Social Engineering
Cyberangriffen erfolgreich begegnen
Social Engineering – gängige Betrugsmasche
Beim Social Engineering nutzen Cyber-Kriminelle den Mitarbeitenden als Schwachstelle in der Sicherheitskette aus, um an sensible Informationen heran zu kommen oder sich unerlaubt Zugriff auf ein Netzwerk oder einen PC zu verschaffen. Im Zeitalter der Digitalisierung ergeben sich sehr effektive und vielfältige neue Möglichkeiten für Kriminelle, um potentielle Opfer auf relativ einfache Art und Weise per Social Engineering Angriff zu erreichen.
Die Tricks, die sie dabei anwenden, sind skrupellos und nicht immer leicht zu durchschauen. Jedes Unternehmen kann Opfer eines solchen Betrugs werden. Oftmals vermischt sich dabei die private Welt einer Einzelperson mit der Geschäftlichen. Die Angreifer spionieren das Privatleben einer Person aus, um sich dadurch den Zugang zu Geschäftsinformationen zu erschleichen.
Zum Schutz vor Social Engineering Attacken, ist es von Vorteil die Tricks und Maschen der Täter zu kennen. In diesem Artikel wird erklärt, worum es sich bei Social Engineering insbesondere im Unternehmensumfeld handelt, welche Methoden verwendet werden und wie Unternehmen Angriffe verhindern können.
Was ist Social Engineering? Definition
Social Engineering ist das unterschwellige Beeinflussen eines Menschen, um ihn zu einer Handlung zu bewegen, ohne misstrauisch zu werden. Der Täter verfolgt dabei das Ziel auf sensible Daten Zugriff zu erhalten. Kurzum: Social Engineering ist eine Form der Manipulation.
Die Betrüger geben sich oft als Autoritätspersonen oder Experten aus, um sich schnell das Vertrauen ihres Opfers zu erschleichen. Menschliche Eigenschaften wie Vertrauen, Angst, Respekt vor Autorität oder Hilfsbereitschaft werden ausgenutzt, um Personen zu manipulieren. Letztendlich will der Täter an bestimmte, vertrauliche Informationen gelangen, die ihm für sein weiteres Handeln nützlich sind.
Social Engineering Hauptmerkmal Täuschung
Das Hauptmerkmal von Social Engineering Angriffen besteht in der Täuschung der Identität und Absicht des Täters. Dieser gibt sich zum Beispiel als Support Mitarbeiter eines Unternehmens wie Amazon, PayPal etc. aus, um das Opfer entweder zur Mitteilung von Anmelde-/Kontoinformationen zu bewegen oder zum Besuch einer nachgebauten, präparierten Website zu verleiten.
Ein klassisches Social Engineering Beispiel ist der vermeintlich hilfsbereite Systemadministrator. Er kontaktiert Mitarbeiter, da er vermeintlich dessen Benutzerpasswort zur angeblichen Behebung eines Systemfehlers oder Sicherheitsproblems benötigt. Sobald der Täter Druck aufbaut und beispielsweise kommuniziert, dass das gesamte Firmen-Netzwerk abgeschaltet werden muss, sofern der Fehler nicht umgehend behoben wird, schnappt die Falle schnell zu.
Ein weiteres aktuelles Beispiel sind Phishing-E-Mails, welche den Empfänger auf gefälschte Webseiten leiten. Durch Klick auf den Link, landet der User auf einer täuschend echten Website und wird zur Eingabe von persönlichen Daten aufgefordert.
Gegebenenfalls erschleicht sich der Täter über wiederholte Kontaktaufnahme das Vertrauen des Opfers, sodass die für ihn zielführende Handlung erst zu einem späteren Zeitpunkt eintritt.
Diese Beispiele sind insofern typisch, als die Täter hier die Absicht vortäuschen, die Sicherheit eines Systems oder einer Dienstleistung zu erhöhen. Ein Opfer, das auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun. Tatsächlich spielt es dem Täter in die Hände, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen. Im schlimmsten Fall erlangt der Angreifer Zugriff auf Unternehmensdaten, obwohl das Netzwerk technisch gut geschützt ist.
Social Engineering Angriff – Gefahr für Unternehmen
Für Unternehmen stellt Social Engineering ein ernstzunehmendes Risiko dar. Durch immer komplexer werdende technische Sicherheitslösungen, werden die Hürden für Hacker, um beispielsweise in ein Firmennetzwerk einzudringen, immer größer. Daher zielen die Angreifer stärker auf den Mitarbeitenden als Schwachstelle ab, um ihr Ziel zu erreichen.
Das Vorgehen ist dabei meist ähnlich: Zuerst wird das Vertrauen des Opfers erschlichen, um es anschließend dazu zu bewegen, einer Aufforderung nachzukommen: etwa Zugangsdaten herauszugeben, eine Überweisung durchzuführen oder den Anhang einer E-Mail zu öffnen und auszuführen.
Social Engineering Attacken auf Mitarbeitende in Form von Phishing oder CEO Betrug, sind dabei weniger zufällig und spontan, sondern meist über Wochen oder sogar Monate hinweg geplant. Die Betrüger spionieren in der Regel das berufliche Umfeld, das private und das soziale Umfeld ihres Opfers aus und tragen Informationen aus sämtlichen Kanälen zusammen: soziale Netzwerke, Berufsnetzwerke, Informationen per Google-Suche. Je mehr sie über ihr Opfer wissen, desto besser können sie sich von ihm ein Bild machen, um einen zielgerichteten Angriff zu starten, der in Bezug zu den Gewohnheiten und Gepflogenheiten des Opferst steht.
CEO Fraud im Unternehmen
Kriminelle haben durch gezieltes Ausspähen des Unternehmens und dessen Mitarbeitenden herausbekommen, dass die Geschäftsführerin für einige Tage geschäftlich verreist ist. Die Betrüger senden einem Finanz-Mitarbeiter eine E-Mail. Diese kommt angeblich von der Geschäftsführerin, mit der Bitte darin eine Überweisung von 500.000 US-Dollar an einen neuen Investor aus dem Ausland zu tätigen. Sie würde es selbst erledigen, doch da sie gerade auf Reisen ist, sei dies nicht möglich. Für den Finanz-Mitarbeiter klingt dies plausibel, denn schließlich weiß er, dass seine Vorgesetzte unterwegs ist. Er schöpft keinen Verdacht, und die Falle schnappt zu: Er überweist das Geld.
Das genannte Beispiel macht sich CEO Fraud zunutze. Das ist eine Taktik, mit der ein Mitarbeitender mit einer plausiblen Lügengeschichte manipuliert wird und die ihn dazu zu bringt, eine Handlung auszuführen. Dabei wird die Autoritätshörigkeit sowie Hilfsbereitschaft der Person ausgenutzt, um sie zur Handlung zu motivieren.
Kriminellen geht es allerdings nicht ausschließlich darum, direkt Geld zu erbeuten, wenn sie ein Unternehmen angreifen. Sehr oft finden solche Angriffe im Rahmen von Wirtschaftsspionage statt, mit dem Ziel Geschäftsgeheimnisse oder andere sensible Informationen zu stehlen. Diese Informationen verkaufen sie dann entweder zu einem hohen Preis an die Konkurrenz oder erpressen Lösegeld vom bestohlenen Unternehmen.
Social Engineering erkennen – Methoden im Überblick
Die Social Engineering Attacken unterscheiden sich zum Teil sehr stark voneinander und haben verschiedene Ziele. Oft kommen bei Angriffen mehrere Methoden im Verbund zum Einsatz. Hier ein Überblick zu den gängigsten Ansätzen.
Social Engineering Schutz – das können Unternehmen tun
Die meisten Menschen glauben, dass sie niemals auf digitale Trickbetrüger hereinfallen würden. Genau hier fängt das Problem schon an: das eigene Ego gaukelt einem ein falsches Gefühl an Sicherheit vor, was schnell zum Verhängnis werden kann. Sind Sie auch gefährdet? Machen Sie den Phishing Test!
Fakt ist, dass über 90% der Cyber-Crime Attacken den Menschen im Fokus des Angriffs haben.
Möchte ein Unternehmen Social Engineering verhindern, sollte es daher gezielt über eine kontinuierliche Security Awareness Kampagne die Mitarbeiter für Social Engineering Angriffe sensibilisieren. Jeder Einzelne sollte sich darüber bewusst sein, dass er Opfer einer solchen Attacke werden kann, wodurch dem Unternehmen hohe Schäden entstehen können. Mitarbeiter sollten äußerst achtsam mit digitaler Kommunikation und vermeintlich wohlgesinnten Dienstleistern umzugehen. Misstrauen ist an der Stelle manchmal besser als Vertrauen und kann im Fall der Fälle großen Schaden abwenden.
Im Rahmen einschlägiger Schulungen können simulierte Social Engineering Angriffe im Geschäftsalltag integriert und durchgeführt werden. Mitarbeitern wird anhand von real existierenden Fallbeispielen veranschaulicht, wie perfide die Cyberkriminellen zum Teil vorgehen, um ihr Ziel zu erreichen.
Vorgesetzte sollten Offenheit und Verständnis gegenüber jeglichen Verdachtsmomenten/-äusserungen zeigen und eine vertrauensvolle Kultur im Unternehmen vorleben.
Cyber Samurai
Unsere Cyber Samurais schützen Ihre Unternehmensdaten vor potentiellen Angreifern. Je nachdem wie hoch Ihr IT Security Reifegrad bereits ist, planen und setzen wir die nötigen Maßnahmen für Sie um. Unsere Expertise zielt vor allem auf ISMS Implementierung, Security Awareness Kampagnen, IT Security Audits sowie Pentesting ab.
Wir kämpfen für Ihre IT-Sicherheit
Vertraulich, kompetent und schnell! Lassen Sie sich beraten.
Wir finden eine sichere Lösung für Sie.