Der Begriff „Social Engineering“ bezieht sich in erster Linie auf die psychologische Manipulation und bestimmte Verfahren, um eine Person zu für sie oder ihr Unternehmen schädliche Entscheidungen und Handlungen zu verleiten. Kamil Mazur, Spezialist für Informationssicherheit bei ERGO Technology and Services (ETSM), nennt sechs Regeln, mit denen Ihr Euch hiervor schützen könnt.
Wie setzen Angreifer „Social Engineering“ ein? Wie können wir uns davor schützen und worauf sollten wir achten? Diese Fragen werden im Folgenden beantwortet.
Einer der bekanntesten Hacker, der für seinen Einsatz von „Social Engineering“ berüchtigt ist, ist Kevin D. Mitnick, der im Titel seines Buches treffend feststellte: „Ich habe Menschen geknackt, keine Passwörter.“ Es besteht also kein Zweifel daran, dass geschickt eingesetztes „Social Engineering“ die Chancen auf einen erfolgreichen Angriff erheblich erhöht.
Bevor wir uns mit den verschiedenen Angriffsmethoden befassen, sollten wir uns mit der Art der verwendeten Technik näher befassen. Die beliebtesten Social-Engineering-Betrügereien lassen sich wie folgt zusammenfassen:
Phishing ist eine der am häufigsten eingesetzten Waffen von Cyberkriminellen. Seine Popularität verdankt es vor allem der Covid-19-Pandemie, die unser Leben mehr als alles andere ins Internet verlagert hat. Denken wir nur an Fern- oder Hybridarbeit, Online-Shopping oder E-Government-Dienste!
Daraus lässt sich schließen, dass es umso mehr Arten von Betrug gibt, je mehr potenzielle Opfer es gibt. Klassisches Phishing ist in den meisten Fällen in keiner Weise personalisiert und wird einfach massenhaft als E-Mail oder SMS verschickt. Es birgt jedoch viele Gefahren wie etwa den Diebstahl von Zugangsdaten oder Identitäten und die Infektion von Geräten. Manchmal ist Phishing selbst nur eine Vorstufe zu einem größeren und besser organisierten Angriff auf ein Unternehmen. Spear-phishing im Speziellen beruht auf einer fortgeschritteneren Technik und zielt in der Regel auf eine bestimmte Person ab. Der Angriff ist bis ins Detail geplant und zielt auf die Schwachstellen speziell dieses Opfers ab, was seine Abwehr noch schwieriger macht.
Ähnliche Mechanismen kommen beim Vishing zum Einsatz, bei dem meist Telefonanrufe verwendet werden. Oft folgen die Kriminellen bekannten Betrugsschemata und -szenarien, geben sich beispielsweise als Banker oder Polizeibeamter aus. Ihr Ziel ist es, Druck auszuüben und das potenzielle Opfer zu einer unüberlegten Handlung zu zwingen. Diese Kombination führt in der Regel schnell zu Fehlentscheidungen - bis das Opfer merkt, dass es einen Fehler gemacht hat (etwa, indem es seine Ersparnisse auf ein unbekanntes Konto überweist, kann es schon zu spät sein.
Eine weitere Form des „Social Engineering“, die in der Regel zum Datendiebstahl verwendet wird, ist das Pretexting. Wie der Name schon sagt, verwendet der Angreifer hierbei einen Vorwand oder ein erfundenes Szenario, um an sensible Daten und Informationen zu gelangen. Ein Beispiel wäre ein Telefonanruf von einer bekannten Institution. Die Person auf der anderen Seite nutzt ihre angebliche Autorität aus. Sie gibt vor, eine vermeintlich wichtige Nachricht für uns zu haben, aber bevor sie diese weitergibt, möchte sie unsere Identität überprüfen. Zu unserer Sicherheit, versteht sich. Die Praxis zeigt, dass das Gegenteil der Fall ist: In den meisten Fällen ist das Opfer an der Nachricht interessiert, insbesondere wenn sich jemand als vertrauenswürdige Institution ausgibt. Leider existiert die Nachricht nicht, und der Angreifer gelangt in den Besitz unserer persönlichen oder anderer sensibler Daten. Diese können leicht für weitere Angriffe und Betrügereien verwendet werden.
Bei der Erörterung von „Social Engineering“-Problemen sollten auch Fake News berücksichtigt werden. Denken Sie daran, dass falsche Informationen allein nicht unbedingt einen Angriff darstellen. Dennoch können sie den eigentlichen Angriff - zum Beispiel Phishing - erleichtern. Fake News allein, die massenhaft eingesetzt werden, können großen Schaden anrichten und das Verhalten der Öffentlichkeit beeinflussen, was die Voraussetzung für „Social Engineering“ erfüllt. Dies wird durch die Fehlinformationen im Zusammenhang mit dem aktuellen russisch-ukrainischen Krieg perfekt veranschaulicht. Wir beobachten eine Verbreitung von Fake News, deren Hauptzweck darin besteht, die Öffentlichkeit in Panik zu versetzen oder, in vielen Fällen, die Aufmerksamkeit auf die Fake-News-Dienste zu lenken, um den Diebstahl von Zugangsdaten zu erleichtern.
Trotz dieses breiten Spektrums an Cyberangriffen können wir uns wirksam dagegen wehren. Alles, was wir tun müssen, ist, einige Gewohnheiten zu entwickeln, die uns helfen werden, die oben genannten Betrügereien zu erkennen. Wenn Ihr einen Verdacht habt, erinnert Euch an diese sechs Gebote!
Die oben aufgeführte Liste von Betrugsversuchen und „Social Engineering“-Techniken ist sicherlich nicht vollständig. Denkt daher daran, dass Angriffe auf Hunderte von Arten durchgeführt werden können, und es werden täglich mehr davon entwickelt. „Social Engineering“ ist, war und wird auch in Zukunft eine wirksame Waffe in den Händen von Cyberkriminellen sein. Vieles hängt von den technischen Fähigkeiten des Angreifers ab, aber ebenso wichtig sind sicherlich der geschickte Einsatz psychologischer Tricks, die Kunst der Manipulation und die richtige Auswahl eines potenziellen Angriffsopfers. Natürlich dürfen wir nicht in Panik verfallen und jedem um uns herum misstrauen, aber es besteht kein Zweifel daran, dass die Kenntnis grundlegender „Social Engineering“-Methoden sowohl im heutigen Arbeitsumfeld als auch im Privatleben eine Notwendigkeit ist.
Text: Kamil Mazur, Information Security Specialist at ERGO Technology and Services
So einfach können Cyberkriminelle Daten missbrauchen: next.ergo.com/de/Cybersecurity/2021/Datenschutz-Cyberkriminelle-Cybersecurity-Phishing-Spear-Phishing-Tailgating-Piggybacking.html
Multi-Faktor-Authentifizierung ist kein Allheilmittel: next.ergo.com/de/Cybersecurity/2021/Multi-Faktor-Authentifizierung.html
Am beliebtesten