Anzeige

Hacker

Social Engineering ist älter als das Internet selbst. Experten führen den Begriff auf das sogenannte Phreaking zurück. Hier wurden Telefongesellschaften von angeblichen Systemadministratoren telefonisch kontaktiert, um neue Passwörter für kostenlose Modemverbindungen zu erhalten.

Hackerlegenden wie Kevin Mitnick haben den Begriff populär gemacht und seit der Revolution des Internets ist er in aller Munde. Das Problem bei Social Engineering ist, dass es so schwierig ist, sich dagegen zu schützen. Die Art des Betrugs setzt beim Menschen an und überall wo Menschen arbeiten und besonders dann, wenn Menschen unter Stress arbeiten, ist Social Engineering besonders effektiv. Wenig verwunderlich, dass die Methode von Cyberkriminellen rund um die Welt eingesetzt wird, um viel Geld mit kopierten Daten und erpressten Kryptowährungen zu verdienen. 

Phishing ist die wohl weitläufig bekannteste Art des Social Engineering. Doch es gibt noch viele andere, in einem Video mit Hackerlegende Kevin Mitnick wurden die wichtigsten Social Engineering-Methoden zusammengefasst. Dabei handelt es sich um Pretexting, Diversion Theft, Spear Phishing, Water-Holing, Baiting, Quid-Pro-Quo, Tailgating, Honeytrap und Rogue.

Pretexting: Unter diesem Begriff verbirgt sich ein erfundenes Szenario, um ein potenzielles Opfer zu verführen und die Chance zu erhöhen, dass es darauf reinfällt. Es handelt sich dabei um ein falsches Motiv, das in der Regel einige reale Kenntnisse über das Opfer beinhaltet (z. B. Geburtsdatum, Sozialversicherungsnummer usw.), um noch mehr Informationen zu erhalten.

Diversion Theft: Das ist ein Betrug, der von professionellen Kriminellen ausgeübt wird und meist auf ein Transport- oder Kurierunternehmen abzielt. Ziel ist es, das Unternehmen dazu zu bringen, die Lieferung an einen anderen als den vorgesehenen Ort abzugeben.

Water-Holing: Diese Technik macht sich Websites zunutze, die Menschen regelmäßig besuchen und denen sie vertrauen. Der Angreifer sammelt Informationen über eine bestimmte Zielgruppe von Personen, um herauszufinden, welche Websites dies sind, und testet diese Websites dann auf Schwachstellen. Im Laufe der Zeit werden ein oder mehrere Mitglieder der Zielgruppe infiziert und der Angreifer kann sich Zugriff auf das sichere System verschaffen.

Baiting: Baiting bedeutet, einem Opfer etwas vor die Nase zu halten, damit es etwas unternimmt. Dies kann über eine Peer-to-Peer-Website oder ein soziales Netzwerk in Form eines Filmdownloads geschehen oder es kann ein USB-Stick sein, das an einem öffentlichen Ort für das Opfer bereitliegt. Sobald das Gerät verwendet oder die bösartige Datei heruntergeladen wird, wird der Computer des Opfers infiziert, sodass der Kriminelle das Netzwerk übernehmen kann.

Quid-Pro-Quo: Meint in diesem Zusammenhang einen Vorteil für das Opfer im Austausch für Informationen. Ein gutes Beispiel sind Angreifer, die vorgeben, vom IT-Support zu sein. Sie rufen jeden an, den sie in einem Unternehmen finden können, und sagen, dass sie eine schnelle Lösung haben und „Sie nur Ihr AV deaktivieren müssen“. Jeder, der darauf hereinfällt, bekommt Malware wie Ransomware auf seinem Rechner installiert.

Tailgating: Hierbei handelt es sich um eine Methode, die von Social Engineers verwendet wird, um Zugang zu einem Gebäude oder einem anderen geschützten Bereich zu erhalten. Ein Tailgater wartet darauf, dass ein autorisierter Benutzer einen sicheren Eingang öffnet und passiert, und folgt dann direkt dahinter.

Rogue: Dahinter versteckt sich eine Reihe von Schadsoftware wie ein Rogue Scanner, eine Rogue Anti-Spyware, eine Rogue Anti-Malware oder eine Scareware. Rogue Security Software ist eine Form von Computer-Malware, die Benutzer täuscht oder dazu verleitet, für die gefälschte oder simulierte Entfernung von Malware zu bezahlen.

Fazit

Unternehmen können noch so viel in technische Sicherheitsmaßnahmen investieren, der menschliche Faktor bleibt eine Schwachstelle, wenn er nicht regelmäßig trainiert wird. Social Engineering bleibt und wird weiter eingesetzt werden, nicht nur, weil es sehr effektiv ist, sondern auch, weil es der einfachste Weg für Cyberkriminelle ist, ihr Ziel zu erreichen. Mitarbeiter müssen in einem New School Security Awareness-Training kontinuierlich und abwechslungsreich darauf hingewiesen werden, wie sie Social Engineering erkennen, egal, ob sie auf der Arbeit vor einem Computer sitzen, ob sie privat auf ihrem Mobilfunkgeräte unterwegs sind, oder aber auf Reisen oder aber im Home Office andere nicht autorisierte Geräte benutzen. Die Gefahr bleibt immer gleich, ein falscher Klick genügt den Angreifern, um sich Zugriff zu verschaffen und den Ball ins Rollen zu bringen.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Artikel zu diesem Thema

Hacker
Mai 27, 2021

Active Directory im Fadenkreuz von Ransomware-as-a-Service-Gruppen

Die Besorgnis über den Ransomware-Angriff auf Colonial Pipeline durch DarkSide hat sich…
Kryptowährung
Mai 26, 2021

Kryptowährungen spalten die deutsche Wirtschaft

Kryptowährungen wie Bitcoin oder Ethereum haben nach immer neuen Höchstständen gerade…
Social Engineering
Apr 13, 2021

Social Engineering 2.0: KI, Deepfakes, Voice-Phishing und Co

Social-Engineering-Angriffe auf Organisationen sind in den letzten Jahren nicht nur…

Weitere Artikel

Phishing

Phishing-E-Mails werden immer raffinierter

KnowBe4, der Anbieter für Sicherheitsschulungen und Phishing-Simulationen, gibt die Ergebnisse seines Phishing-Berichts für das vierte Quartal 2021 bekannt.
Hacker

Gefahr durch Brand Impersonation und Ransomleaks wächst

Cyberkriminalität bleibt eine der größten Bedrohungen weltweit: Im neuen Cyber Threat Report Edition 2021/2022 veröffentlicht der E-Mail-Cloud-Security- und Backup-Provider Hornetsecurity die neusten Insights und Daten zur aktuellen Bedrohungslage mit Fokus…
Ukraine Hack

Der Angriff und das Defacement von Webseiten der ukrainischen Regierung

Am Freitagmorgen wurden mehrere Webseiten der ukrainischen Regierung und Botschaft angegriffen. Im Folgenden finden Sie einen Kommentar von John Hultquist, Vice President, Intelligence Analysis bei Mandiant, zu diesem Vorfall.
Cyberangriff

Noch vor Pandemie: Cyberangriffe die größte Gefahr für Unternehmen

Manager und Sicherheitsfachleute weltweit sehen in Cyberangriffen die größte Gefahr für Unternehmen. Im am Dienstag veröffentlichten «Risikobarometer» des zur Allianz gehörenden Industrieversicherers AGCS liegen kriminelle Hacker mit ihren Aktivitäten auf…
Windows

Über 3 Millionen unsichere Windows-PCs am Netz

In deutschen Haushalten gibt es rund 48 Millionen Computer, die mit dem Betriebssystem Windows laufen. Die Corona-Pandemie hat dazu geführt, dass Privatnutzer ihre Altgeräte erneuert und sogar mehr Geräte gekauft haben.
Corona Hacker

Dridex-Malware: Geschmacklose Omikron Phishing-Kampagne

„Eine bösartige Phishing-Kampagne verhöhnt die Opfer, nachdem sie ihre Geräte mit Dridex-Malware infiziert“, so Lawrence Abrams von BleepingComputer.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.