte wird durch am Geldautomat

angebrachte kleine Lesegeräte ausspioniert

Informationsbeschaffung zB durch

Austausch des Tastenfeldes oder Anbringung

kleiner Funkkameras beim Bankomat

INFORMATION DIVING

"nach Informationen tauchen"

(auch "dumpster diving" -

"Mülleimertauchen")

Informationsbeschaffung aus

weggeworfenen Unterlagen

oder Datenträgern

INFORMATION DIVING

auf dem Rechner gespeicherte Kreditkarten-

Nummern etc. können - nach unprofessioneller

Entsorgung - problemlos ausgeforscht werden

durch Auswertung von Organisationsplänen

aus dem Mülleimer wird die Organisations-

struktur eines Betriebes ausgeforscht

eine ausrangierte Festplatte wird nach

persönlichen Daten durchsucht

SHOULDER SURFING

"Schulter-Surfen"

Informationsbeschaffung durch direkte

Beobachtung der Eingabe von PINs oder

Passwörtern

besonders leicht möglich in Internet-

Cafés oder an belebten Orten, wenn

über Smartphone o.ä. Passwörter

eingegeben werden

SHOULDER SURFING

auch mit technischen Hilfsmitteln:

wenn über Smartphone o.ä. Passwörter

eingegeben werden, filmt eine kleine Kamera

mit

davor kann man sich relativ einfach schützen:

durch verdeckte Eingabe von

Passwörtern und Kontrolle der

Tastenfelder, Blick über die Schulter

PHARMING

unter Zuhilfenahme eines Virus oder Trojaners

wird das Computersystem gezielt beeinflusst,

"echte" durch manipulierte Dateien ersetzt

in der Folge werden gefälschte Webseiten

angezeigt, obwohl die korrekte

Adresse eingegeben wurde

auf diesen Seiten werden

dann Passwörter erfragt

PHARMING

Weiterentwicklung des Phishing

nutzt Schad-Software, um am PC bestimmte

Manipulationen vornehmen zu können

Dateien auf dem PC werden dahingehend

geändert, dass auf falsche Webseiten umgeleitet

wird

eigentliche Datei wird durch Virus

oder Trojaner überschrieben, dient zum

Umleiten auf falsche Bank-Webseiten

CYBER-GROOMING "groom": striegeln, pflegen (bridegroom: Bräutigam )

Versuch, eine emotionelle Beziehung

zu einer Person (meist jung) aufzubauen

Erwachsener erschleicht sich das Vertrauen

eines Kindes oder Jugendlichen

Ziel: sexuelle Handlungen

(Kinderpornografie, Kinderprostitution)

CYBER-GROOMING

Vortäuschen einer falschen Identität

in social communities

Ziel: Treffen mit Jugendlichem

oder Kind

größte Vorsicht in sozialen Netzwerken ist

angesagt!

NIEMALS Unbekannten vollen Namen,

Telefonnummer, genaue Adresse o.ä.

bekanntgeben!