Transcript Begriffe (Skimming, Shoulder-Surfing, Pharming - Schulen

ECDL
(confidential:
vertraulich)
M8
IT - Security
HACKING

unberechtigtes Eindringen in Computersysteme und
Netzwerke



Schwachstellen in Computersystemen werden gesucht
Versuche von Technik-Freaks, über
das Internet auf PCs zuzugreifen
teils als reine Herausforderung,
aus Spaß an der Technik…
ETHISCHES HACKING

ohne kriminelle Absicht

auch ohne kriminelle Mittel


Ziel, Schwachstellen in Netzwerken aufzuzeigen
oft im Auftrag von Firmen, die ihr Netzwerk
überprüfen lassen wollen
CRACKING


vom englischen Wort für "knacken"
oder "(ein)brechen"
Hacking mit krimineller Absicht
CRACKING


auch: Entfernen von Kopierschutz:
Herstellen einer Software-Kopie, die ohne Eingabe
eines Lizenzschlüssels installiert werden kann
SOCIAL ENGINEERING

Informationsbeschaffung direkt beim
Computerbenutzer, ohne technische Hilfsmittel
SOCIAL ENGINEERING


durch Ausspionieren des Umfelds des Opfers oder
Vortäuschen falscher Identitäten entlockt man
jemandem vertrauliche Informationen
Beispiel: Jemand gibt sich am
Telefon als Bankbediensteter
aus und fragt mich nach
meinen Codes
BEISPIELE FÜR SOCIAL ENGINEERING:
PHISHING


Passwort-Fischen (password-fishing)
durch gefälschte Mails oder
SMS wird versucht,
Zugang zu Passwörtern
zu erlangen
PHISHING

Beispiele:
 Massenmails,
die täuschend echt wie
zB ebay- oder paypal-Mails aussehen,
sollen zur Eingabe von Passwörtern verleiten
 Mail
"Unser System wird umgestellt – bitte geben Sie
Ihren Benutzernamen und Ihr Passwort in folgendem
Formular ein, damit die Änderungen für Ihr Konto
durchgeführt werden können" o.ä.
BEISPIELE FÜR SOCIAL ENGINEERING:
PRETEXTING


pretext … engl. für "Vorwand"
durch Beschaffen persönlicher
Informationen werden
falsche Tatsachen vorgetäuscht
PRETEXTING

Beispiele:
 durch
Angabe zB von Versicherungsnummern oder
Geburtsdaten wird vorgegaukelt, Recht auf bestimmte
Informationen zu haben
 gefälschte
Formulare oder Webseiten täuschen
Organisationen und Banken vor
 bietet
sogar die Möglichkeit, unter
falschem Namen Straftaten zu begehen
SKIMMING



Ausspionieren speziell von Bank-Zugangsdaten
mit Hilfe der erhaltenen Informationen können
Konten geplündert werden
geht möglichst unbemerkt vonstatten,
damit die Betroffenen ihr
Bankkonto nicht sperren lassen
SKIMMING



durch Manipulation von Geldautomaten
werden Kundendaten "abgeschöpft"
Magnetstreifeninformation einer
Bankomatkarte wird durch am Geldautomat
angebrachte kleine Lesegeräte ausspioniert
Informationsbeschaffung zB durch Austausch des
Tastenfeldes oder Anbringung kleiner Funkkameras
beim Bankomat
INFORMATION DIVING


"nach Informationen tauchen"
(auch "dumpster diving" - "Mülleimertauchen")
Informationsbeschaffung aus
weggeworfenen Unterlagen
oder Datenträgern
INFORMATION DIVING



auf dem Rechner gespeicherte Kreditkarten-Nummern
etc. können - nach unprofessioneller Entsorgung problemlos ausgeforscht werden
durch Auswertung von Organisationsplänen
aus dem Mülleimer wird die Organisationsstruktur eines Betriebes ausgeforscht
eine ausrangierte Festplatte wird nach
persönlichen Daten durchsucht
SHOULDER SURFING



"Schulter-Surfen"
Informationsbeschaffung durch direkte Beobachtung
der Eingabe von PINs oder Passwörtern
besonders leicht möglich in InternetCafés oder an belebten Orten, wenn
über Smartphone o.ä. Passwörter
eingegeben werden
SHOULDER SURFING

auch mit technischen Hilfsmitteln:
wenn über Smartphone o.ä. Passwörter eingegeben
werden, filmt eine kleine Kamera mit

davor kann man sich relativ einfach schützen:
durch verdeckte Eingabe von
Passwörtern und Kontrolle der
Tastenfelder, Blick über die Schulter
PHARMING



unter Zuhilfenahme eines Virus oder Trojaners wird
das Computersystem gezielt beeinflusst, "echte"
durch manipulierte Dateien ersetzt
in der Folge werden gefälschte Webseiten
angezeigt, obwohl die korrekte
Adresse eingegeben wurde
auf diesen Seiten werden
dann Passwörter erfragt
PHARMING




Weiterentwicklung des Phishing
nutzt Schad-Software, um am PC bestimmte
Manipulationen vornehmen zu können
Dateien auf dem PC werden dahingehend geändert,
dass auf falsche Webseiten umgeleitet wird
eigentliche Datei wird durch Virus
oder Trojaner überschrieben, dient zum
Umleiten auf falsche Bank-Webseiten
CYBER-GROOMING

"groom": striegeln, pflegen

(bridegroom: Bräutigam  )



Versuch, eine emotionelle Beziehung
zu einer Person (meist jung) aufzubauen
Erwachsener erschleicht sich das Vertrauen
eines Kindes oder Jugendlichen
Ziel: sexuelle Handlungen (Kinderpornografie,
Kinderprostitution)
CYBER-GROOMING



Vortäuschen einer falschen Identität
in social communities
Ziel: Treffen mit Jugendlichem
oder Kind
größte Vorsicht in sozialen Netzwerken ist angesagt!
 NIEMALS Unbekannten vollen Namen,
Telefonnummer, genaue Adresse o.ä. bekanntgeben!