Anzeige

Hacker

Social Engineering ist älter als das Internet selbst. Experten führen den Begriff auf das sogenannte Phreaking zurück. Hier wurden Telefongesellschaften von angeblichen Systemadministratoren telefonisch kontaktiert, um neue Passwörter für kostenlose Modemverbindungen zu erhalten.

Hackerlegenden wie Kevin Mitnick haben den Begriff populär gemacht und seit der Revolution des Internets ist er in aller Munde. Das Problem bei Social Engineering ist, dass es so schwierig ist, sich dagegen zu schützen. Die Art des Betrugs setzt beim Menschen an und überall wo Menschen arbeiten und besonders dann, wenn Menschen unter Stress arbeiten, ist Social Engineering besonders effektiv. Wenig verwunderlich, dass die Methode von Cyberkriminellen rund um die Welt eingesetzt wird, um viel Geld mit kopierten Daten und erpressten Kryptowährungen zu verdienen. 

Phishing ist die wohl weitläufig bekannteste Art des Social Engineering. Doch es gibt noch viele andere, in einem Video mit Hackerlegende Kevin Mitnick wurden die wichtigsten Social Engineering-Methoden zusammengefasst. Dabei handelt es sich um Pretexting, Diversion Theft, Spear Phishing, Water-Holing, Baiting, Quid-Pro-Quo, Tailgating, Honeytrap und Rogue.

Pretexting: Unter diesem Begriff verbirgt sich ein erfundenes Szenario, um ein potenzielles Opfer zu verführen und die Chance zu erhöhen, dass es darauf reinfällt. Es handelt sich dabei um ein falsches Motiv, das in der Regel einige reale Kenntnisse über das Opfer beinhaltet (z. B. Geburtsdatum, Sozialversicherungsnummer usw.), um noch mehr Informationen zu erhalten.

Diversion Theft: Das ist ein Betrug, der von professionellen Kriminellen ausgeübt wird und meist auf ein Transport- oder Kurierunternehmen abzielt. Ziel ist es, das Unternehmen dazu zu bringen, die Lieferung an einen anderen als den vorgesehenen Ort abzugeben.

Water-Holing: Diese Technik macht sich Websites zunutze, die Menschen regelmäßig besuchen und denen sie vertrauen. Der Angreifer sammelt Informationen über eine bestimmte Zielgruppe von Personen, um herauszufinden, welche Websites dies sind, und testet diese Websites dann auf Schwachstellen. Im Laufe der Zeit werden ein oder mehrere Mitglieder der Zielgruppe infiziert und der Angreifer kann sich Zugriff auf das sichere System verschaffen.

Baiting: Baiting bedeutet, einem Opfer etwas vor die Nase zu halten, damit es etwas unternimmt. Dies kann über eine Peer-to-Peer-Website oder ein soziales Netzwerk in Form eines Filmdownloads geschehen oder es kann ein USB-Stick sein, das an einem öffentlichen Ort für das Opfer bereitliegt. Sobald das Gerät verwendet oder die bösartige Datei heruntergeladen wird, wird der Computer des Opfers infiziert, sodass der Kriminelle das Netzwerk übernehmen kann.

Quid-Pro-Quo: Meint in diesem Zusammenhang einen Vorteil für das Opfer im Austausch für Informationen. Ein gutes Beispiel sind Angreifer, die vorgeben, vom IT-Support zu sein. Sie rufen jeden an, den sie in einem Unternehmen finden können, und sagen, dass sie eine schnelle Lösung haben und „Sie nur Ihr AV deaktivieren müssen“. Jeder, der darauf hereinfällt, bekommt Malware wie Ransomware auf seinem Rechner installiert.

Tailgating: Hierbei handelt es sich um eine Methode, die von Social Engineers verwendet wird, um Zugang zu einem Gebäude oder einem anderen geschützten Bereich zu erhalten. Ein Tailgater wartet darauf, dass ein autorisierter Benutzer einen sicheren Eingang öffnet und passiert, und folgt dann direkt dahinter.

Rogue: Dahinter versteckt sich eine Reihe von Schadsoftware wie ein Rogue Scanner, eine Rogue Anti-Spyware, eine Rogue Anti-Malware oder eine Scareware. Rogue Security Software ist eine Form von Computer-Malware, die Benutzer täuscht oder dazu verleitet, für die gefälschte oder simulierte Entfernung von Malware zu bezahlen.

Fazit

Unternehmen können noch so viel in technische Sicherheitsmaßnahmen investieren, der menschliche Faktor bleibt eine Schwachstelle, wenn er nicht regelmäßig trainiert wird. Social Engineering bleibt und wird weiter eingesetzt werden, nicht nur, weil es sehr effektiv ist, sondern auch, weil es der einfachste Weg für Cyberkriminelle ist, ihr Ziel zu erreichen. Mitarbeiter müssen in einem New School Security Awareness-Training kontinuierlich und abwechslungsreich darauf hingewiesen werden, wie sie Social Engineering erkennen, egal, ob sie auf der Arbeit vor einem Computer sitzen, ob sie privat auf ihrem Mobilfunkgeräte unterwegs sind, oder aber auf Reisen oder aber im Home Office andere nicht autorisierte Geräte benutzen. Die Gefahr bleibt immer gleich, ein falscher Klick genügt den Angreifern, um sich Zugriff zu verschaffen und den Ball ins Rollen zu bringen.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Artikel zu diesem Thema

Hacker
Mai 27, 2021

Active Directory im Fadenkreuz von Ransomware-as-a-Service-Gruppen

Die Besorgnis über den Ransomware-Angriff auf Colonial Pipeline durch DarkSide hat sich…
Kryptowährung
Mai 26, 2021

Kryptowährungen spalten die deutsche Wirtschaft

Kryptowährungen wie Bitcoin oder Ethereum haben nach immer neuen Höchstständen gerade…
Social Engineering
Apr 13, 2021

Social Engineering 2.0: KI, Deepfakes, Voice-Phishing und Co

Social-Engineering-Angriffe auf Organisationen sind in den letzten Jahren nicht nur…

Weitere Artikel

Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.
Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.