Social Engineering im Fokus des Cybersecurity Month: Beispiele für einen Angriff

Der Oktober ist nicht nur der Monat der herbstlichen Farben und der Zeitumstellung, sondern auch des European Cyber Security Month (ECSM). Diese jährliche Initiative zielt darauf ab, das Bewusstsein für Cybersicherheit zu schärfen und Menschen über die Bedeutung von Sicherheitsmaßnahmen aufzuklären. Im Rahmen unserer kleinen, dreiteiligen Blog-Reihe haben wir Ihnen in Teil 1 bereits mehr über die Entstehungsgeschichte des „Cyber Security Month“  erzählt. Heute, in unserem 2. Teil, wollen wir das Augenmerk auf eine spezielle Art von Cyberbedrohung legen: das Social Engineering.

Erfahren Sie, was sich hinter diesem Begriff verbirgt bzw. was es mit Social Engineering auf sich hat, wo die Gefahren lauern und wie Sie sich schützen können.

Soziale Täuschung: Was ist Social Engineering?

Social Engineering ist eine Form des Cyberangriffs, bei der Angreifende darauf abzielen, Menschen zu täuschen, zu manipulieren und zu überlisten, um an vertrauliche Informationen, Zugangsdaten oder Geld zu gelangen. Statt die Schwachstellen von Computersystemen auszunutzen, richtet sich Social Engineering gezielt an die menschliche Psyche und soziale Dynamik. Anstatt sich also durch komplexe technische Sicherheitsvorkehrungen zu hacken, beeinflusst ein Angreifender hier einen Menschen direkt. Durch Manipulation und Täuschung werden vertrauliche Informationen abgefragt oder Schadsoftware auf Geräten installiert.

Der Erfolg von Social Engineering-Angriffen basiert auf der Tatsache, dass Menschen oft dazu neigen, anderen zu vertrauen und in gutem Glauben zu handeln. Cyberkriminelle nutzen dieses Vertrauen, um ihre Opfer dazu zu bringen, Dinge zu tun, die sie unter normalen Umständen niemals tun würden. Dies kann die Herausgabe von Passwörtern, Kreditkartendaten, vertraulichen Informationen oder die Installation von schädlicher Software umfassen.

Social Engineering Beispiele: So können Angriffe ablaufen

Um Ihnen das Problem und seine Tragweite besser bewusst zu machen, möchten wir Ihnen anhand von drei fiktiven Social Engineering Angriffsszenarien zeigen, wie Hacker sensible Daten erbeuten oder Schadsoftware installieren können – ganz einfach durch Manipulation und Täuschung. Wenn Sie mehr über die Theorie erfahren möchten, welche Formen es gibt und wie Angriffe ablaufen, empfehlen wir Ihnen auch unseren Blogartikel „Identitätsdiebstahl im Internet: Was ist Social Engineering?“

Szenario 1: Die Fake-IT-Unterstützung

Hackerin Lisa recherchiert ein mittelständisches Unternehmen und identifiziert einen Mitarbeiter, der in der Buchhaltung arbeitet. Lisa erfährt, dass der Mitarbeiter Max in der Vergangenheit IT-Probleme hatte und dazu neigt, Unterstützung vom IT-Support Team des Unternehmens zu suchen.

Lisa erstellt nun eine gefälschte E-Mail-Adresse, die der des echten IT-Teams zum verwechseln ähnlich sieht und gibt vor, eine IT-Support-Spezialistin zu sein. Sie sendet Max eine E-Mail mit dem Betreff: „IT-Problem mit deinem E-Mail Account“. In der Nachricht erklärt sie, dass es ein schwerwiegendes Sicherheitsproblem auf dem E-Mail Server des Unternehmens gibt und er dringend handeln muss. Sie fordert ihn auf, sein Passwort in einem angehängten Link zur Überprüfung zu aktualisieren, mehr müsse er nicht tun.

Max fällt auf die Fälschung herein und gibt sein Passwort preis. Lisa erhält so Zugriff auf sein E-Mail Konto und kann vertrauliche Finanzinformationen stehlen, einschließlich Bankdaten und Geschäftsinformationen. Diese Daten kann Lisa nun beispielsweise für illegale Geldtransaktionen oder Erpressungszwecke nutzen.

Szenario 2: Die Social-Media-Täuschung

Hackerin Julia durchsucht soziale Netzwerke und stößt auf das Profil einer Mitarbeiterin der F&E Abteilung eines mittelständisches Automotiv-Zulieferers namens Sarah. Julia entdeckt, dass Sarah an einem wichtigen Projekt arbeitet und eine passionierte Hundeliebhaberin ist.

Julia erstellt nun ein gefälschtes Instagram-Profil und gibt sich als nebenberufliche Betreiberin eines Hundeblogs aus, die „zufällig“ in der selben Branche arbeitet wie Sarah. Sie folgt Sarah und kommentiert regelmäßig ihre Fotos von ihrem Hund. Nach einigen Wochen gewinnt Julia ihr Vertrauen und schlägt vor, eine spezielle App zu verwenden, die für Sarahs Projekt angeblich unerlässlich sei und schickt Sarah den Download-Link. Sarah klickt auf den Link und installiert eine Malware auf ihrem Arbeitscomputer.

Julia kann nun auf Sarahs Arbeitscomputer zugreifen und sensible Projektinformationen stehlen. Diese Daten könnte sie verkaufen, für Wettbewerbsvorteile oder ebenfalls für Erpressungszwecke nutzen.

Szenario 3: Die Chef-Anfrage

Hacker Michael recherchiert ein großes Unternehmen und findet heraus, wer der CEO ist. Er erstellt eine gefälschte E-Mail-Adresse, die der des CEOs sehr ähnlich ist.

Michael sendet eine gefälschte E-Mail an David aus der Personalabteilung und gibt sich als CEO aus. In der E-Mail fordert Michael David auf, dringend eine Liste aller Mitarbeiter und Mitarbeiterinnen mit ihren Sozialversicherungsnummern zu senden, um eine vermeintliche Lohnabrechnung vorzubereiten. Er betont die Dringlichkeit und bittet um absolute Vertraulichkeit.

David, der im Glauben handelt, dass er den Anweisungen des CEOs folgt, sendet die Liste mit den Sozialversicherungsnummern. Michael kann diese Daten nun für Identitätsdiebstahl oder andere betrügerische Aktivitäten nutzen.

Drei Beispiele – drei Gemeinsamkeiten

So unterschiedlich die oben gewählten Beispiele sind, so zeigen sie doch, dass jedes Mal der Faktor Mensch im Fokus steht: In allen drei Szenarien wird ein Mensch von Cyberkriminellen gezielt manipuliert – manchmal sogar über einen längeren Zeitraum hinweg –, um an sensible Informationen zu gelangen. Drei weitere Gemeinsamkeiten unserer Beispiele sollten Ihnen aufgefallen sein:

1. Die Opfer handelten jedes Mal im guten Glauben, das Richtige zu tun: David, Sarah und Max waren in dem festen Glauben, dass sie entweder einem Kollegen oder einem Vorgesetzten helfen, weswegen sie bereitwillig sensible Daten preisgeben.

2. Unsere drei fiktiven Hacker investierten teilweise sehr viel Zeit und Mühe, um das Vertrauen ihrer Opfer zu gewinnen, sei es über gefälschte Profile, gefälschte E-Mails oder manipulative Geschichten.

3. Zudem wurde in jedem Angriffsszenario ein Gefühl von Dringlichkeit erzeugt, sei es in Form von vermeintlichen Sicherheitsproblemen, Projekten oder Anfragen des CEO, um die Opfer zu schnellen Handlungen zu bewegen.

Schutz vor Social Engineering: Awareness ist der entscheidende Schlüssel

Unsere obigen Beispiele haben gezeigt, wie einfallsreich Cyberkriminelle heutzutage sind, wie sie eine Vielzahl von Taktiken nutzen, um an sensible Daten zu gelangen oder schädliche Software zu installieren und wie leicht Menschen in die Falle tappen können. In all diesen Szenarien handelten die Opfer in dem Glauben, das Richtige zu tun – sei es das Bereitstellen von Passwörtern oder das Tätigen von Zahlungen.

Zwar sind Unternehmen heute häufig gut durch technische Sicherheitsmaßnahmen gut geschützt; die größte Schwachstelle bleibt jedoch der Mensch. Deshalb ist die Awareness der wichtigste Schutz vor Social Engineering-Angriffen! Durch gezielte Vorbereitung und Sensibilisierung kann der Mensch zu einer entscheidenden Verteidigungslinie für Unternehmen werden: Wenn Mitarbeitende nämlich für die Taktiken und Techniken der Angreifenden sensibilisiert sind, können sie verdächtige Anfragen erkennen und angemessen reagieren.

Die Rolle von Sicherheitsschulungen

Sicherheitsschulungen sind ein entscheidendes Instrument, um Awareness aufzubauen und zu stärken. In diesen Schulungen lernen Beschäftigte, wie sie Social Engineering-Angriffe erkennen können. Sie erfahren, wie sie sicher mit sensiblen Informationen umgehen und wie sie im Falle von verdächtigen Anfragen handeln sollten. Regelmäßige Schulungen gewährleisten zudem, dass das Bewusstsein für Sicherheitsrisiken aufrechterhalten wird und Mitarbeitende über aktuelle Bedrohungen informiert sind.

Vertrauen ist gut, Kontrolle ist besser

Die Tatsache, dass Hacker oft versuchen, Vertrauen aufzubauen und Dringlichkeit zu erzeugen, macht es umso wichtiger, kritisch zu hinterfragen. Selbst Anfragen, die angeblich von Vorgesetzten oder Kollegen kommen, sollten sorgfältig überprüft werden. Bringen Sie allen Mitarbeiterinnen und Mitarbeitern bei, dass sie bei Nachrichten, in denen sensible Informationen, Zahlungen oder Softwareinstallationen verlangt werden, skeptisch sein sollten – auch wenn sie vom Chef zu kommen scheinen.

Die Awareness der PSW CONSULTING

Um Unternehmen bei der Sensibilisierung ihrer Mitarbeiter zu unterstützen, bietet die PSW CONSULTING umfassende Awareness-Programme an. Diese Schulungen sind darauf ausgerichtet, Beschäftigte in die Lage zu versetzen, Social Engineering-Angriffe zu erkennen und sich davor zu schützen. Erfahren Sie mehr über die Awareness-Schulungen der PSW CONSULTING.

Fazit: Bauen Sie eine Human Firewall auf

Die Sicherheit Ihrer IT ist nur so stark wie ihr schwächstes Glied. Daher ist es entscheidend, die Sicherheit nicht nur durch Hard- und Software zu stärken, sondern auch durch die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter. Die in diesem Artikel vorgestellten Social Engineering Angriffe wären wahrscheinlich nicht erfolgreich gewesen, wenn die betroffenen Mitarbeitenden über Security-Awareness verfügt hätten.

Schützen Sie Ihr Unternehmen deshalb, indem Sie Ihre Beschäftigten darauf vorbereiten, die ersten Verteidigungslinien gegen Social Engineering-Angriffe zu sein. Gutes Training und ein gesundes Maß an Skepsis sind entscheidend, um die Täuschungsversuche der Angreifer zu durchschauen und abzuwehren. Wenn Sie Fragen zu unserem Schulungsangebot oder zur Human Firewall haben, zögern Sie nicht, uns zu kontaktieren. Wir freuen uns auf den Austausch mit Ihnen.