Social Engineering

Social Engineering Attacken erfolgreich begegnen

SECURITY AWARENESS KAMPAGNE

Inhalte Social Engineering Blog

Social Engineering – gängige Betrugsmasche

Beim Social Egineering nutzen Kriminelle den Mensch als Schwachstelle in der Sicherheitskette aus, um an sensible Informationen heran zu kommen oder sich unerlaubt Zugriff auf ein Netzwerk oder einen PC zu verschaffen. Im Zeitalter der Digitalisierung ergeben sich sehr effektive und vielfältig neue Möglichkeiten für Kriminelle, um unzählige potentielle Opfer auf relativ einfache Art und Weise per Social Engineering Angriff zu erreichen.

Die Tricks, die diese Online-Betrüger dabei anwenden, sind skurpellos, und nicht immer leicht zu durchschauen. Jeder kann Opfer eines solchen Betrugs werden. Oftmals vermischt sich dabei die private Welt einer Einzelperson mit der Geschäftlichen. Die Angreifer spionieren das Privatleben einer Person aus, um sich dadurch den Zugang zu Geschäftsinformationen zu erschleichen.

Zum Schutz vor  Social Engineering Attacken, ist es von Vorteil die Tricks und Maschen der Täter zu kennen. In diesem Artikel wird erklärt, worum es sich bei Social Engineering insbesondere im Unternehmensumfeld handelt, welche Maschen die Betrüger anwenden und wie Unternehmen Social Engineering verhindern können.

Was ist Social Engineering? Social Engineering Definiton

Social Engineering ist das unterschwellige Beeinflussen eines Menschen, um ihn zu einer Handlung zu bewegen, ohne misstrauisch zu werden. Der Täter verfolgt dabei das Ziel auf sensible Daten Zugriff zu erhalten. Kurzum: Social Engineering ist eine Form der Manipulation.

Die Betrüger geben sich oft als Autoritätspersonen oder Experten aus, um sich schnell das Vertrauen ihres Opfers zu erschleichen. Menschliche Eigenschaften wie Vertrauen, Angst, Respekt vor Autorität oder Hilfsbereitschaft werden ausgenutzt, um Personen zu manipulieren. Letztendlich will der Täter an bestimmte, vertrauliche Informationen gelangen, die ihm für sein weiteres Handeln nützlich sind.

Cyber Samurai_Social Engineering_Blick durch´s Schlüsselloch

Social Engineering Hauptmerkmal Täuschung

Das Hauptmerkmal von Social Engineering Angriffen besteht in der Täuschung der Identität und Absicht des Täters. Dieser gibt sich zum Beispiel als Support Mitarbeiter eines Unternehmens wie Amazon, PayPal etc. aus, um das Opfer entweder zur Mitteilung von Anmelde-/Kontoinformationen zu bewegen oder zum Besuch einer nachgebauten, präparierten Website zu verleiten.

Ein klassisches Social Engineering Beispiel ist der vermeintlich hilfsbereite Systemadministrator. Er kontaktiert Mitarbeiter, da er vermeintlich dessen Benutzerpasswort zur angeblichen Behebung eines Systemfehlers oder Sicherheitsproblems benötigt. Sobald der Täter Druck aufbaut und beispielsweise kommuniziert, dass das gesamte Firmen-Netzwerk abgeschaltet werden muss, sofern der Fehler nicht umgehend behoben wird, schnappt die Falle schnell zu.

Ein aktuelles Beispiel sind auch Phishing-E-Mails, welche Informationen rund um die Virusinfektion Covid-19 enthalten und den Empfänger auf präparierte Webseiten leiten. Dem Opfer wird zum Beispiel suggeriert, dass er/sie Kontakt zu einer virusinfizierten Person hatte und er/sie auf Anordnung des Gesundheitsamtes dringend einen Testtermin vereinbaren soll. Durch Klick auf den Link, landet der User auf einer täuschend echten, präparierten Website, auf der er/sie zur Dateneingabe aufgefordert wird.

Gegebenenfalls erschleicht sich der Täter über wiederholte Kontaktaufnahme das Vertrauen des Opfers, sodass die für ihn zielführende Handlung erst zu einem späteren Zeitpunkt eintritt.

Diese Beispiele sind insofern typisch, als die Täter hier die Absicht vortäuschen, die Sicherheit eines Systems oder einer Dienstleistung zu erhöhen. Ein Opfer, das auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun. Tatsächlich spielt es dem Täter in die Hände, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen. Im schlimmsten Fall erlangt der Angreifer Zugriff auf Unternehmensdaten, obwohl das Netzwerk technisch gut geschützt ist.

Social Engineering Angriff – Gefahr für Unternehmen

Für Unternehmen stellt Social Engineering ein ernstzunehmendes Risiko dar. Durch die immer komplexer werdenden technischen Sicherheitslösungen, werden auch die Hürden, die Angreifer überwinden müssen, um beispielsweise in ein Firmennetzwerk einzudringen, immer größer. Daher zielen die Angreifer immer mehr auf den Menschen als Schwachstelle, um über diesen ihr Ziel zu erreichen.

Das Vorgehen ist dabei meist ähnlich: Zuerst wird das Vertrauen des Opfers erschlichen, um es anschließend dazu zu bewegen, einer Aufforderung nachzukommen: etwa Zugangsdaten herauszugeben, eine Überweisung durchzuführen oder den Anhang einer E-Mail zu öffnen und auszuführen.

Social Engineering Attacken auf Mitarbeiter/innen einer Firma in Form von Phishing oder CEO Betrug, sind dabei weniger zufällig und spontan, sondern meist über Wochen oder sogar Monate hinweg geplant. Die Betrüger spionieren in der Regel das berufliche Umfeld und auch das private und soziale Umfeld ihres Opfers aus und tragen Informationen aus sämtlichen Kanälen zusammen: soziale Netzwerke, Berufsnetzwerke, Informationen per Google-Suche. Je mehr sie über ihr Opfer wissen, umso besser können sie sich von ihm ein Bild machen, um einen zielgerichteten Angriff, der in Bezug zu den Gewohnheiten und Gepflogenheiten des Opferst steht, zu starten.

Social Engineering_CEO Fraud_Fingerabdruck mit Fragezeichen

CEO Fraud im Unternehmen

Kriminelle haben durch gezieltes Ausspähen des Unternehmens und dessen Mitarbeitern herausbekommen, dass die Geschäftsführerin für einige Tage geschäftlich vereist ist. Die Betrüger senden einem Mitarbeiter, von dem sie wissen, dass er Zugriff auf das Finanzsystem hat, eine E-Mail. Diese Mail kommt angeblich von der Geschäftsführerin, mit der Bitte darin eine Überweisung von 500.000 US-Dollar an einen neuen Investor aus dem Ausland zu tätigen. Sie würde es selbst erledigen, doch da sie gerade auf Reisen ist, sei dies nicht möglich. Für den Mitarbeiter klingt dies plausibel, denn schließlich weiß er, dass die Chefin unterwegs ist. Er schöpft keinen Verdacht, und die Falle schnappt zu: Er überweist das Geld.

Das genannte Beispiel macht sich CEO Fraud zunutze, eine Taktik, um gezielt einen Mitarbeiter mit einer plausiblen Lügengeschichte zu manipulieren und ihn dazu zu bringen, eine Handlung auszuführen. Die Autoritätshörigkeit sowie Hilfsbereitschaft des angegriffenen Mitarbeiters wird dabei ausgenutzt, um ihn zur Handlung zu motivieren.

Kriminellen geht es allerdings nicht ausschließlich darum, direkt Geld zu erbeuten, wenn sie ein Unternehmen angreifen. Sehr oft finden solche Angriffe im Rahmen von Wirtschaftsspionage mit dem Ziel statt, Geschäftsgeheimnisse oder andere sensible Informationen zu stehlen. Diese Informationen verkaufen sie dann entweder zu einem hohen Preis an die Konkurrenz oder erpressen Lösegeld vom bestohlenen Unternehmen.

Social Engineering erkennen – Methoden im Überblick

Die Social Engineering Attacken unterscheiden sich zum Teil sehr stark voneinander und haben verschiedene Ziele. Oft kommen bei Angriffen mehrere Methoden im Verbund zum Einsatz. Hier ein Überblick zu den gängigsten Ansätzen.

Phishing - E-Mail Betrug

E-Mails sind das meistgenutzte Kommunikationsmittel im Unternehmensalltag und dienen als perfektes Vehikel für Angreifer. Die Täter wollen das Opfer dazu bringen, eine bewusste Aktion in der versendeten Phishing E-Mail auszuführen. Etwa auf einen manipulierten Link zu klicken oder eine verseuchte Datei zu öffnen. Um das Opfer dazu zu bringen, die gewünschte Aktion auszulösen, setzen die Täter meist eine oder mehrere der folgenden Taktiken ein:

Mit Betreffzeilen und Dateinamen wie beispielsweise “Lebenslauf” oder “Neues Konzept” wird die natürliche Neugier der Opfer angesprochen. Vermehrt verwenden Angreifer zudem die “Post vom Anwalt”-Masche, die mit einem juristischen Betreff Aufmerksamkeit erzeugen sollen. Inhaltlich wird ein Gefühl der Dringlichkeit geweckt. Der Absender gibt sich beispielsweise als IT-Mitarbeiter aus und verlangt, dass sofort die angehängte Datei geöffnet werden muss, um ein wichtiges Update zu installieren. Oder zu Zeiten der Pandemie soll sich der Empfänger dringend auf der Website des Landratsamtes XY für einen Impftermin registrieren lassen. Die Mails imitieren vertrauenswürdige Absender. So könnten die Angreifer zum Beispiel eine Nachricht des Amazon-Supports nachbauen, in der dazu aufgefordert wird, die Bankverbindung über einen Link – der zu einer nachgebauten Phishing-Webseite führt – zu aktualisieren. Die eingegebenen Daten gehen direkt an die Betrüger.

Um die E-Mail darüber hinaus noch authentischer wirken zu lassen, nutzen Angreifer oftmals auch “gefälschte Kommunikationsketten”. Dabei setzen sie “AW:”, “Fwd:” oder “WG:” vor den Betreff und ergänzen sogar einen gefälschten, thematisch passenden E-Mail-Verlauf.

CEO Betrug

Wie im Beispiel weiter oben, wird bei dieser Methode einem Mitarbeiter per Mail oder Telefon vorgegaukelt, dass es sich um eine Anweisung direkt aus der Chef-Etage handelt. Oft wird der Mitarbeiter dazu gedrängt, etwas sofort zu erledigen, weil die Angelegenheit wichtig ist und keinen Aufschub duldet. Kommt der Angriff per Mail, sieht diese oft täuschend echt aus. Die Angreifer haben sich im Vorfeld über das Aussehen der Geschäftsmails schlau gemacht, um die Identität des Absenders bestmöglich nachzuahmen.

Pretexting

Bei dieser Methode erfinden die Betrüger eine zum Teil sehr komplexe Lügengeschichte, deren Wahrheitsgehalt sie oft sogar mit extra dafür angelegten Webseiten oder E-Mail-Adressen untermauern. Oft stellt diese Methode eine Vorstufe eines Angriffs dar, bei dem später noch weitere Methoden zum Einsatz kommen, wenn das Opfer mit der Lügengeschichte erfolgreich umgarnt wurde. Die Betrüger möchten per Pretexting oft weitere Informationen in Erfahrung bringen. Häufig geben sie sich als Angestellte vom Finanzamt, Polizisten oder andere Autoritätspersonen aus.

Baiting

Diese Methode macht sich die Neugierde der Menschen zu Nutze. Der Köder, der dazu eingesetzt wird, kann entweder physisch oder digital sein: Ein USB-Stick, der ins Unternehmen eingeschleust wurde und vermeintlich interessante Daten enthält, oder eine E-Mail mit einem Link, der zu weiterführenden interessanten Informationen führt. In beiden Fällen ist der Inhalt oft ein Programm, das Malware auf dem Rechner installiert und so das komplette Firmennetzwerk infizieren kann. Um Mitarbeiter/innen dazu zu bewegen, den USB-Stick anzuschließen oder den Link in der Mail zu öffnen, kann dem Baiting das Pretexting vorausgehen, bei dem eine glaubhafte Lügengeschichte erfunden wird.

Honeypots

Im privaten Bereich sind Honeypots Kriminelle, die sich als besonders attraktive Personen ausgeben, ihrem Opfer häufig auf Dating-Plattformen die große Liebe vorschwärmen, um es dazu zu bringen, Geld zu überweisen. Im geschäftlichen Umfeld kann es sich bei Honeypots um Personen handeln, die Geschäftsbeziehungen vorgaukeln, um auf diese Weise an sensible Unternehmensinformationen heranzukommen.

Social Engineering Schutz – das können Unternehmen tun

Die meisten Menschen glauben, dass sie niemals auf digitale Trickbetrüger hereinfallen würden. Genau hier fängt das Problem schon an: das eigene Ego gaukelt einem ein falsches Gefühl an Sicherheit vor, was schnell zum Verhängnis werden kann. Sind Sie auch gefährdet? Machen Sie den Phishing Test!

Fakt ist, dass über 90% der Cyber-Crime Attacken den Menschen im Fokus des Angriffs haben.

Möchte ein Unternehmen Social Engineering verhindern, sollte es daher gezielt über eine kontinuierliche Security Awareness Kampagne die Mitarbeiter für Social Engineering Angriffe sensibilisieren. Jeder Einzelne sollte sich darüber bewusst sein, dass er Opfer einer solchen Attacke werden kann, wodurch dem Unternehmen hohe Schäden entstehen können. Mitarbeiter sollten äußerst achtsam mit digitaler Kommunikation und vermeintlich wohlgesinnten Dienstleistern umzugehen. Misstrauen ist an der Stelle manchmal besser als Vertrauen und kann im Fall der Fälle großen Schaden abwenden.

Im Rahmen einschlägiger Schulungen können simulierte Social Engineering Angriffe im Geschäftsalltag integriert und durchgeführt werden. Mitarbeitern wird anhand von real existierenden Fallbeispielen veranschaulicht, wie perfide die Cyberkriminellen zum Teil vorgehen, um ihr Ziel zu erreichen. 

Vorgesetzte sollten Offenheit und Verständnis gegenüber jeglichen Verdachtsmomenten/-äusserungen zeigen und eine vertrauensvolle Kultur im Unternehmen vorleben.

Social Engineering Prävention

Möchten Sie sich detaillierter über Social Engineering Prävention und einschlägige Schulungsmaßnahmen informieren? Wir unterstützen Sie durch ein professionelles Security Awareness Training, das Ihre Sicherheit nachhaltig und messbar erhöht.

CYBER AWARENESS KAMPAGNE

Cyber Samurai

Unsere Cyber Samurais schützen Ihre Unternehmensdaten vor potentiellen Angreifern. Je nachdem wie hoch Ihr IT Security Reifegrad bereits ist, planen und setzen wir die nötigen Maßnahmen für Sie um. Unsere Expertise zielt vor allem auf ISMS Implementierung, Security Awareness Kampagnen, IT Security Audits sowie Pentesting ab.

Wir kämpfen für Ihre IT-Sicherheit

Vertraulich, kompetent und schnell! Lassen Sie sich beraten.
Wir finden eine sichere Lösung für Sie.

  • +49 (0)8106 3980060