Die Social Engineering-Strategie von Cyberkriminellen fußt auf starker zwischenmenschlicher Interaktion und besteht meist darin, das Opfer dazu zu verleiten, Standard-Sicherheitspraktiken zu missachten. Und so hängt der Erfolg von Social-Engineering von der Fähigkeit des Angreifers ab, sein Opfer so weit zu manipulieren, dass es bestimmte Aktionen ausführt oder vertrauliche Informationen preisgibt. Da Social-Engineering-Angriffe immer zahlreicher und raffinierter werden, sollten Organisationen jeder Größe eine intensive Schulung ihrer Mitarbeiter als erste Verteidigungslinie für die Unternehmenssicherheit betrachten.
Social Engineering-Angreifer sind letztlich eine moderne Spielart der klassischen Trickbetrüger. Häufig verlassen sich diese Kriminellen auf die natürliche Hilfsbereitschaft von Menschen: Zum Beispiel rufen sie bei ihrem Opfer an und geben ein dringendes Problem vor, das einen sofortigen Netzwerkzugang erfordert.
Social Engineering-Angreifer nutzen gezielt bestimmte menschliche Schwächen wie Unsicherheit, Eitelkeit oder Gier aus und verwenden Informationen, die sie aus Lauschangriffen oder dem Ausspionieren sozialer Medien gewonnen haben. Dadurch versuchen sie, das Vertrauen autorisierter Benutzer zu gewinnen, damit ihre Opfer sensible Daten preisgeben, mit Malware infizierte E-Mail-Anhänge öffnen, oder sie deren Zugangsdaten für Computernetzwerke oder Datenspeicher stehlen können. Auch durch den Aufbau eines Schreckensszenarios wie einem angeblichen Sicherheitsvorfall können sie ihre Zielperson dazu bewegen, beispielsweise als Antiviren-Software getarnte Malware zu installieren und auszuführen.
Technologielösungen wie E-Mail-Filter, Firewalls und Netzwerk- oder Daten-Überwachungs-Tools helfen zwar, Social Engineering-Attacken abzuschwächen, doch eine gut geschulte Belegschaft, die in der Lage ist, Social Engineering zu erkennen, ist letztlich die beste Verteidigung gegen diese Art Angriffe. Unternehmen sollten ihre Mitarbeiter deshalb umfassend über die gängigen Arten von Social-Engineering aufklären.
Im Folgenden daher ein Überblick zu verschiedenen Angriffstechniken, deren Übergänge teilweise fließend sind und von Kriminellen auch in Kombination eingesetzt werden.
Beim Pretexting schützt ein Angreifer geschickt falsche Tatsachen vor, um ein Opfer dazu zu bringen, ihm Zugang zu sensiblen Daten oder geschützten Systemen zu gewähren. Beispielsweise gibt ein Krimineller vor, Bankdaten zu benötigen, um die Identität des Empfängers zu bestätigen. Oder er tarnt sich als Mitarbeiter der IT-Abteilung, um sein Opfer dazu zu verleiten, Login-Daten preiszugeben oder einen Computerzugang zu gewähren.
Angreifer führen Köderangriffe durch, indem sie ein mit Malware infiziertes Gerät wie ein USB-Flash-Laufwerk, an einem bestimmten Ort im Unternehmen zurücklassen, an dem es wahrscheinlich gefunden wird. Wenn ein Mitarbeiter den Datenträger mit seinem Computer verbindet, um beispielsweise zu sehen, was sich darauf befindet, wird der Rechner heimlich mit Malware infiziert. Einmal installiert, erlaubt die Malware dem Angreifer, in das System des Opfers einzudringen.
Der Begriff Tailgating (Tailgate = Heckklappe) erinnert an Krimiszenen, bei denen der Protagonist bei der Autofahrt einen Verfolger im Rückspiegel entdeckt, der ihm quasi an der Heckklappe klebt. Tailgating ist eine weitere physische Social Engineering-Technik, um an wertvolle, vertrauliche Informationen zu gelangen: Ein Beispiel wäre ein Unbefugter, der autorisierten Personen an einen ansonsten gesicherten Ort folgt, indem er vorgibt, seine Zugangskarte vergessen zu haben. Auch kann der Angreifer sein Opfer darum bitten, ihm kurz dessen Telefon oder Laptop auszuleihen, um eine einfache Aufgabe zu erledigen, und stattdessen Malware auf dem Gerät installiert oder sensible Daten stiehlt.
Bei einem Quid pro quo (lat.: „dies für das“) -Angriff locken Cyberkriminelle ihre Opfer mit einer Gegenleistung oder Entschädigung, um sensible Informationen zu ergaunern. Beispielsweise erzählen Angreifer am Telefon, eine offizielle Umfrage durchzuführen, und bieten für die Teilnahme Geschenke an. Hier gilt als Faustregel: Wenn etwas zu gut klingt, um wahr zu sein, ist gesundes Misstrauen geboten.
Bei einem Phishing-Angriff tarnen Cyberkriminelle sich als vertrauenswürde Quelle und nehmen eine betrügerische Kommunikation mit ihrem Opfer auf, um es dazu zu verleiten, Malware zu installieren oder persönliche, finanzielle oder geschäftliche Informationen herauszugeben. E-Mail ist der beliebteste Vektor für Phishing-Angriffe, aber Phishing kann auch Chat-Anwendungen, Social Media, Telefonanrufe (auch Vishing oder Voice Phishing genannt) oder gefälschte Websites verwenden. Einige besonders perfide Phishing-Angriffe täuschen gezielt wohltätige Zwecke vor dem Hintergrund aktueller Naturkatastrophen oder anderen tragischen Vorfällen vor. So nutzen sie den guten Willen ihrer Opfer aus, um durch einen Spendenaufruf an persönliche Daten oder Zahlungsinformationen gelangen.
Bei einer Watering-Hole-Attacke (Auflauern am Wasserloch) wählt der Angreifer sorgfältig eine bestimmte Website aus, von der er weiß, dass seine Opfer diese häufig besuchen, und infiziert die Homepage mit Malware. Zielpersonen sind meist Mitarbeiter von großen Unternehmen oder Regierungsstellen. Ein Beispiel wäre die Webseite eines lokalen Restaurants, in denen Mitarbeiter ihre Pause verbringen, beispielweise regelmäßig das Tages- oder Wochenangebot abrufen oder den Lieferservice in Anspruch nehmen.
Spear-Phishing ist eine sehr gezielte Art von Phishing-Angriff, die sich auf eine bestimmte Person oder Organisation konzentriert. Spear Phishing-Angriffe verwenden persönliche Informationen, die spezifisch auf das Opfer zugeschnitten sind, um Vertrauen zu gewinnen und besonders legitim zu erscheinen. Oftmals werden diese Informationen aus den Social Media-Accounts der Opfer oder anderen Online-Aktivitäten entnommen. Durch die Personalisierung ihrer Phishing-Taktiken haben Spear-Phisher höhere Erfolgsquoten, wenn es darum geht, ihre Opfer dazu zu bringen, Zugang zu Systemen gewähren oder sensible Informationen wie Finanzdaten oder Geschäftsgeheimnisse preiszugeben.
Social Engineering ist eine anhaltende Bedrohung für viele Organisationen. Mitarbeiterschulungen sind deshalb die erste und wichtigste Maßnahme, um zu verhindern, dass Unternehmen Opfer von Angreifern werden, die immer ausgefeiltere Methoden einsetzen, um Zugang zu sensiblen Daten zu erhalten. Durch Sensibilisierung der Mitarbeiter in Kombination mit entsprechenden Security- und Datensicherheitstechnologien kann dieses Risiko erheblich minimiert werden.
ist Director DACH & EE bei Digital Guardian. Die Firma bietet branchenweit die einzige bedrohungserkennende Datensicherungsplattform, die speziell entwickelt wurde, um Datendiebstahl sowohl durch interne als auch durch externe Angriffe zu verhindern. Die Digital Guardian-Plattform kann für das gesamte Unternehmensnetzwerk, traditionelle und mobile Endgeräte sowie Cloudanwendungen eingesetzt werden. Um sämtliche Bedrohungen für sensible Informationen einfach erkennen und blockieren zu können, wird die Plattform im Rahmen eines Clouddienstes durch Big Data-Sicherheitsanalysen unterstützt. Seit fast 15 Jahren ermöglicht diese es datenreichen Unternehmen, ihre wertvollsten Ressourcen On-Premises-, SaaS- oder Managed Service-basiert zu schützen. Das einzigartige Datenbewusstsein von Digital Guardian in Kombination mit verhaltensbasierter Threat Detection and Response-Technologie ermöglicht es Unternehmen, ihre Daten zu schützen, ohne die Geschäftsabläufe zu verlangsamen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…