Social Engineering – Diese Methoden gibt es

Social Engineering

Mehr als 40 Milliarden Euro Schaden sind in den letzten Jahren bei Angriffen auf deutsche Industrieunternehmen entstanden. Die Schwachstelle muss dabei nicht immer die Technik sein. Oftmals ist der Mensch Schuld. Insbesondere beim Social Engineering.

Autor: Thomas W. Frick, 30.06.2019, Thema: Social Engineering

Kurznavigation in diesem Beitrag:
Seite 1 Beitrag / Diskussionsgrundlage
Seite 2 Am nächsten persönlichen Erfahrungsaustausch teilnehmen
Seite 3 Kostenloses PDF-Angebot

Social Engineering zählt laut statista zu den häufigsten Cyberangriffen, siehe folgende Grafik:
Infografik: So werden Unternehmen angegriffen | Statista

Was ist Social Engineering überhaupt?

Social Engineering eine beliebte Methode, um an Daten zu gelangenBei Social Engineering handelt es sich um diverse psychologische Tricks, die im Rahmen der Wirtschaftsspionage eingesetzt werden. Ziel ist es, Mitarbeitern sicherheitsrelevante Informationen zu entlocken. Mit den gesammelten Informationen infiltrieren Angreifer IT-Systeme und erlangen somit Zugriff auf schützenswerte Unternehmensdaten. In diesem Fall spricht man auch von Social Hacking. Des Weiteren wird Social Engineering eingesetzt, um Angestellte zu unbedachten Handlungen zu bewegen. Ein unmittelbarer Kontakt zwischen Täter und Opfer muss nicht zwingend vorhanden sein.

Die Idee des Social Engineerings stammt ursprünglich aus der Philosophie. 1945 schuf Karl Popper diesen Begriff und bezeichnete damit zunächst soziologische und psychologische Elemente zur Verbesserung gesellschaftlicher Strukturen. In den 1970er Jahren ergänzte Poppers Nachfolger seine Theorie um einige psychologische Taschenspielertricks. Damals war das Ziel jedoch nicht der Datenraub, sondern die Verbesserungen des menschlichen Miteinanders.

Wie funktioniert Social Engineering?

Das Social Engineering funktioniert dank einiger positiver und negativer Eigenschaften. In vielen Kulturkreisen ist es erwünscht, nett und hilfsbereit zu sein. Deswegen fällt es vielen Menschen schwer, anderen Menschen in Notsituationen nicht zu helfen. Diese Momente nutzen die Angreifer für ihre eigenen Zwecke aus. Sie wissen, wie Menschen ticken und manipulieren ihre Opfer gezielt. Oft schlüpfen Betrüger in die Rolle eines Bekannten, eines Kollegen, eines Bewerbers, eines Handwerkers oder täuschen vor, von einer Bank zu sein. Dabei versuchen sie das Vertrauen des Opfers zu gewinnen. Dieser Vorgang kann sich über einen längeren Zeitraum erstrecken.

 

PDF-Angebot Social EngineeringHinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.

 

Methoden des Social Engineerings

Methoden des Social EngineeringsAngreifer haben verschiedene Methoden, um an die gewünschten Informationen zu kommen. Meist geht einem Angriff eine aufwendige Recherche voraus. Die dargestellten Methoden zeigen verschiedene Angriffstechniken, deren Übergänge teilweise fließend sind und die auch kombiniert eingesetzt werden.

 

 

Pretexting

Bei dieser Methode täuscht der Angreifer falsche Tatsachen vor, um das Opfer dazu zu bringen, ihm Zugang zu sensiblen Daten oder geschützten Systemen zu gewähren. Beispielsweise tarnt sich der Angreifer als Mitarbeiter der IT-Abteilung und verleitet das Opfer dazu, Login-Daten preiszugeben oder ihm einen Computerzugang zu gewähren.

Tailgating

Diese Methode erinnert an eine Filmszene, bei welcher der Protagonist bei der Autofahrt einen Verfolger im Rückspiegel entdeckt. Im Social Engineering versucht der Angreifer sich Zugang zu einem geschlossenen Bereich zu verschaffen, indem er einfach hinter einer Person, die eine Zugangsberechtigung hat, hinterhergeht. Beispielsweise kann ein Angreifer vorgeben, Fahrer einer Lieferfirma zu sein und so in das Gebäude hineinkommen, um anschließend ein Notebook des Unternehmens nutzen.

Baiting

USB-Sticks Ein Angreifer hinterlässt ein infiziertes Gerät, wie beispielsweise ein USB-Flash-Laufwerk, an einem bestimmten Ort im Unternehmen. Möchte ein Mitarbeiter nun herausfinden, was sich auf dem Datenträger befindet, wird der Rechner heimlich mit Malware infiziert. Dadurch verschafft sich der Angreifer Zugang zum System.

Phishing

Eine sehr bekannte Methode ist das Phishing. Hierbei tarnen sich Cyberkriminelle als vertrauenswürdige Quelle und nehmen eine betrügerische Kommunikation mit ihrem Opfer auf. Dabei versuchen sie, das Opfer dazu zu verleiten, Malware zu installieren oder geschäftliche Informationen herauszugeben. Meistens werden E-Mails verwendet. Es können aber auch Chat-Anwendungen, gefälschte Webseiten oder Telefonanrufe (Voice Phishing) sein.

Quid pro quo-Angriff

Bei dieser Angriffstechnik locken Angreifer ihre Opfer mit einer Gegenleistung oder einer Entschädigung, um an Daten zu kommen. Ein Beispiel hierfür ist eine Umfrage per Telefon, bei der die Teilnahme mit einem Geschenk belohnt wird.

Watering-Hole-Attacke

Watering-Hole-AttackeBei der Watering-Hole-Attacke (“Auflauern am Wasserloch”) weiß der Cyberkriminelle, welche Webseite sein Opfer häufig besucht. Er infiziert die Webseite mit einer Malware. Die Webseite kann beispielsweise die Homepage eines lokalen Restaurants sein, in dem die Mitarbeiter gerne essen.

 

Spear-Phishing

Dies ist ein spezieller Phishing-Angriff, der sich auf eine bestimmte Person oder Organisation konzentriert. Hierbei werden persönliche Informationen, die spezifisch auf das Opfer zugeschnitten sind, verwendet. Dadurch soll Vertrauen gewonnen werden. An die persönliche Informationen des Opfers kommen die Angreifer meist durch Social-Media-Accounts oder andere Online-Aktivitäten. Die Erfolgsquote beim Spear-Phishing ist höher als beim normalen Phishing.

 

Maßnahmen für Unternehmen gegen Social Engineering

  • Keine Informationen über Telefon: Grundsätzlich sollen keine sensiblen Informationen am Telefon weitergegeben werden. Dies gilt besonders bei unbekannten Gesprächspartnern.
  • Unbekannte Absender: E-Mails von unbekannten und nicht zweifelsfrei identifizierbaren Absendern sollten nicht ohne weiteres geöffnet werden. Bei einer Handlungsaufforderung in der E-Mail gilt besondere Vorsicht.
  • Gesundes Misstrauen: Gegenüber fremden Personen, insbesondere in größeren Unternehmen, empfiehlt es sich ein gesundes Misstrauen an den Tag zu legen. Sensible Daten sollten nur an Kollegen weitergegeben werden, die einem bekannt sind.
  • E-Mail-Anhänge und Links: Cyberkriminelle nutzen Links in E-Mails, die zu einer Seite mit einer Eingabemaske führen, um an Bankdaten und Passwörter zu gelangen. Seriöse Banken und Versicherungen fordern ihre Kunden nie dazu auf, eine Webseite zu öffnen und sensible Daten einzugeben.
  • Soziale Netzwerke: In sozialen Netzwerken gelangen die Angreifer oft an ausreichend Informationen, um ihre Opfer zu manipulieren. Deshalb sollten Mitarbeiter nicht allzu viele Informationen über sich preisgeben. Die Angestellten können über die Privatsphäre-Einstellungen informiert werden.
  • Sicherheitssoftware: Die richtige Software kann Spam unterbinden und einen zuverlässigen Phishing-Schutz bieten.

 

Kommentar hinterlassen on "Social Engineering – Diese Methoden gibt es"

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*