Anzeige

Social Engineering

Über 70 Prozent aller Cyberangriffe haben Studien zur Folge weniger die Hard- oder Software als primäres Ziel, sondern versuchen durch gezielte Manipulationen sensible Informationen durch den Menschen zu beschaffen und so weiterführende Angriffe durchzuführen.

Das liegt daran, dass gut geschützte Server sich von außen viel schwerer kompromittieren lassen, als die bewusste oder unbewusste Mithilfe der Angestellten in Anspruch zu nehmen. 

Die Ziele der Angreifenden sind meist:

  • Industriespionage
  • Image- oder Rufschädigung
  • Identitätsdiebstahl
  • Erpressung
  • Zugriff auf weitere Datenstrukturen. 

Auch wenn die genauen Methoden nicht immer bekannt sind, da kriminelle Expert/innen ihre Techniken zumeist nicht veröffentlichen, sind diverse Manipulationsgrundlagen bekannt, die eingesetzt werden. Social Engineering-Angriffe versuchen in den meisten Fällen Emotionen der Personen auszunutzen und somit künstlich Angst, Freude, Glück oder Zufriedenheit hervorzurufen.

Durch die gespielte Dringlichkeit des vermeintlichen Anliegens und der Begrenzung der Handlungszeit wird das Opfer unter Druck gesetzt und zum unüberlegten Handeln gebracht. 

Phishing und Spear-Phishing

Wir alle kennen schlecht erstellte Phishingmails mit Rechtschreibfehlern und unpersönlicher Anrede. Leider sieht zum Teil die Gegenwart, aber ziemlich sicher die Zukunft anders aus. Durch individuellere Spear-Phishing-Angriffe versuchen Kriminelle gezielt Handlungen auszulösen oder an Informationen zu gelangen. Durch vorherige Recherche werden individuelle Angriffe ausgeführt, die viel realistischer wirken als massenhaft versendete Phishing-Kampagnen. Dabei werden solche Angriffe längst nicht mehr nur von gewieften Individuen ausgeführt. Wie die vergangene Welle des Trojaners EMOTET gezeigt hat, werden Schadprogramme immer intelligenter.

Begeben wir uns dazu in ein Gedankenexperiment. Über soziale Netzwerke und andere öffentlich zugängliche Quellen kann ich sowohl über Unternehmen als auch über Einzelpersonen sehr viele Informationen in Erfahrung bringen. Anhand dieser Informationen bin ich in der Lage einen gezielten Spear-Phishing-Angriff vorzubereiten, der nicht so leicht erkannt werden kann. Mittlerweile ist aber Schadsoftware in der Lage, Informationen auszuwerten und diese für automatisierte Angriffe zu nutzen. Diese Entwicklung ist besorgniserregend und wird uns in den nächsten Jahren immer häufiger beschäftigen.

Voice Phishing, Shoulder Surfing & Co. 

Die Taktiken abseits des gängigen E-Mail-Phishings werden immer ausgeprägter und professioneller. In Zukunft werden wir nicht nur Angriffe über den Kanal „E-Mail“ erleben.

Soziale Netzwerke und Teamkommunikationsmittel des Remote-Work-Zeitalters, wie z. B. Microsoft Teams und Slack oder Videokonferenzsoftware geraten immer mehr in den Fokus von Kriminellen. Ich erinnere mich noch gut an meine letzte längere Zugreise mit dem ICE von Hamburg nach Leipzig im Jahr 2019. Im Abteil saß eine mittlere Führungskraft eines deutschen DAX-Konzerns und hielt für alle hörbar ein Meeting über strategische Ausrichtungen und Budgetplanung ab. Ohne in die Social Engineering-Trickkiste zu greifen, wurde ich unfreiwillig mit sensiblen Firmeninformationen gefüttert.

Durch strikte Richtlinien und Sensibilisierungsmaßnahmen könnte ein solches Meeting mit potentiell schädlichen Auswirkungen leicht verhindert werden. Ebenso wie eine Sichtschutzfolie vor Blicken der Sitznachbar/innen schützt. Durch die Ausbreitung der Corona-Pandemie sehen wir aber auch vermehrt den Einsatz von Voice Phishing auf im Home-Office arbeitende Mitarbeitende. Dabei erhält die Person eine Reihe von Anrufen. Ein gängiges Beispiel sind Anrufe der IT-Abteilung. Diese wollen den VPN-Zugang richtig konfigurieren, um die Person im Home-Office zu schützen. Dabei wird dann versucht die Person dazu zu bringen, Zugangsdaten am Telefon durchzugeben oder auf einem gefälschten VPN-Portal einzugeben. Auch hier werden wieder die oben benannten Manipulationstaktiken angewandt und diese Art von Angriffen kann durch untenstehende Schutzmaßnahmen relativ einfach verhindert werden. 

Wie können Unternehmen sich schützen?

Das Unternehmen kann über mehrere Bereiche geschützt werden. Leider ist es in der Praxis oft so, dass erst Maßnahmen ergriffen werden, wenn bereits ein Angriff geglückt ist. Auch wenn die Nachbereitung und Auswertung von Angriffen sehr wichtig ist, müssen präventive Maßnahmen ergriffen werden, um die Wahrscheinlichkeit des Erfolgs eines Angriffes zu reduzieren. Zum einen müssen klare Kommunikationswege festgelegt und der Wert von Informationen klassifiziert werden. Alle Angestellten sollten selbst im Schlaf wissen, welche Art von Informationen an welche Personenkreise herausgegeben werden darf. Nur so kann die Handlungssicherheit gefestigt und das Schutzniveau erhöht werden. Zum anderen müssen Personen in der Lage sein, Bedrohungen erkennen und einordnen zu können. Dies wird durch nachhaltige Sensibilisierungsmaßnahmen und Trainings erreicht.

Je öfter Personen durch Beispiele oder Übungen mit Situationen konfrontiert werden, umso sicherer werden diese im Umgang damit. Aber auch die einzelnen Personen können sich durch die folgenden Maßnahmen signifikant schützen. Denn Social Engineering-Angriffe leben von den Informationen, welche die Kriminellen über das Opfer im Vorhinein sammeln können. Datensparsamkeit ist nicht nur ein Grundsatz aus aktuellen Datenschutzvorschriften, sondern auch ein Grundsatz für unseren digitalen Alltag. Es sollten nur so viele Informationen in sozialen Netzwerken preisgegeben werden, wie nötig. Weiterhin ist besondere Vorsicht bei Einladungen von unbekannten Personen geboten. 

Hier können Sie Teil 1 lesen:

IT-Sicherheit beim mobilen Arbeiten

Hier können Sie Teil 2 lesen:

E-Mail-Sicherheit im Home-Office

 

Hannes Hartung, Geschäftsführer
Hannes Hartung
Geschäftsführer, Increase Your Skills (IYS)

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Hacker
Nov 03, 2020

Hacker nutzen Domain Parking, um die Malware Emotet zu verbreiten

Domain-Parking-Dienste bieten eine einfache Lösung für Domaininhaber, den Verkehr ihrer…
Phishing
Okt 27, 2020

Fünf Mythen von simulierten Phishing-Nachrichten

Der Nutzen von Cybersecurity-Awareness, insbesondere von Phishing-Simulationen, wird…
Social Engineering
Okt 01, 2020

Social Engineering-Angriffe mit Analytik schneller identifizieren

Social Engineering war für jeden Internetnutzer, sowohl als Einzelperson oder als Teil…

Weitere Artikel

RemoteWork Sicherheit

In drei Schritten zu mehr Netzwerksicherheit im Remote-Umfeld

Die Corona-Pandemie zwang im Frühjahr viele Unternehmen quasi über Nacht zur Digitalisierung. Dies gelang mal besser, mal schlechter, doch so langsam ist der Großteil von ihnen in der neuen Realität von Fernarbeit und Onlinekonferenzen angekommen.
Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!