Social Engineering

Cyberangriffen erfolgreich begegnen

Inhalte

Was ist Social Engineering? Definition
Social Engineering Hauptmerkmal Täuschung
Social Engineering Angriff – ein Problem für Unternehmen
Social Engineering erkennen – Methoden im Überblick
Social Engineering Schutz – das können Unternehmen tun

Social Engineering – gängige Betrugsmasche

Beim Social Engineering nutzen Cyber-Kriminelle den Mitarbeitenden als Schwachstelle in der Sicherheitskette aus, um an sensible Informationen heran zu kommen oder sich unerlaubt Zugriff auf ein Netzwerk oder einen PC zu verschaffen. Im Zeitalter der Digitalisierung ergeben sich sehr effektive und vielfältige neue Möglichkeiten für Kriminelle, um potentielle Opfer auf relativ einfache Art und Weise per Social Engineering Angriff zu erreichen.

Die Tricks, die sie dabei anwenden, sind skrupellos und nicht immer leicht zu durchschauen. Jedes Unternehmen kann Opfer eines solchen Betrugs werden. Oftmals vermischt sich dabei die private Welt einer Einzelperson mit der Geschäftlichen. Die Angreifer spionieren das Privatleben einer Person aus, um sich dadurch den Zugang zu Geschäftsinformationen zu erschleichen.

Zum Schutz vor Social Engineering Attacken, ist es von Vorteil die Tricks und Maschen der Täter zu kennen. In diesem Artikel wird erklärt, worum es sich bei Social Engineering insbesondere im Unternehmensumfeld handelt, welche Methoden verwendet werden und wie Unternehmen Angriffe verhindern können.

Social Engineering ist das unterschwellige Beeinflussen eines Menschen, um ihn zu einer Handlung zu bewegen, ohne misstrauisch zu werden. Der Täter verfolgt dabei das Ziel auf sensible Daten Zugriff zu erhalten. Kurzum: Social Engineering ist eine Form der Manipulation.

Die Betrüger geben sich oft als Autoritätspersonen oder Experten aus, um sich schnell das Vertrauen ihres Opfers zu erschleichen. Menschliche Eigenschaften wie Vertrauen, Angst, Respekt vor Autorität oder Hilfsbereitschaft werden ausgenutzt, um Personen zu manipulieren. Letztendlich will der Täter an bestimmte, vertrauliche Informationen gelangen, die ihm für sein weiteres Handeln nützlich sind.

Cyber Samurai_Social Engineering_Blick durch´s Schlüsselloch

Das Hauptmerkmal von Social Engineering Angriffen besteht in der Täuschung der Identität und Absicht des Täters. Dieser gibt sich zum Beispiel als Support Mitarbeiter eines Unternehmens wie Amazon, PayPal etc. aus, um das Opfer entweder zur Mitteilung von Anmelde-/Kontoinformationen zu bewegen oder zum Besuch einer nachgebauten, präparierten Website zu verleiten.

Ein klassisches Social Engineering Beispiel ist der vermeintlich hilfsbereite Systemadministrator. Er kontaktiert Mitarbeiter, da er vermeintlich dessen Benutzerpasswort zur angeblichen Behebung eines Systemfehlers oder Sicherheitsproblems benötigt. Sobald der Täter Druck aufbaut und beispielsweise kommuniziert, dass das gesamte Firmen-Netzwerk abgeschaltet werden muss, sofern der Fehler nicht umgehend behoben wird, schnappt die Falle schnell zu.

Ein weiteres aktuelles Beispiel sind Phishing-E-Mails, welche den Empfänger auf gefälschte Webseiten leiten. Durch Klick auf den Link, landet der User auf einer täuschend echten Website und wird zur Eingabe von persönlichen Daten aufgefordert.

Gegebenenfalls erschleicht sich der Täter über wiederholte Kontaktaufnahme das Vertrauen des Opfers, sodass die für ihn zielführende Handlung erst zu einem späteren Zeitpunkt eintritt.

Diese Beispiele sind insofern typisch, als die Täter hier die Absicht vortäuschen, die Sicherheit eines Systems oder einer Dienstleistung zu erhöhen. Ein Opfer, das auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun. Tatsächlich spielt es dem Täter in die Hände, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen. Im schlimmsten Fall erlangt der Angreifer Zugriff auf Unternehmensdaten, obwohl das Netzwerk technisch gut geschützt ist.

Für Unternehmen stellt Social Engineering ein ernstzunehmendes Risiko dar. Durch immer komplexer werdende technische Sicherheitslösungen, werden die Hürden für Hacker, um beispielsweise in ein Firmennetzwerk einzudringen, immer größer. Daher zielen die Angreifer stärker auf den Mitarbeitenden als Schwachstelle ab, um ihr Ziel zu erreichen.

Das Vorgehen ist dabei meist ähnlich: Zuerst wird das Vertrauen des Opfers erschlichen, um es anschließend dazu zu bewegen, einer Aufforderung nachzukommen: etwa Zugangsdaten herauszugeben, eine Überweisung durchzuführen oder den Anhang einer E-Mail zu öffnen und auszuführen.

Social Engineering Attacken auf Mitarbeitende in Form von Phishing oder CEO Betrug, sind dabei weniger zufällig und spontan, sondern meist über Wochen oder sogar Monate hinweg geplant. Die Betrüger spionieren in der Regel das berufliche Umfeld, das private und das soziale Umfeld ihres Opfers aus und tragen Informationen aus sämtlichen Kanälen zusammen: soziale Netzwerke, Berufsnetzwerke, Informationen per Google-Suche. Je mehr sie über ihr Opfer wissen, desto besser können sie sich von ihm ein Bild machen, um einen zielgerichteten Angriff zu starten, der in Bezug zu den Gewohnheiten und Gepflogenheiten des Opferst steht.

Social Engineering_CEO Fraud_Fingerabdruck mit Fragezeichen

CEO Fraud im Unternehmen

Kriminelle haben durch gezieltes Ausspähen des Unternehmens und dessen Mitarbeitenden herausbekommen, dass die Geschäftsführerin für einige Tage geschäftlich verreist ist. Die Betrüger senden einem Finanz-Mitarbeiter eine E-Mail. Diese kommt angeblich von der Geschäftsführerin, mit der Bitte darin eine Überweisung von 500.000 US-Dollar an einen neuen Investor aus dem Ausland zu tätigen. Sie würde es selbst erledigen, doch da sie gerade auf Reisen ist, sei dies nicht möglich. Für den Finanz-Mitarbeiter klingt dies plausibel, denn schließlich weiß er, dass seine Vorgesetzte unterwegs ist. Er schöpft keinen Verdacht, und die Falle schnappt zu: Er überweist das Geld.

Das genannte Beispiel macht sich CEO Fraud zunutze. Das ist eine Taktik, mit der ein Mitarbeitender mit einer plausiblen Lügengeschichte manipuliert wird und die ihn dazu zu bringt, eine Handlung auszuführen. Dabei wird die Autoritätshörigkeit sowie Hilfsbereitschaft der Person ausgenutzt, um sie zur Handlung zu motivieren.

Kriminellen geht es allerdings nicht ausschließlich darum, direkt Geld zu erbeuten, wenn sie ein Unternehmen angreifen. Sehr oft finden solche Angriffe im Rahmen von Wirtschaftsspionage statt, mit dem Ziel Geschäftsgeheimnisse oder andere sensible Informationen zu stehlen. Diese Informationen verkaufen sie dann entweder zu einem hohen Preis an die Konkurrenz oder erpressen Lösegeld vom bestohlenen Unternehmen.

Die Social Engineering Attacken unterscheiden sich zum Teil sehr stark voneinander und haben verschiedene Ziele. Oft kommen bei Angriffen mehrere Methoden im Verbund zum Einsatz. Hier ein Überblick zu den gängigsten Ansätzen.

Phishing - E-Mail Betrug

E-Mails sind das meistgenutzte Kommunikationsmittel im Unternehmensalltag und dienen als perfektes Vehikel für Angreifer. Die Täter wollen das Opfer dazu bringen, eine bewusste Aktion in der versendeten Phishing E-Mail auszuführen. Etwa auf einen manipulierten Link zu klicken oder eine verseuchte Datei zu öffnen. Um das Opfer dazu zu bringen, die gewünschte Aktion auszulösen, setzen die Täter meist eine oder mehrere der folgenden Taktiken ein:

Mit Betreffzeilen und Dateinamen wie beispielsweise “Lebenslauf” oder “Neues Konzept” wird die natürliche Neugier der Opfer angesprochen. Vermehrt verwenden Angreifer zudem die “Post vom Anwalt”-Masche, die mit einem juristischen Betreff Aufmerksamkeit erzeugen sollen. Inhaltlich wird ein Gefühl der Dringlichkeit geweckt. Der Absender gibt sich beispielsweise als IT-Mitarbeiter aus und verlangt, dass sofort die angehängte Datei geöffnet werden muss, um ein wichtiges Update zu installieren. Die Mails imitieren vertrauenswürdige Absender. So könnten die Angreifer zum Beispiel eine Nachricht des Microsoft-Supports nachbauen, in der dazu aufgefordert wird, einen Link zu einer nachgebauten Phishing-Webseite aufzurufen, um das Passwort neu einzugeben. Die eingegebenen Zugangsdaten gehen direkt an die Betrüger.

Um die E-Mail authentischer wirken zu lassen, nutzen Angreifer oftmals “gefälschte Kommunikationsketten”. Dabei setzen sie “AW:”, “Fwd:” oder “WG:” vor den Betreff und ergänzen sogar einen gefälschten, thematisch passenden E-Mail-Verlauf.

CEO Betrug

Wie im Beispiel bereits skizziert, wird bei dieser Methode einem Mitarbeiter per Mail oder Telefon vorgegaukelt, dass es sich um eine Anweisung direkt aus der Chef-Etage handelt. Oft wird der Mitarbeiter dazu gedrängt, etwas sofort zu erledigen, weil die Angelegenheit wichtig ist und keinen Aufschub duldet. Kommt der Angriff per Mail, sieht diese oft täuschend echt aus. Die Angreifer haben sich im Vorfeld über das Aussehen der Geschäftsmails schlau gemacht, um die Identität des Absenders bestmöglich nachzuahmen.

Pretexting

Bei dieser Methode erfinden die Kriminellen eine zum Teil sehr komplexe Lügengeschichte, deren Wahrheitsgehalt sie mit extra dafür angelegten Webseiten oder E-Mail-Adressen untermauern. Oft stellt diese Methode eine Vorstufe eines Angriffs dar, bei dem später noch weitere Methoden zum Einsatz kommen, wenn das Opfer mit der Lügengeschichte erfolgreich umgarnt wurde. Die Betrüger möchten per Pretexting oft weitere Informationen in Erfahrung bringen. Häufig geben sie sich als Angestellte vom Finanzamt, Polizisten oder andere Autoritätspersonen aus.

Baiting

Diese Methode macht sich die Neugierde der Menschen zu Nutze. Der Köder, der dazu eingesetzt wird, kann entweder physisch oder digital sein: Ein USB-Stick, der ins Unternehmen eingeschleust wurde und vermeintlich interessante Daten enthält, oder eine E-Mail mit einem Link, der zu weiterführenden interessanten Informationen führt. In beiden Fällen ist der Inhalt oft ein Programm, das Malware auf dem Rechner installiert und so das komplette Firmennetzwerk infizieren kann. Um Mitarbeiter/innen dazu zu bewegen, den USB-Stick anzuschließen oder den Link in der Mail zu öffnen, kann dem Baiting das Pretexting vorausgehen.

Honeypots

Im privaten Bereich sind Honeypots Kriminelle, die sich als besonders attraktive Personen ausgeben, ihrem Opfer häufig auf Dating-Plattformen die große Liebe vorschwärmen, um es dazu zu bringen, Geld zu überweisen. Im geschäftlichen Umfeld kann es sich bei Honeypots um Personen handeln, die Geschäftsbeziehungen vorgaukeln, um auf diese Weise an sensible Unternehmensinformationen heranzukommen.

Die meisten Menschen glauben, dass sie niemals auf digitale Trickbetrüger hereinfallen würden. Genau hier fängt das Problem schon an: das eigene Ego gaukelt einem ein falsches Gefühl an Sicherheit vor, was schnell zum Verhängnis werden kann. Sind Sie auch gefährdet? Machen Sie den Phishing Test!

Fakt ist, dass über 90% der Cyber-Crime Attacken den Menschen im Fokus des Angriffs haben.

Möchte ein Unternehmen Social Engineering verhindern, sollte es daher gezielt über eine kontinuierliche Security Awareness Kampagne die Mitarbeiter für Social Engineering Angriffe sensibilisieren. Jeder Einzelne sollte sich darüber bewusst sein, dass er Opfer einer solchen Attacke werden kann, wodurch dem Unternehmen hohe Schäden entstehen können. Mitarbeiter sollten äußerst achtsam mit digitaler Kommunikation und vermeintlich wohlgesinnten Dienstleistern umzugehen. Misstrauen ist an der Stelle manchmal besser als Vertrauen und kann im Fall der Fälle großen Schaden abwenden.

Im Rahmen einschlägiger Schulungen können simulierte Social Engineering Angriffe im Geschäftsalltag integriert und durchgeführt werden. Mitarbeitern wird anhand von real existierenden Fallbeispielen veranschaulicht, wie perfide die Cyberkriminellen zum Teil vorgehen, um ihr Ziel zu erreichen.

Vorgesetzte sollten Offenheit und Verständnis gegenüber jeglichen Verdachtsmomenten/-äusserungen zeigen und eine vertrauensvolle Kultur im Unternehmen vorleben.