IT-Security

Identitätsdiebstahl im Internet: Was ist Social Engineering?

25. Mai 2021 von PSW GROUP Redaktion
social-engineering-2021
© Mikko Lemola - stock.adobe.com

5
(2)

In unserer Serie über Identitätsdiebstahl im Internet widmen wir uns heute dem Social Engineering: Der Angriffsmethode, bei der Mitarbeitende eines Unternehmens so manipuliert werden, dass sie Informationen preisgeben, schädliche Links anzuklicken oder infizierte Anhänge öffnen, denn oftmals ist der Faktor Mensch das entscheidende Einfallstor für viele Angriffe. In unserem heutigen Beitrag erfahren Sie, wie Social Engineering-Angriffe funktionieren, welche Formen des Angriffs existieren und wie Sie sich vor Social Engineering-Angriffen schützen können.

Was ist Social Engineering?

IT-Sicherheit kann immer nur so gut sein wie der Mensch, der sie nutzt – so lautet eine alte Weisheit von Sicherheitsspezialisten. Dass Mitarbeitende tatsächlich einer der kritischsten Faktoren der IT-Sicherheit sind, zeigt sich mitunter daran, dass Social Engineering-Angriffe immer wieder erfolgreich sind. Auch Cyberkriminelle wissen, dass technische Schutzmaßnahmen in zahlreichen Unternehmen und Institutionen besser werden – Angreifer haben es immer schwerer, diese technischen Hürden zu überwinden. Da ist es einfacher, den Umweg über den Menschen zu gehen.

Menschliche Komponenten werden also beim Social Engineering ausgenutzt, um relevante Daten in Erfahrung zu bringen. Dabei fällt der Ablauf des Betrugs im Wesentlichen immer ähnlich aus: Mithilfe unterschiedlicher Methoden versuchen die Kriminellen, das Vertrauen einer bestimmten Person zu gewinnen. Diese Person öffnet den Kriminellen dann Tür und Tor zum Datenschatz – beispielsweise Login-Daten einschließlich Passwörter. Das kann so aussehen: Der Kriminelle wendet sich per Telefon an einen Mitarbeitenden und erklärt, er sei aus der IT-Abteilung und müsse die Zugangsdaten prüfen. Dem Mitarbeitenden wird erklärt, auf Anweisung vom Chef benötige man die Zugangsdaten von bestimmten Mitarbeitenden – dieser autoritätsbasierte Ansatz funktioniert leider häufig. Der arglose Mitarbeiter glaubt, mit einem Kollegen aus der IT-Abteilung zu sprechen, und gibt die „angeforderten“ Daten heraus.

Social Engineering: Erst Infos sammeln, dann zuschlagen

Die Tatsache, dass nahezu jede Person irgendwo online auffindbar ist, macht das Angreifen über Social Engineering einfacher, denn so finden sich zahlreiche Informationen. Die Betrüger sammeln nämlich Informationen über Zielpersonen in sozialen Netzwerken wie Facebook. Hier finden sich recht häufig auch die Kontakte der Zielperson öffentlich. So gelingt es dem Betrüger, sich als Vertrauensperson auszugeben – beispielsweise per E-Mail. Mittels Spoofing lassen sich E-Mail-Adressen so verschleiern, dass der wahre Absender nicht sichtbar werden muss. Die E-Mail könnte jetzt darauf abzielen, zum Download eines verseuchten Anhangs oder zum Klicken auf einen Link zu verführen. Dahinter verbergen sich Malware oder auch Phishing-Angriffe zum Herausfinden der Login-Daten.

Im obigen Beispiel – ein Mitarbeiter gibt Login-Daten telefonisch an einen angeblichen IT-Mitarbeiter heraus – war der Person die Tragweite der Daten, die sie weitergibt, nicht bewusst. Beim zweiten Beispiel war der Angriff etwas technischer. Beide Fälle haben jedoch eines gemeinsam: Sie wären nicht erfolgreich, wenn die jeweiligen Mitarbeitenden über Security-Awareness verfügen würden.

Social Engineering in verschiedenen Formen

Wie unsere Beispiele bereits zeigen, existieren verschiedene Formen des Social Engineering-Angriffs. Im Folgenden stellen wir Ihnen die häufigsten Formen von Social Engineering-Angriffen vor:

Social Engineering als E-Mail-Betrug

Die Studie „Faktor Mensch 2019“ aus dem Hause Proofpoint zeigte auf, dass die E-Mail bei Angriffen über Social Engineering der bevorzugte Angriffsvektor ist. In ihren E-Mails versuchen die Angreifer, ihr Opfer dazu zu bringen, eine bestimmte Aktion in der E-Mail auszuführen. Heißt: Das Opfer soll eine Datei öffnen oder einen Link anklicken. Proofpoint erklärt in der Studie zwei verschiedene Muster:

  • Einfache Köder, die sich leicht als Fälschung erkennen lassen, werden großflächig versandt. Es handelt sich um klassischen Spam, bei dem die Angreifer hoffen, dass es genügend unachtsame oder zu neugierige Empfänger gibt, die die gewollte Aktion auch ausführen.
  • Aufwändige Köder hingegen sind auf eine sehr kleine Zielgruppe – manchmal nur eine einzige Person – zugeschnitten. Fälschungen halten sich sehr ans Original und sind schwer zu erkennen.

Auch die Taktiken, die die Kriminellen dafür einsetzen, ihre Opfer dazu zu bringen, die Aktion auszuführen, unterscheiden sich laut Proofpoint-Studie:

  • Neugierde: Mit interessanten Betreffzeilen wie „Neues Konzept“ möchten die Kriminellen die natürliche Neugierde des Opfers hervorlocken. Auch die „Post vom Anwalt“- oder „Post vom Inkasso-Büro“-Masche funktioniert auf diese Weise.
  • Dringlichkeit: Der Inhalt einer solchen Mail schafft beim Opfer oft auch ein Gefühl der Dringlichkeit. So kann sich der Absender wieder als IT-Mitarbeiter ausgeben und sein Opfer dazu drängen, die angehängte Datei sofort zu öffnen, damit ein dringender Patch eingespielt werden kann.
  • Vertrauen: Angreifer bauen E-Mails von vertrauenswürdigen Marken nach. So können Angreifer die E-Mail im Design von prominenten Online-Shops gestalten und darin dazu auffordern, die Bankverbindung über einen Link zu bestätigen. Dieser führt mitnichten zur tatsächlichen Bank, sondern er führt zu einer Phishing-Website, die die eingegebenen Daten direkt an den Betrüger liefert.

Damit Nachrichten dieser Art noch authentischer wirken, setzen Angreifer oft auf gefälschte Ketten. Sie setzen beispielsweise „Fwd:“ oder „RE:“ vor den Betreff und fügen gefälschte E-Mail-Verläufe hinzu.

CEO-Fraud: Social Engineering gegen Geschäftsführer

Beim CEO-Fraud spricht man auch vom „Chef-Trick“: Diese Methode nimmt immer mehr zu. Betrüger, die diese Masche des Social Engineerings nutzen, sammeln zunächst Informationen über den CEO eines Unternehmens. Dabei werden nicht nur soziale Netzwerke durchforstet, sondern auch Mitarbeitende verschiedener Abteilungen des Unternehmens. Die Betrüger geben sich dabei als Führungsperson aus und erhaschen bei Mitarbeitenden verschiedene Informationen. Das können Informationen familiärer, aber auch finanzieller Natur sein. Auch Login-Daten wechseln dadurch ungewollt den Besitzer. Zum CEO-Fraud werden alle Register gezogen: Man setzt auf eine Kombination aus eigener Informationsbeschaffung und Informationen, die Mitarbeitende herausgeben. Mittel können dafür E-Mails, Briefe, Anrufe oder Messenger-Kontakt sein.

Hat der Angreifer genügend Informationen gesammelt, können diese verschieden genutzt werden: Der CEO könnte erpresst werden, indem die Angreifer mit Veröffentlichung der Informationen drohen. Auch könnten die Angreifer im Namen des CEO Websites (s. nächster Punkt: Typosquatting) oder Geschäfte eröffnen, Fake-News verbreiten und so die Reputation in Mitleidenschaft ziehen.

Typosquatting: Markendiebstahl im 21. Jahrhundert

Beim Typosquatting registrieren Betrüger Domains, deren URLs bekannten Markennamen ähneln. Die Betrüger bauen die Originalseite täuschend echt nach und müssen dann nur noch warten: Über falsche Login-Masken können sie Zugangsdaten abgreifen. Alternativ können sie auch Mitarbeitende auf Seiten weiterleiten, die mit Malware infiziert sind.

Angler-Phishing – der vermeintliche Kundenservice

Der Anglerfisch hat einen leuchtenden Köder am Kopf. Dieser imitiert die Beute der Opfer des Anglerfisches selbst und lockt sie in die Falle. Davon leitet sich der Begriff „Angler-Phishing“ ab: Betrüger schalten sich in die Kommunikation von Kunden und Service. So könnte sich ein Betrüger beispielsweise als Support-Mitarbeiter ausgeben, um Konversationen dann auf Fake-Accounts in sozialen Netzwerken oder auf gefälschte Websites umzuleiten. Ziel ist es also, Opfer auf die schädliche Webpräsenz zu locken oder aber Informationen zu erschleichen.

Social Engineering: So wappnen Sie sich

Es ist nicht einfach: Anstatt in die Technik „hacken“ sich die Angreifer, die auf Social Engineering setzen, in die Psyche ihrer Opfer. Nicht die Technik, sondern der Mensch bildet die Sicherheitslücke, die diesen Angriff ermöglicht. Das bedeutet, dass auch kein Virenscanner hilft – es hilft im Wesentlichen nur eines: Awareness. Diese kann durch Mitarbeiter-Schulungen erlangt werden – Wissen ist Macht und das Wissen Ihrer Mitarbeitenden entmachtet Angreifer. Was Sie außerdem tun können, zeigen die folgenden Tipps:

  • Passwörter: Setzen Sie auf starke und komplexe Passwörter, wie wir es in unserem Beitrag „Sichere Passwörter: Starke Passwörter erhöhen die Sicherheit“ erklären.
  • Gesundes Misstrauen: Entwickeln Sie ein gesundes Misstrauen Menschen gegenüber, die Informationen oder Daten erfragen. Das ist in Großunternehmen noch wichtiger als in kleineren, familiäreren Betrieben, denn dort fällt es Kriminellen sehr leicht, sich als Mitarbeiter einer anderen Abteilung auszugeben. Bleiben Sie jedoch auch als Kleinunternehmer oder Mittelständler wachsam, denn hier nutzen Kriminelle die meist bestehende Arglosigkeit der Mitarbeitenden aus.
  • Telefonische Auskünfte: Verankern Sie in Ihrer Sicherheitsleitlinie, dass sensible Informationen grundsätzlich nicht telefonisch weitergegeben werden. Lassen Sie sich Anfragen immer schriftlich, beispielsweise per E-Mail, bestätigen. So haben Sie im Schadensfall auch etwas, worauf Sie sich berufen können. Bedenken Sie: Auskünfte, die nebensächlich erscheinen mögen, helfen Kriminellen, Informationen zu sammeln. Jede Information könnte der Schlüssel dazu sein, weitere Mitarbeitende zu täuschen.
  • Mitarbeiterschulung: Wir haben es bereits angesprochen: Es ist unabdingbar, die Sicherheitslücke Mensch weitestgehend zu schließen, und das funktioniert nur durch die Schulung von Mitarbeitenden. In Schulungen entwickeln Mitarbeitende ein grundlegendes Verständnis über verschiedene Angriffsformen und den Schutz dagegen. Das unterstützt Sie immens dabei, die IT-Sicherheit Ihrer Organisation wesentlich zu stärken. Außerdem lernen Ihre Mitarbeiter zu verstehen, dass nicht nur die IT-Abteilung für die IT-Sicherheit verantwortlich ist, sondern jeder Einzelne im Unternehmen.
  • Updates: Patchen, patchen, patchen! Wann immer Ihre Software – sei es das Betriebssystem, der Browser oder einzelne Anwendungen – ein Update benötigt, spielen Sie es zügig ein. Sicherheitsupdates schließen Sicherheitslücken und damit auch Zugänge, die Cyberkriminelle nutzen.
  • Nachfragen: Es gibt eine unfassbar einfache Möglichkeit, zu prüfen, ob eine E-Mail echt ist: Fragen Sie beim angeblichen Absender nach. Das werden auch Ihre Vorgesetzten wohlwollend zur Kenntnis nehmen, denn vorsichtiges Verhalten sollte gefördert werden.
  • Datenschutz im Internet: Beim Social Engineering kommt den sozialen Netzwerken eine große Rolle zu, denn oft sind diese mit ausreichenden Informationen für die Angriffe gespickt. Halten Sie Ihre Mitarbeitenden dazu an, Datenschutz auch außerhalb des Unternehmens zu leben. Gibt ein Mitarbeiter viel im Internet über sich preis, wird er angreifbarer. Mitarbeitende sollten auf die Privatsphäre-Einstellungen in sozialen Netzwerken hingewiesen werden. Weiter gilt es, klare und verbindliche Regeln für den Umgang mit unternehmensbezogenen Informationen zu finden.

 

 

Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu