Anzeige

Social Engineering

Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen preisgeben, schädliche Links anklicken oder infizierte Anhänge öffnen? Ja, meinen die IT-Sicherheitsexperten der PSW GROUP.

„Bei dieser Angriffsmethode, dem Social Engineering, nutzen Kriminelle nämlich die menschliche Psyche gezielt aus, um relevante Daten in Erfahrung zu bringen. Mithilfe unterschiedlicher Methoden versuchen sie, das Vertrauen einer bestimmten Person zu gewinnen. Im Ergebnis öffnet diese ihnen dann Tür und Tor zum Datenschatz, indem sie beispielsweise Login-Daten einschließlich Passwörter preisgibt“, erklärt Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Die Tatsache, dass nahezu jede Person irgendwo online auffindbar ist, macht den Angriff über Social Engineering einfach: In sozialen Netzwerken sammeln die Betrüger zunächst Informationen über ihre Zielpersonen. So gelingt es ihnen später, sich als Vertrauensperson auszugeben – beispielsweise per E-Mail. Mittels Spoofing lassen sich E-Mail-Adressen so verschleiern, dass der wahre Absender nicht sichtbar werden muss. „Die E-Mail könnte darauf abzielen, zum Download eines verseuchten Anhangs oder zum Klicken auf einen Link zu verführen.

Dahinter verbergen sich Malware oder auch Phishing-Angriffe zum Herausfinden der Login-Daten. Der Kriminelle könnte sich aber auch per Telefon an einen Mitarbeitenden wenden und erklären, er sei aus der IT-Abteilung und müsse die Zugangsdaten auf Anweisung des Chefs prüfen. Das arglose Opfer glaubt, mit einem Kollegen aus der IT-Abteilung zu sprechen, und gibt die „angeforderten“ Daten heraus. Ein solcher autoritätsbasierter Ansatz funktioniert leider häufiger als gedacht“, nennt Patrycja Schrenk zwei mögliche Angriffs-Szenarien.

Die Beispiele zeigen, dass verschiedene Formen des Social Engineering-Angriffs existieren. Die Häufigste ist jedoch die des E-Mail-Betrugs: Mit gefälschten E-Mails versuchen Angreifer, ihr Opfer dazu zu bringen, eine bestimmte Aktion in der E-Mail auszuführen. Heißt: Das Opfer soll eine Datei öffnen oder einen Link anklicken. Solche E-Mails müssen nicht immer als plumpe Fälschung daherkommen und leicht erkennbar sein. Cyberkriminelle betreiben manchmal großen Aufwand, die Köder auf ihre Opfer individuell zuzuschneiden, sodass gefälschte E-Mails häufig kaum von echten zu unterscheiden sind.

„Beim Social Engineering ergreifen Kriminelle Taktiken, die gezielt menschliche Schwächen ausnutzen sollen. Mit besonders interessanten Betreffzeilen wecken sie zum Beispiel die Neugierde ihres Opfers, die E-Mail überhaupt erst zu öffnen und beispielsweise einen Link anzuklicken. Gern täuschen die Angreifer auch Dringlichkeit vor, um ihr Opfer zu drängen, eine angehängte Datei sofort zu öffnen“, informiert Schrenk über einige Taktiken. Auch Täuschung gehört dazu: Angreifer bauen auch E-Mails von vertrauenswürdigen Marken, zum Beispiel Online-Shops oder Banken, nach und fordern darin, die Bankverbindung über einen Link zu bestätigen. Dieser führt mitnichten zur tatsächlichen Bank, sondern er führt zu einer Phishing-Website, die die eingegebenen Daten direkt an den Betrüger liefert. „Damit Nachrichten dieser Art noch authentischer wirken, setzen Angreifer oft auf gefälschte Ketten. Sie setzen beispielsweise „Fwd:“ oder „RE:“ vor den Betreff und fügen gefälschte E-Mail-Verläufe hinzu“, mahnt die Expertin zu Vorsicht.

Mit dem „Chef-Trick“, auch CEO-Fraud genannt, nutzen Kriminelle die perfide Masche des Social Engineerings gezielt auch gegen Geschäftsführer. Diese Form ist in der Regel aufwändig, denn hierfür werden nicht nur soziale Netzwerke nach Informationen durchforstet, sondern auch Mitarbeitende verschiedener Abteilungen des Unternehmens unwissentlich einbezogen. Die Betrüger geben sich dabei als Führungsperson aus und erhaschen von Mitarbeitern verschiedene Informationen über ihren Chef. Das können Informationen privater, aber auch finanzieller Natur sein. Auch Login-Daten wechseln dadurch ungewollt den Besitzer. Mittel können dafür E-Mails, Briefe, Anrufe oder Messenger-Kontakt sein. „Hat der Angreifer genügend Informationen gesammelt, können diese auf verschiedene Art genutzt werden. Der CEO könnte erpresst werden, indem der Angreifer mit Veröffentlichung der erbeuteten Informationen droht. Auch könnte ein Angreifer im Namen des CEO Websites und Geschäfte eröffnen oder Fake-News verbreiten und so die Reputation in Mitleidenschaft ziehen“, so Patrycja Schrenk über das Ausmaß.

Sie weiß: „Sich gegen Social Engineering zu wappnen, ist nicht einfach. Denn anstatt sich in die Technik zu hacken, greifen die Betrüger die Psyche ihrer Opfer an und manipulieren diese. Nicht die Technik, sondern der Mensch bildet die Sicherheitslücke, die Social Engineering-Angriffe ermöglichen.“ Damit sind auch Virenscanner machtlos. Einzig mit Awareness, die durch Mitarbeiter-Schulungen erlangt werden kann, lassen sich derartige Angriffe in Schach halten.      In Schulungen entwickeln Mitarbeitende ein grundlegendes Verständnis über verschiedene Angriffsformen und den Schutz dagegen. Das unterstützt Unternehmen ganz wesentlich darin, ihre IT-Sicherheit zu stärken. Außerdem lernen Mitarbeiter zu verstehen, dass nicht nur die IT-Abteilung für die IT-Sicherheit verantwortlich ist, sondern jeder Einzelne im Unternehmen.

Ziel solcher Schulungen ist es unter anderem, Wissen um starke, komplexe Passwörter zu erlangen und gesundes Misstrauen gegenüber Menschen, die Informationen oder Daten abfragen, zu entwickeln. „Das ist in Großunternehmen noch wichtiger als in kleineren, familiäreren Betrieben. Denn in großen Firmen fällt es Kriminellen leichter, sich als Mitarbeiter einer anderen Abteilung auszugeben“, meint Schrenk und rät, sensible Informationen grundsätzlich nicht telefonisch weiter zu geben: „Ich würde Anfragen zu Auskünften über sensible Informationen immer schriftlich, beispielsweise per E-Mail, erbitten. Denn gerade Auskünfte, die nebensächlich erscheinen mögen, helfen Kriminellen, Informationen zu sammeln.“ Zudem gibt es eine einfache Möglichkeit, zu prüfen, ob eine E-Mail und damit ihr Absender echt ist: Einfach beim angeblichen Absender anrufen und nachfragen.

Beim Social Engineering kommt den sozialen Netzwerken eine große Rolle zu, denn oft sind diese mit ausreichenden Informationen für die Angriffe gespickt. Mitarbeiter sollten deshalb regelmäßig dazu angehalten werden, Datenschutz auch außerhalb des Unternehmens zu leben – auch dafür sind Awarness-Schulungen gut: „Gibt ein Mitarbeiter viel im Internet über sich preis, wird er angreifbarer. Mitarbeitende sollten deshalb auf die Privatsphäre-Einstellungen in sozialen Netzwerken hingewiesen werden und wie sie diese umsetzen“, gibt Schrenk noch einen Tipp.

www.psw-group.de
 


Artikel zu diesem Thema

Hacker Passwort
Jun 09, 2021

Anstieg von 450% bei Datenverstößen mit Benutzername und Passwort

ForgeRock gibt die Ergebnisse seines Consumer Identity Breach Reports 2021 bekannt. Der…
Hacker
Jun 08, 2021

Social Engineering lässt sich nicht verhindern

Social Engineering ist älter als das Internet selbst. Experten führen den Begriff auf das…
Phishing
Mai 18, 2021

Phishing bleibt primäre Bedrohung

Im aktuellen Lagebild Cybercrime 2020 des BKA wird einmal mehr Phishing als primäre…

Weitere Artikel

Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…
Ransomware

1 von 5 Unternehmen war schon Opfer von Ransomware

Eine kürzlich durchgeführte Umfrage der Cybersecurity-Experten von Hornetsecurity unter mehr als 820 Unternehmen ergab, dass 21 % der Befragten bereits Opfer eines Ransomware-Angriffs wurden. Ransomware ist eine der häufigsten und effektivsten Formen der…
Cybercrime

NSA warnt vor Wildcard-Zertifikaten und Alpaca-Angriffen

Die NSA hat Anfang Oktober eine Warnung und Anleitung herausgegeben, wie sich Unternehmen vor Alpaca-Angriffen schützen können, indem sie ihre Wildcard-Zertifikate besser kontrollieren. Die NSA warnt vor dem neuen Application Layer Protocol Content Confusion…
Spam Mails

Was ist Spam und wer profitiert davon?

Mit Spam werden unerwünschte E-Mails bezeichnet, die in gigantischen Mengen über ein elektronisches Nachrichtensystem oder über das World Wide Web versandt werden. Erfahren Sie im folgenden Artikel, was Spam ist, wie es funktioniert, wie Sie Spam erkennen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.