Montag, 3. August 2015
Das Thema unserer #nohacked-Kampagne lautet heute Social Engineering. Folgt auch unseren Diskussionen auf
Twitter
und
Google+
mit dem #nohacked-Hashtag. (
Teil 1
)
Wenn ihr viel im Web surft, seid ihr höchstwahrscheinlich schon einmal auf eine Form von Social Engineering gestoßen. Beim Social Engineering versuchen Angreifer durch Täuschung oder Manipulation, vertrauliche Informationen von euch zu erhalten.
Phishing
Vielleicht habt ihr schon von Phishing gehört, einer der häufigsten Formen von Social Engineering. Phishing-Websites und -E-Mails ahmen legitime Websites nach und bringen euch dazu, vertrauliche Informationen wie etwa euren Nutzernamen und euer Passwort auf diesen Websites einzugeben. Einer aktuellen Google-Studie zufolge gelingt es einigen Phishing-Websites in 45 % der Fälle, die Nutzer zu täuschen. Wenn eine Phishing-Website eure Informationen erhalten hat, werden diese entweder verkauft oder zur Manipulation eurer Konten genutzt.
Weitere Formen von Social Engineering
Phishing ist nicht die einzige Form von Social Engineering, vor der sich Websiteinhaber in Acht nehmen müssen. Eine weitere Methode hängt mit der Software und den Tools zusammen, die ihr auf euren Websites verwendet. Wenn ihr ein Content-Management-System (CMS), Plug-ins oder Add-ons herunterladet oder verwendet, achtet darauf, dass sie aus vertrauenswürdigen Quellen stammen, also etwa direkt von der Website des Entwicklers. Die Software von nicht vertrauenswürdigen Websites kann schädliche Exploits enthalten, über die Hacker Zugriff auf eure Website erlangen können.
Webmasterin Wanda wurde zum Beispiel kürzlich von Brandon’s Pet Palace engagiert, um an der Erstellung einer Website mitzuarbeiten. Nachdem sie einige Entwürfe angefertigt hatte, begann Wanda, die Software zusammenzustellen, die sie zum Erstellen der Website benötigte. Sie stellte jedoch fest, dass "Photo Frame Beautifier", eines ihrer bevorzugten Plug-ins, von der offiziellen CMS-Plug-in-Website entfernt worden war und dass der Entwickler das Plug-in nicht mehr unterstützte. Sie fand schnell eine Website, auf der ein Archiv alter Plug-ins angeboten wurde. Sie lud das Plug-in herunter und verwendete es, um die Website fertigzustellen. Zwei Monate später wurde Wanda über die Search Console benachrichtigt, dass die Website ihres Kunden gehackt worden war. Sie machte sich sofort an die Arbeit, um den gehackten Inhalt wiederherzustellen, und fand die Fehlerquelle. Wie sich herausstellte, war das "Photo Frame Beautifier"-Plug-in von Dritten modifiziert worden, um Angreifern den Zugriff auf die Website zu ermöglichen. Wanda entfernte das Plug-in, stellte den gehackten Inhalt wieder her, sicherte die Website vor zukünftigen Angriffen und reichte über die Search Console einen Antrag auf erneute Überprüfung ein. Wie ihr seht, führte eine Unachtsamkeit von Wanda dazu, dass Unbefugte Zugriff auf die Website ihres Kunden erlangten.
Schutz vor Social-Engineering-Angriffen
Social Engineering funktioniert, weil es nicht offensichtlich ist, dass eure Aktionen zu einem Fehler führen. Es gibt jedoch einige grundlegende Punkte, durch deren Beachtung ihr euch besser vor Social Engineering schützen könnt.
Zusätzliche Ressourcen zum Thema Social Engineering:
Falls ihr noch Fragen habt, könnt ihr diese gern in unserem Forum für Webmaster posten.
Post von Eric Kuan, Webmaster Relations Specialist und Yuan Niu, Webspam Analyst
(Veröffentlicht von Sven Naumann, Search Quality Team)
Wenn ihr viel im Web surft, seid ihr höchstwahrscheinlich schon einmal auf eine Form von Social Engineering gestoßen. Beim Social Engineering versuchen Angreifer durch Täuschung oder Manipulation, vertrauliche Informationen von euch zu erhalten.
Phishing
Vielleicht habt ihr schon von Phishing gehört, einer der häufigsten Formen von Social Engineering. Phishing-Websites und -E-Mails ahmen legitime Websites nach und bringen euch dazu, vertrauliche Informationen wie etwa euren Nutzernamen und euer Passwort auf diesen Websites einzugeben. Einer aktuellen Google-Studie zufolge gelingt es einigen Phishing-Websites in 45 % der Fälle, die Nutzer zu täuschen. Wenn eine Phishing-Website eure Informationen erhalten hat, werden diese entweder verkauft oder zur Manipulation eurer Konten genutzt.
Weitere Formen von Social Engineering
Phishing ist nicht die einzige Form von Social Engineering, vor der sich Websiteinhaber in Acht nehmen müssen. Eine weitere Methode hängt mit der Software und den Tools zusammen, die ihr auf euren Websites verwendet. Wenn ihr ein Content-Management-System (CMS), Plug-ins oder Add-ons herunterladet oder verwendet, achtet darauf, dass sie aus vertrauenswürdigen Quellen stammen, also etwa direkt von der Website des Entwicklers. Die Software von nicht vertrauenswürdigen Websites kann schädliche Exploits enthalten, über die Hacker Zugriff auf eure Website erlangen können.
Webmasterin Wanda wurde zum Beispiel kürzlich von Brandon’s Pet Palace engagiert, um an der Erstellung einer Website mitzuarbeiten. Nachdem sie einige Entwürfe angefertigt hatte, begann Wanda, die Software zusammenzustellen, die sie zum Erstellen der Website benötigte. Sie stellte jedoch fest, dass "Photo Frame Beautifier", eines ihrer bevorzugten Plug-ins, von der offiziellen CMS-Plug-in-Website entfernt worden war und dass der Entwickler das Plug-in nicht mehr unterstützte. Sie fand schnell eine Website, auf der ein Archiv alter Plug-ins angeboten wurde. Sie lud das Plug-in herunter und verwendete es, um die Website fertigzustellen. Zwei Monate später wurde Wanda über die Search Console benachrichtigt, dass die Website ihres Kunden gehackt worden war. Sie machte sich sofort an die Arbeit, um den gehackten Inhalt wiederherzustellen, und fand die Fehlerquelle. Wie sich herausstellte, war das "Photo Frame Beautifier"-Plug-in von Dritten modifiziert worden, um Angreifern den Zugriff auf die Website zu ermöglichen. Wanda entfernte das Plug-in, stellte den gehackten Inhalt wieder her, sicherte die Website vor zukünftigen Angriffen und reichte über die Search Console einen Antrag auf erneute Überprüfung ein. Wie ihr seht, führte eine Unachtsamkeit von Wanda dazu, dass Unbefugte Zugriff auf die Website ihres Kunden erlangten.
Schutz vor Social-Engineering-Angriffen
Social Engineering funktioniert, weil es nicht offensichtlich ist, dass eure Aktionen zu einem Fehler führen. Es gibt jedoch einige grundlegende Punkte, durch deren Beachtung ihr euch besser vor Social Engineering schützen könnt.
- Wachsam sein: Lasst ein gesundes Maß an Skepsis walten, wenn ihr online vertrauliche Informationen eingebt oder Websitesoftware installiert. Prüft die URLs, damit ihr nicht versehentlich vertrauliche Informationen auf einer schädlichen Website eingebt. Achtet beim Installieren von Websitesoftware darauf, dass sie aus bekannten, vertrauenswürdigen Quellen wie etwa von der Website des Entwicklers stammt.
- Zwei-Faktor-Authentifizierung verwenden: Eine Zwei-Faktor-Authentifizierung wie die Bestätigung in zwei Schritten von Google sorgt für eine zusätzliche Sicherheitsebene. Dabei bleibt euer Konto selbst dann geschützt, wenn euer Passwort gestohlen wurde. Ihr solltet möglichst für alle Konten eine Zwei-Faktor-Authentifizierung verwenden. Nächste Woche werden wir ausführlicher auf die Vorteile der Zwei-Faktor-Authentifizierung eingehen.
Zusätzliche Ressourcen zum Thema Social Engineering:
- Weitere Informationen zum Schutz vor Phishing-Angriffen
- Phishing-Seite melden
- Betrugsversuche unter Ausnutzung der Marke Google erkennen und melden
- Phishing- und Spoofing-E-Mails erkennen
Falls ihr noch Fragen habt, könnt ihr diese gern in unserem Forum für Webmaster posten.
Post von Eric Kuan, Webmaster Relations Specialist und Yuan Niu, Webspam Analyst
(Veröffentlicht von Sven Naumann, Search Quality Team)