Mailfence logo

Social Engineering: Was bedeutet “Baiting” (Ködern)?

Was ist Baiting

Inhaltsverzeichnis

Diesen Artikel teilen:

Was bedeutet „Baiting“?

Der “glückliche Gewinner” erhält einen kostenlosen digitalen Audio-Player, der in Wirklichkeit jeden Computer kompromittiert, an den er angeschlossen ist – Na, doch nicht so glücklich!! Dies ist ein klassisches Beispiel für die Social Engineering-Methode “Baiting“.

Baiting (Ködern) ist wie das reale’ Trojanische Pferd’, es verwendet physische Gegenstände und verlässt sich auf die Neugier oder Gier des Opfers. Es ähnelt in vielerlei Hinsicht Phishing-Angriffen. Was sie jedoch von anderen Arten von Social Engineering-Angriffen unterscheidet, ist das Versprechen eines Gegenstandes oder Gutes, mit dem Hacker ihr Opfer anlocken. Dies können beispielsweise kostenlose Musik- oder Filmdownloads sein, wenn die geköderten Opfer ihre Anmeldeinformationen an eine bestimmte Website weitergeben.

Diese Angriffe sind nicht auf den Online-Bereich beschränkt. Angreifer können sich auch darauf konzentrieren, die menschliche Neugier durch den Einsatz physischer Gegenstände auszunutzen.

Wie läuft Baiting ab?

Nehmen wir ein Business-Szenario: Mit dem Ziel, das Netzwerk eines Unternehmens zu infiltrieren, kann der Social Engineer Malware-infizierte Flash-Laufwerke oder ähnliche Geräte an Mitarbeiter verteilen. Er hofft dann, dass diese Hardware in vernetzte Computer im Unternehmen eingebaut wird, um bösartigen Code zu verbreiten. Infizierte Flash-Laufwerke können den Mitarbeitern beispielsweise als Werbegeschenk oder als Belohnung für die Teilnahme an einer Umfrage angeboten werden. Vielleicht befinden sich die „unschuldig aussehenden“ Geräte in einem Karton mit Gratisgeschenken in der Firmenlobby, die die Mitarbeiter auf dem Weg zurück in ihren Arbeitsbereich einfach mitnehmen können. Möglich wäre auch die strategische Platzierung von infizierten Geräten für bestimmte Mitarbeiter. Wenn die Geräte mit raffinierten Etiketten wie “Vertraulich” oder “Gehaltsinfo” gekennzeichnet sind, sind sie für manche Mitarbeiter einfach zu verlockend. Diese Mitarbeiter schlucken dann vielleicht den Köder und installieren das infizierte Gerät in ihre Firmencomputer – und Voilà!

Was ist der Unterschied zwischen Baiting und anderen Social Engineering-Techniken?

Die Besonderheit des Baiting (Köderns) besteht, wie der Name schon sagt, darin, ein Opfer zu verleiten, den Köder zu schlucken. Der verlockende Inhalt könnte das Versprechen eines Geschenks oder die Möglichkeit sein, eine Belohnung zu erhalten. Die Aufgabe des Hackers besteht also darin, eine Falle für sein Opfer zu stellen.

Abgesehen von dieser kleinen Spitzfindigkeit ist diese Methode anderen Social-Engineering-Techniken wie Phishing, Pretexting oder Smishing sehr ähnlich.

Wie Sie Ihr System gegen Baiting schützen?

Die beste Verteidigung gegen Köder und andere Social Engineering-Angriffe besteht darin, sich oder Ihr Team zu erziehen. Jeder von uns sollte bestrebt sein, für ein starkes Sicherheitsverständnis in seiner Umgebung – Büro, Wohnung usw. – zu sorgen, in der jeder Einzelne “Unternehmenssicherheit” als integralen Bestandteil seiner individuellen Verantwortung betrachtet. Speziell zum Thema Ködern sollte jeder Einzelne mit seiner Familie, seinen Freunden und Kollegen offene Gespräche führen – und sie auf die Gefahren selbst kleinster Fehler aufmerksam machen.

Es gibt weitere Tipps, die Sie befolgen können, um Social-Engineering-Methoden zu vermeiden. Unser Online-Kurs über E-Mail-Sicherheit und Online-Privatsphäre bietet Ihnen umfassende Informationen zu diesem Thema, damit Sie sich so gut wie möglich vor Social Engineering schützen können.

Sich selbst und andere zu erziehen – ist bei weitem die effektivste Verteidigung gegen alle Formen des ‘Social Engineering’.

Melden Sie sich am besten gleich für ein kostenloses Mailfence Benutzerkonto an und schützen Sie Ihre Daten gegen Social Engineering-Attacken.

Gewinnen Sie Ihre E-Mail-Daten zurück.

Erstellen Sie Ihre kostenlose und sichere E-Mail.

M Salman Nadeem

M Salman Nadeem

Salman arbeitet als Informationssicherheitsanalyst für Mailfence. Zu seinen Interessengebieten gehören Kryptographie, Sicherheitsarchitektur und -design, Zugangskontrolle und Betriebssicherheit. Sie können ihm auf LinkedIn folgen @mohammadsalmannadeem

Empfohlen für Sie