ecdl m8
DESCRIPTION
(confidential: vertraulich). ECDL M8. IT - Security. HACKING. unberechtigtes Eindringen in Computersysteme und Netzwerke Schwachstellen in Computersystemen werden gesucht Versuche von Technik-Freaks, über das Internet auf PCs zuzugreifen - PowerPoint PPT PresentationTRANSCRIPT
ECDL
M8IT - Security
(confidential:vertraulich)
HACKING
unberechtigtes Eindringen in
Computersysteme und Netzwerke
Schwachstellen in Computersystemen
werden gesucht
Versuche von Technik-Freaks, über
das Internet auf PCs zuzugreifen
teils als reine Herausforderung,
aus Spaß an der Technik…
ETHISCHES HACKING
ohne kriminelle Absicht
auch ohne kriminelle Mittel
Ziel, Schwachstellen in Netz-
werken aufzuzeigen
oft im Auftrag von Firmen, die ihr
Netzwerk überprüfen lassen wollen
CRACKING
vom englischen Wort für "knacken"
oder "(ein)brechen"
Hacking mit krimineller Absicht
CRACKING
auch: Entfernen von Kopierschutz:
Herstellen einer Software-Kopie, die
ohne Eingabe eines Lizenzschlüssels
installiert werden kann
SOCIAL ENGINEERING
Informationsbeschaffung direkt beim
Computerbenutzer, ohne technische
Hilfsmittel
SOCIAL ENGINEERING
durch Ausspionieren des Umfelds des
Opfers oder Vortäuschen falscher
Identitäten entlockt man jemandem
vertrauliche Informationen
Beispiel: Jemand gibt sich am
Telefon als Bankbediensteter
aus und fragt mich nach
meinen Codes
BEISPIELE FÜR SOCIAL ENGINEERING:
Passwort-Fischen (password-fishing)
durch gefälschte Mails oder
SMS wird versucht,
Zugang zu Passwörtern
zu erlangen
PHISHING
PHISHING
Beispiele:
Massenmails, die täuschend echt wie
zB ebay- oder paypal-Mails aussehen,
sollen zur Eingabe von Passwörtern verleiten
Mail "Unser System wird umgestellt – bitte
geben Sie Ihren Benutzernamen und Ihr
Passwort in folgendem Formular ein, damit die
Änderungen für Ihr Konto durchgeführt werden
können" o.ä.
BEISPIELE FÜR SOCIAL ENGINEERING:
pretext … engl. für "Vorwand"
durch Beschaffen persönlicher
Informationen werden
falsche Tatsachen vorgetäuscht
PRETEXTING
PRETEXTING
Beispiele:
durch Angabe zB von Versicherungsnummern
oder Geburtsdaten wird vorgegaukelt, Recht
auf bestimmte Informationen zu haben
gefälschte Formulare oder Webseiten
täuschen Organisationen und Banken vor
bietet sogar die Möglichkeit, unter
falschem Namen Straftaten zu begehen
SKIMMING
Ausspionieren speziell von Bank-
Zugangsdaten
mit Hilfe der erhaltenen Informationen
können Konten geplündert werden
geht möglichst unbemerkt vonstatten,
damit die Betroffenen ihr
Bankkonto nicht sperren lassen
SKIMMING
durch Manipulation von Geldautomaten
werden Kundendaten "abgeschöpft"
Magnetstreifeninformation einer
Bankomatkarte wird durch am Geldautomat
angebrachte kleine Lesegeräte ausspioniert
Informationsbeschaffung zB durch
Austausch des Tastenfeldes oder Anbringung
kleiner Funkkameras beim Bankomat
INFORMATION DIVING
"nach Informationen tauchen"
(auch "dumpster diving" -
"Mülleimertauchen")
Informationsbeschaffung aus
weggeworfenen Unterlagen
oder Datenträgern
INFORMATION DIVING
auf dem Rechner gespeicherte Kreditkarten-
Nummern etc. können - nach unprofessioneller
Entsorgung - problemlos ausgeforscht werden
durch Auswertung von Organisationsplänen
aus dem Mülleimer wird die Organisations-
struktur eines Betriebes ausgeforscht
eine ausrangierte Festplatte wird nach
persönlichen Daten durchsucht
SHOULDER SURFING
"Schulter-Surfen"
Informationsbeschaffung durch direkte
Beobachtung der Eingabe von PINs oder
Passwörtern
besonders leicht möglich in Internet-
Cafés oder an belebten Orten, wenn
über Smartphone o.ä. Passwörter
eingegeben werden
SHOULDER SURFING
auch mit technischen Hilfsmitteln:
wenn über Smartphone o.ä. Passwörter
eingegeben werden, filmt eine kleine Kamera
mit
davor kann man sich relativ einfach schützen:
durch verdeckte Eingabe von
Passwörtern und Kontrolle der
Tastenfelder, Blick über die Schulter
PHARMING
unter Zuhilfenahme eines Virus oder Trojaners
wird das Computersystem gezielt beeinflusst,
"echte" durch manipulierte Dateien ersetzt
in der Folge werden gefälschte Webseiten
angezeigt, obwohl die korrekte
Adresse eingegeben wurde
auf diesen Seiten werden
dann Passwörter erfragt
PHARMING
Weiterentwicklung des Phishing
nutzt Schad-Software, um am PC bestimmte
Manipulationen vornehmen zu können
Dateien auf dem PC werden dahingehend
geändert, dass auf falsche Webseiten umgeleitet
wird
eigentliche Datei wird durch Virus
oder Trojaner überschrieben, dient zum
Umleiten auf falsche Bank-Webseiten
CYBER-GROOMING "groom": striegeln, pflegen (bridegroom: Bräutigam )
Versuch, eine emotionelle Beziehung
zu einer Person (meist jung) aufzubauen
Erwachsener erschleicht sich das Vertrauen
eines Kindes oder Jugendlichen
Ziel: sexuelle Handlungen
(Kinderpornografie, Kinderprostitution)
CYBER-GROOMING
Vortäuschen einer falschen Identität
in social communities
Ziel: Treffen mit Jugendlichem
oder Kind
größte Vorsicht in sozialen Netzwerken ist
angesagt!
NIEMALS Unbekannten vollen Namen,
Telefonnummer, genaue Adresse o.ä.
bekanntgeben!