Anzeige

Social Engineering

Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen preisgeben, schädliche Links anklicken oder infizierte Anhänge öffnen? Ja, meinen die IT-Sicherheitsexperten der PSW GROUP.

„Bei dieser Angriffsmethode, dem Social Engineering, nutzen Kriminelle nämlich die menschliche Psyche gezielt aus, um relevante Daten in Erfahrung zu bringen. Mithilfe unterschiedlicher Methoden versuchen sie, das Vertrauen einer bestimmten Person zu gewinnen. Im Ergebnis öffnet diese ihnen dann Tür und Tor zum Datenschatz, indem sie beispielsweise Login-Daten einschließlich Passwörter preisgibt“, erklärt Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Die Tatsache, dass nahezu jede Person irgendwo online auffindbar ist, macht den Angriff über Social Engineering einfach: In sozialen Netzwerken sammeln die Betrüger zunächst Informationen über ihre Zielpersonen. So gelingt es ihnen später, sich als Vertrauensperson auszugeben – beispielsweise per E-Mail. Mittels Spoofing lassen sich E-Mail-Adressen so verschleiern, dass der wahre Absender nicht sichtbar werden muss. „Die E-Mail könnte darauf abzielen, zum Download eines verseuchten Anhangs oder zum Klicken auf einen Link zu verführen.

Dahinter verbergen sich Malware oder auch Phishing-Angriffe zum Herausfinden der Login-Daten. Der Kriminelle könnte sich aber auch per Telefon an einen Mitarbeitenden wenden und erklären, er sei aus der IT-Abteilung und müsse die Zugangsdaten auf Anweisung des Chefs prüfen. Das arglose Opfer glaubt, mit einem Kollegen aus der IT-Abteilung zu sprechen, und gibt die „angeforderten“ Daten heraus. Ein solcher autoritätsbasierter Ansatz funktioniert leider häufiger als gedacht“, nennt Patrycja Schrenk zwei mögliche Angriffs-Szenarien.

Die Beispiele zeigen, dass verschiedene Formen des Social Engineering-Angriffs existieren. Die Häufigste ist jedoch die des E-Mail-Betrugs: Mit gefälschten E-Mails versuchen Angreifer, ihr Opfer dazu zu bringen, eine bestimmte Aktion in der E-Mail auszuführen. Heißt: Das Opfer soll eine Datei öffnen oder einen Link anklicken. Solche E-Mails müssen nicht immer als plumpe Fälschung daherkommen und leicht erkennbar sein. Cyberkriminelle betreiben manchmal großen Aufwand, die Köder auf ihre Opfer individuell zuzuschneiden, sodass gefälschte E-Mails häufig kaum von echten zu unterscheiden sind.

„Beim Social Engineering ergreifen Kriminelle Taktiken, die gezielt menschliche Schwächen ausnutzen sollen. Mit besonders interessanten Betreffzeilen wecken sie zum Beispiel die Neugierde ihres Opfers, die E-Mail überhaupt erst zu öffnen und beispielsweise einen Link anzuklicken. Gern täuschen die Angreifer auch Dringlichkeit vor, um ihr Opfer zu drängen, eine angehängte Datei sofort zu öffnen“, informiert Schrenk über einige Taktiken. Auch Täuschung gehört dazu: Angreifer bauen auch E-Mails von vertrauenswürdigen Marken, zum Beispiel Online-Shops oder Banken, nach und fordern darin, die Bankverbindung über einen Link zu bestätigen. Dieser führt mitnichten zur tatsächlichen Bank, sondern er führt zu einer Phishing-Website, die die eingegebenen Daten direkt an den Betrüger liefert. „Damit Nachrichten dieser Art noch authentischer wirken, setzen Angreifer oft auf gefälschte Ketten. Sie setzen beispielsweise „Fwd:“ oder „RE:“ vor den Betreff und fügen gefälschte E-Mail-Verläufe hinzu“, mahnt die Expertin zu Vorsicht.

Mit dem „Chef-Trick“, auch CEO-Fraud genannt, nutzen Kriminelle die perfide Masche des Social Engineerings gezielt auch gegen Geschäftsführer. Diese Form ist in der Regel aufwändig, denn hierfür werden nicht nur soziale Netzwerke nach Informationen durchforstet, sondern auch Mitarbeitende verschiedener Abteilungen des Unternehmens unwissentlich einbezogen. Die Betrüger geben sich dabei als Führungsperson aus und erhaschen von Mitarbeitern verschiedene Informationen über ihren Chef. Das können Informationen privater, aber auch finanzieller Natur sein. Auch Login-Daten wechseln dadurch ungewollt den Besitzer. Mittel können dafür E-Mails, Briefe, Anrufe oder Messenger-Kontakt sein. „Hat der Angreifer genügend Informationen gesammelt, können diese auf verschiedene Art genutzt werden. Der CEO könnte erpresst werden, indem der Angreifer mit Veröffentlichung der erbeuteten Informationen droht. Auch könnte ein Angreifer im Namen des CEO Websites und Geschäfte eröffnen oder Fake-News verbreiten und so die Reputation in Mitleidenschaft ziehen“, so Patrycja Schrenk über das Ausmaß.

Sie weiß: „Sich gegen Social Engineering zu wappnen, ist nicht einfach. Denn anstatt sich in die Technik zu hacken, greifen die Betrüger die Psyche ihrer Opfer an und manipulieren diese. Nicht die Technik, sondern der Mensch bildet die Sicherheitslücke, die Social Engineering-Angriffe ermöglichen.“ Damit sind auch Virenscanner machtlos. Einzig mit Awareness, die durch Mitarbeiter-Schulungen erlangt werden kann, lassen sich derartige Angriffe in Schach halten.      In Schulungen entwickeln Mitarbeitende ein grundlegendes Verständnis über verschiedene Angriffsformen und den Schutz dagegen. Das unterstützt Unternehmen ganz wesentlich darin, ihre IT-Sicherheit zu stärken. Außerdem lernen Mitarbeiter zu verstehen, dass nicht nur die IT-Abteilung für die IT-Sicherheit verantwortlich ist, sondern jeder Einzelne im Unternehmen.

Ziel solcher Schulungen ist es unter anderem, Wissen um starke, komplexe Passwörter zu erlangen und gesundes Misstrauen gegenüber Menschen, die Informationen oder Daten abfragen, zu entwickeln. „Das ist in Großunternehmen noch wichtiger als in kleineren, familiäreren Betrieben. Denn in großen Firmen fällt es Kriminellen leichter, sich als Mitarbeiter einer anderen Abteilung auszugeben“, meint Schrenk und rät, sensible Informationen grundsätzlich nicht telefonisch weiter zu geben: „Ich würde Anfragen zu Auskünften über sensible Informationen immer schriftlich, beispielsweise per E-Mail, erbitten. Denn gerade Auskünfte, die nebensächlich erscheinen mögen, helfen Kriminellen, Informationen zu sammeln.“ Zudem gibt es eine einfache Möglichkeit, zu prüfen, ob eine E-Mail und damit ihr Absender echt ist: Einfach beim angeblichen Absender anrufen und nachfragen.

Beim Social Engineering kommt den sozialen Netzwerken eine große Rolle zu, denn oft sind diese mit ausreichenden Informationen für die Angriffe gespickt. Mitarbeiter sollten deshalb regelmäßig dazu angehalten werden, Datenschutz auch außerhalb des Unternehmens zu leben – auch dafür sind Awarness-Schulungen gut: „Gibt ein Mitarbeiter viel im Internet über sich preis, wird er angreifbarer. Mitarbeitende sollten deshalb auf die Privatsphäre-Einstellungen in sozialen Netzwerken hingewiesen werden und wie sie diese umsetzen“, gibt Schrenk noch einen Tipp.

www.psw-group.de
 


Artikel zu diesem Thema

Hacker Passwort
Jun 09, 2021

Anstieg von 450% bei Datenverstößen mit Benutzername und Passwort

ForgeRock gibt die Ergebnisse seines Consumer Identity Breach Reports 2021 bekannt. Der…
Hacker
Jun 08, 2021

Social Engineering lässt sich nicht verhindern

Social Engineering ist älter als das Internet selbst. Experten führen den Begriff auf das…
Phishing
Mai 18, 2021

Phishing bleibt primäre Bedrohung

Im aktuellen Lagebild Cybercrime 2020 des BKA wird einmal mehr Phishing als primäre…

Weitere Artikel

Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.