Sicherheit bei Clients |
« zurück |
 drucken
|
 Angriffsarten |
Brute Force AttackHier werden mit Hilfe einer Software systematisch alle möglichen Passwortkombinationen durchprobiert,um sich zu einem passwortgeschützten Bereich Zugang zu verschaffen. |
Social HackingAuch Social Engineering genannt. Dabei wird eine Person ausspioniert oder ausgefragt, um an vertrauliche Daten zu gelangen. Als erstes werden Informationen über die Firma gesammelt, um sich bei einer späteren Kontaktaufnahme als Mitarbeiter oder Vorgesetzter auszugeben und damit vorzutäuschen eine vertrauenswürdige Person zu sein. Ist dies gelungen, wird nach Details über die IT-Infrastruktur oder sogar nach Benutzernamen und Passwörter gefragt.Bei einem weiteren Vorgehen geht man davon aus, dass viele Benutzer keine sicheren Passwörter wählen. Man versucht alles über das private Umfeld eines Mitarbeiter in Erfahrung zu bringen (Namen/Geburtsdatum von Ehepartner, Kinder, Haustieren, Automarke, Autonummer, Telefonnummer) und davon Passwörter abzuleiten. |
Bin RaidingDarunter versteht man das systematische durchsuchen der Mülleimer und des Altpapiers auf vertrauliche Daten. Bei umfangreichen Studien hat man festgestellt, dass bei vielen Firmen Kundendaten, Adressen, Unterschriften, Zugangsdaten und auch komplette Patientenaktein im Altpapier entsorgt wurden. Solche Unterlagen müssen im Reisswolf vernichtet werden. Diese Daten können bei Social Hacking Attacken enorm helfen. |
PhishingDas Ziel beim Phishing-Attaken ist Zugriffsdaten wie Passwort und Transaktionsnummer zu erschleichen.Es wird eine gefälschte Webseite erstellt, die aussieht wie die Anmeldeseite für einen passwortgeschützten Bereich eines Anbieters (Internet-Shop, E-Banking, Intranet etc.). Daraufhin wird ein Massenmail verschickt, welches einen Link auf die gefälschte Seite enthält. Im Mail wird der Benutzer angewiesen sich über diesen Link anzumelden und seine Benutzerdaten zu überprüfen oder zu ändern. Dabei werden die IDs und Passwörter direkt an den Angreifer weitergeleitet. |
SpoofingSpoofing nennt man verschiedene Täuschungsversuche zur Verschleierung der eigenen Identität. Früher stand Spoofing ausschließlich für den Versuch des Angreifers, Pakete so zu fälschen, dass sie die Absenderadresse eines anderen (manchmal vertrauenswürdigen) Hosts tragen. Heutzutage umfasst Spoofing alle Methoden, mit denen sich Authentifizierungs- und Identifikationsverfahren untergraben lassen, die auf der Verwendung vertrauenswürdiger Adressen oder Hostnamen beruhen. Dazu gehören:
|
PharmingKombination von DNS-Spoofing und Phishing; Pharming hat sich als Oberbegriff für verschiedene Arten von DNS-Angriffen etabliert. Eine Methode dabei ist die lokale Manipulation der Host-Datei. Dabei wird unter Zuhilfenahme eines Trojaners oder eines Virus eine gezielte Manipulation des Systems vorgenommen mit der Konsequenz, dass von diesem System nur noch gefälschte Websites abrufbar sind, selbst wenn die Adresse korrekt eingegeben wurde. |
Man-in-the-middleDer Angreifer steht dabei entweder physikalisch oder - heute meist - logisch zwischen den beiden Kommunikationspartnern und hat dabei mit seinem System komplette Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren. |
PortscanningEs wird nach freien, nicht gesperrten Ports gesucht, um diese für das Eindringen in ein Netzwerk zu verwenden. |
Sniffing / SnifferDer Netzwerkverkehr wird gefiltert (abgehört), um an unverschlüsselte sensitive Daten zu gelangen. |
Dictionary AttackMit Hilfe eines elektronischen Wörterbuches wird mit allen enthaltenen Wörtern systematisch versucht in ein passwortgeschütztes System einzudringen. |
Replay-AttackeEine Replay-Attacke ist ein Angriff auf die Authentizität des Datenursprungs. Hierbei wird vom Angreifer ein Datenpaket an den Empfänger eines Datenstroms gesendet um Informationen zu verfälschen. |