Social Engineering – gängige Betrugsmasche

Beim Social Egineering nutzen Kriminelle den Mensch als Schwachstelle in der Sicherheitskette aus, um an sensible Informationen heran zu kommen oder sich unerlaubt Zugriff auf ein Netzwerk oder einen PC zu verschaffen. Im Zeitalter der Digitalisierung ergeben sich sehr effektive und vielfältig neue Möglichkeiten für Kriminelle, um unzählige potentielle Opfer auf relativ einfache Art und Weise per Social Engineering Angriff zu erreichen.

Die Tricks, die diese Online-Betrüger dabei anwenden, sind skurpellos, und nicht immer leicht zu durchschauen. Jeder kann Opfer eines solchen Betrugs werden. Oftmals vermischt sich dabei die private Welt einer Einzelperson mit der Geschäftlichen. Die Angreifer spionieren das Privatleben einer Person aus, um sich dadurch den Zugang zu Geschäftsinformationen zu erschleichen.

Zum Schutz vor  Social Engineering Attacken, ist es von Vorteil die Tricks und Maschen der Täter zu kennen. In diesem Artikel wird erklärt, worum es sich bei Social Engineering insbesondere im Unternehmensumfeld handelt, welche Maschen die Betrüger anwenden und wie Unternehmen Social Engineering verhindern können.

Was ist Social Engineering? Social Engineering Definiton

Social Engineering ist das unterschwellige Beeinflussen eines Menschen, um ihn zu einer Handlung zu bewegen, ohne misstrauisch zu werden. Der Täter verfolgt dabei das Ziel auf sensible Daten Zugriff zu erhalten. Kurzum: Social Engineering ist eine Form der Manipulation.

Die Betrüger geben sich oft als Autoritätspersonen oder Experten aus, um sich schnell das Vertrauen ihres Opfers zu erschleichen. Menschliche Eigenschaften wie Vertrauen, Angst, Respekt vor Autorität oder Hilfsbereitschaft werden ausgenutzt, um Personen zu manipulieren. Letztendlich will der Täter an bestimmte, vertrauliche Informationen gelangen, die ihm für sein weiteres Handeln nützlich sind.

Cyber Samurai_Social Engineering_Blick durch´s Schlüsselloch

Social Engineering Hauptmerkmal Täuschung

Das Hauptmerkmal von Social Engineering Angriffen besteht in der Täuschung der Identität und Absicht des Täters. Dieser gibt sich zum Beispiel als Support Mitarbeiter eines Unternehmens wie Amazon, PayPal etc. aus, um das Opfer entweder zur Mitteilung von Anmelde-/Kontoinformationen zu bewegen oder zum Besuch einer nachgebauten, präparierten Website zu verleiten.

Ein klassisches Social Engineering Beispiel ist der vermeintlich hilfsbereite Systemadministrator. Er kontaktiert Mitarbeiter, da er vermeintlich dessen Benutzerpasswort zur angeblichen Behebung eines Systemfehlers oder Sicherheitsproblems benötigt. Sobald der Täter Druck aufbaut und beispielsweise kommuniziert, dass das gesamte Firmen-Netzwerk abgeschaltet werden muss, sofern der Fehler nicht umgehend behoben wird, schnappt die Falle schnell zu.

Ein aktuelles Beispiel sind auch Phishing-E-Mails, welche Informationen rund um die Virusinfektion Covid-19 enthalten und den Empfänger auf präparierte Webseiten leiten. Dem Opfer wird zum Beispiel suggeriert, dass er/sie Kontakt zu einer virusinfizierten Person hatte und er/sie auf Anordnung des Gesundheitsamtes dringend einen Testtermin vereinbaren soll. Durch Klick auf den Link, landet der User auf einer täuschend echten, präparierten Website, auf der er/sie zur Dateneingabe aufgefordert wird.

Gegebenenfalls erschleicht sich der Täter über wiederholte Kontaktaufnahme das Vertrauen des Opfers, sodass die für ihn zielführende Handlung erst zu einem späteren Zeitpunkt eintritt.

Diese Beispiele sind insofern typisch, als die Täter hier die Absicht vortäuschen, die Sicherheit eines Systems oder einer Dienstleistung zu erhöhen. Ein Opfer, das auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun. Tatsächlich spielt es dem Täter in die Hände, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen. Im schlimmsten Fall erlangt der Angreifer Zugriff auf Unternehmensdaten, obwohl das Netzwerk technisch gut geschützt ist.

Social Engineering Angriff – Gefahr für Unternehmen

Für Unternehmen stellt Social Engineering ein ernstzunehmendes Risiko dar. Durch die immer komplexer werdenden technischen Sicherheitslösungen, werden auch die Hürden, die Angreifer überwinden müssen, um beispielsweise in ein Firmennetzwerk einzudringen, immer größer. Daher zielen die Angreifer immer mehr auf den Menschen als Schwachstelle, um über diesen ihr Ziel zu erreichen.

Das Vorgehen ist dabei meist ähnlich: Zuerst wird das Vertrauen des Opfers erschlichen, um es anschließend dazu zu bewegen, einer Aufforderung nachzukommen: etwa Zugangsdaten herauszugeben, eine Überweisung durchzuführen oder den Anhang einer E-Mail zu öffnen und auszuführen.

Social Engineering Attacken auf Mitarbeiter/innen einer Firma in Form von Phishing oder CEO Betrug, sind dabei weniger zufällig und spontan, sondern meist über Wochen oder sogar Monate hinweg geplant. Die Betrüger spionieren in der Regel das berufliche Umfeld und auch das private und soziale Umfeld ihres Opfers aus und tragen Informationen aus sämtlichen Kanälen zusammen: soziale Netzwerke, Berufsnetzwerke, Informationen per Google-Suche. Je mehr sie über ihr Opfer wissen, umso besser können sie sich von ihm ein Bild machen, um einen zielgerichteten Angriff, der in Bezug zu den Gewohnheiten und Gepflogenheiten des Opferst steht, zu starten.

Social Engineering_CEO Fraud_Fingerabdruck mit Fragezeichen

CEO Fraud im Unternehmen

Kriminelle haben durch gezieltes Ausspähen des Unternehmens und dessen Mitarbeitern herausbekommen, dass die Geschäftsführerin für einige Tage geschäftlich vereist ist. Die Betrüger senden einem Mitarbeiter, von dem sie wissen, dass er Zugriff auf das Finanzsystem hat, eine E-Mail. Diese Mail kommt angeblich von der Geschäftsführerin, mit der Bitte darin eine Überweisung von 500.000 US-Dollar an einen neuen Investor aus dem Ausland zu tätigen. Sie würde es selbst erledigen, doch da sie gerade auf Reisen ist, sei dies nicht möglich. Für den Mitarbeiter klingt dies plausibel, denn schließlich weiß er, dass die Chefin unterwegs ist. Er schöpft keinen Verdacht, und die Falle schnappt zu: Er überweist das Geld.

Das genannte Beispiel macht sich CEO Fraud zunutze, eine Taktik, um gezielt einen Mitarbeiter mit einer plausiblen Lügengeschichte zu manipulieren und ihn dazu zu bringen, eine Handlung auszuführen. Die Autoritätshörigkeit sowie Hilfsbereitschaft des angegriffenen Mitarbeiters wird dabei ausgenutzt, um ihn zur Handlung zu motivieren.

Kriminellen geht es allerdings nicht ausschließlich darum, direkt Geld zu erbeuten, wenn sie ein Unternehmen angreifen. Sehr oft finden solche Angriffe im Rahmen von Wirtschaftsspionage mit dem Ziel statt, Geschäftsgeheimnisse oder andere sensible Informationen zu stehlen. Diese Informationen verkaufen sie dann entweder zu einem hohen Preis an die Konkurrenz oder erpressen Lösegeld vom bestohlenen Unternehmen.

Social Engineering erkennen – Methoden im Überblick

Die Social Engineering Attacken unterscheiden sich zum Teil sehr stark voneinander und haben verschiedene Ziele. Oft kommen bei Angriffen mehrere Methoden im Verbund zum Einsatz. Hier ein Überblick zu den gängigsten Ansätzen.

Social Engineering Schutz – das können Unternehmen tun

Die meisten Menschen glauben, dass sie niemals auf digitale Trickbetrüger hereinfallen würden. Genau hier fängt das Problem schon an: das eigene Ego gaukelt einem ein falsches Gefühl an Sicherheit vor, was schnell zum Verhängnis werden kann. Sind Sie auch gefährdet? Machen Sie den Phishing Test!

Fakt ist, dass über 90% der Cyber-Crime Attacken den Menschen im Fokus des Angriffs haben.

Möchte ein Unternehmen Social Engineering verhindern, sollte es daher gezielt über kontinuierliches Security Awareness Training die Mitarbeiter für Social Engineering Angriffe sensibilisieren. Jeder Einzelne sollte sich darüber bewusst sein, dass er Opfer einer solchen Attacke werden kann, wodurch dem Unternehmen hohe Schäden entstehen können. Mitarbeiter sollten äußerst achtsam mit digitaler Kommunikation und vermeintlich wohlgesinnten Dienstleistern umzugehen. Misstrauen ist an der Stelle manchmal besser als Vertrauen und kann im Fall der Fälle großen Schaden abwenden.

Im Rahmen einschlägiger Schulungen können simulierte Social Engineering Angriffe im Geschäftsalltag integriert und durchgeführt werden. Mitarbeitern wird anhand von real existierenden Fallbeispielen veranschaulicht, wie perfide die Cyberkriminellen zum Teil vorgehen, um ihr Ziel zu erreichen. 

Vorgesetzte sollten Offenheit und Verständnis gegenüber jeglichen Verdachtsmomenten/-äusserungen zeigen und eine vertrauensvolle Kultur im Unternehmen vorleben.

Social Engineering Prävention

Möchten Sie sich detaillierter über Social Engineering Prävention und einschlägige Schulungsmaßnahmen informieren? Wir unterstützen Sie durch ein professionelles Security Awareness Training, das Ihre Sicherheit nachhaltig und messbar erhöht.

SECURITY AWARENESS TRAINING

Cyber Samurai

Unsere Cyber Samurais schützen Ihre Unternehmensdaten vor potentiellen Angreifern. Je nachdem wie hoch Ihr IT Security Reifegrad bereits ist, planen und setzen wir die nötigen Maßnahmen für Sie um. Unsere Expertise zielt vor allem auf ISMS Implementierung, Security Awareness Training, IT Security Audits sowie Pentesting ab.

Wir kämpfen für Ihre IT-Sicherheit

Vertraulich, kompetent und schnell! Lassen Sie sich beraten.
Wir finden eine sichere Lösung für Sie.

  • +49 (0)8106 3980060