Tailgating oder Piggybanking ist eine alte, aber effektive Social-Engineering-Technik, um physischen Zugang zu eingeschränkten Bereichen zu erhalten, so Rahul Awati von TechTarget. Tailgating ist, wenn der Angreifer einfach einem Mitarbeiter durch eine Tür folgt, die eine Authentifizierung erfordert.
“Tailgating ist eine der einfachsten Formen eines Social-Engineering-Angriffs”, schreibt Awati. “Es ist eine einfache Möglichkeit für eine unbefugte Partei, Sicherheitsmechanismen zu umgehen, von denen angenommen wird, dass sie sicher sind. Die Sicherheit kommt durch eine Kombination aus menschlicher Unachtsamkeit (die folgende Partei) und Einfallsreichtum (die folgende Partei) in Frage. Zum Beispiel soll ein Retina-Scanner den Zugang zu einem physischen Bereich einschränken, indem er die Netzhaut von autorisiertem Personal scannt. Während die Retina-Scan-Authentifizierung funktioniert, können Unbefugte Zugang zu einem gesicherten Bereich erhalten, wenn ein Mitarbeiter aus einem fehlgeleiteten Gefühl der Höflichkeit oder Gewohnheit die Tür für eine unbekannte Person hinter sich hält. Eine solche höfliche Geste kann von Einzelpersonen ausgenutzt werden, um Zugang zu einem Ort zu erhalten, auf den sie sonst möglicherweise nicht hätten zugreifen können. “
Tailgating tritt am häufigsten auf, wenn ein Mitarbeiter aus Höflichkeit die Tür für eine andere Person hält.
“Bedrohungsakteure nutzen kognitive Verzerrungen, die die menschliche Entscheidungsfindung beeinflussen”, sagt Awati. “Ein solcher ‘menschlicher Käfer’ ist die Tendenz, höflich zu sein. Eine andere ist die Tendenz, anderen Menschen zu vertrauen. Eine Person, die die Tür offen hält, geht normalerweise nicht davon aus, dass eine tailgating Person nicht dort sein sollte, oder schlimmer noch, beabsichtigt, der Organisation zu schaden. Tailgating ist ein häufiges Problem in Gebäuden mit mehreren Mietern, in denen viele Menschen auf das Gebäude zugreifen, was es schwierig macht, unbefugtes Personal zu verfolgen und fernzuhalten. Tailgating kommt auch häufiger in Unternehmen vor, in denen Mitarbeiter die Best Practices der Cybersicherheit nicht befolgen. Dies kann auf Unachtsamkeit oder unzureichendes Training zurückzuführen sein. “
Nicht, dass Sie wollen, dass jeder unhöflich ist, aber alle fairen Menschen verstehen, dass Sie die Sicherheit nicht für die Höflichkeit opfern können. Cyber Security Awareness Trainings können Ihren Mitarbeitern ein gesundes Gefühl des Misstrauens vermitteln, damit sie Social-Engineering-Angriffe vereiteln können.
TechTarget hat die Geschichte.