Wie gefährlich ist „Social engineering“ für unsere Cybersicherheit?

Der Begriff „Social Engineering“ bezieht sich in erster Linie auf die psychologische Manipulation und bestimmte Verfahren, um eine Person zu für sie oder ihr Unternehmen schädliche Entscheidungen und Handlungen zu verleiten. Kamil Mazur, Spezialist für Informationssicherheit bei ERGO Technology and Services (ETSM), nennt sechs Regeln, mit denen Ihr Euch hiervor schützen könnt.

Wie setzen Angreifer „Social Engineering“ ein? Wie können wir uns davor schützen und worauf sollten wir achten? Diese Fragen werden im Folgenden beantwortet.

„Social Engineering“ Tricks

Einer der bekanntesten Hacker, der für seinen Einsatz von „Social Engineering“ berüchtigt ist, ist Kevin D. Mitnick, der im Titel seines Buches treffend feststellte: „Ich habe Menschen geknackt, keine Passwörter.“ Es besteht also kein Zweifel daran, dass geschickt eingesetztes „Social Engineering“ die Chancen auf einen erfolgreichen Angriff erheblich erhöht.

Bevor wir uns mit den verschiedenen Angriffsmethoden befassen, sollten wir uns mit der Art der verwendeten Technik näher befassen. Die beliebtesten Social-Engineering-Betrügereien lassen sich wie folgt zusammenfassen:

• Phishing
• Vishing
• Pretexting
• Fake news
   

Phishing ist eine der am häufigsten eingesetzten Waffen von Cyberkriminellen. Seine Popularität verdankt es vor allem der Covid-19-Pandemie, die unser Leben mehr als alles andere ins Internet verlagert hat. Denken wir nur an Fern- oder Hybridarbeit, Online-Shopping oder E-Government-Dienste! 

Daraus lässt sich schließen, dass es umso mehr Arten von Betrug gibt, je mehr potenzielle Opfer es gibt. Klassisches Phishing ist in den meisten Fällen in keiner Weise personalisiert und wird einfach massenhaft als E-Mail oder SMS verschickt. Es birgt jedoch viele Gefahren wie etwa den Diebstahl von Zugangsdaten oder Identitäten und die Infektion von Geräten. Manchmal ist Phishing selbst nur eine Vorstufe zu einem größeren und besser organisierten Angriff auf ein Unternehmen. Spear-phishing im Speziellen beruht auf einer fortgeschritteneren Technik und zielt in der Regel auf eine bestimmte Person ab. Der Angriff ist bis ins Detail geplant und zielt auf die Schwachstellen speziell dieses Opfers ab, was seine Abwehr noch schwieriger macht.

Ähnliche Mechanismen kommen beim Vishing zum Einsatz, bei dem meist Telefonanrufe verwendet werden. Oft folgen die Kriminellen bekannten Betrugsschemata und -szenarien, geben sich beispielsweise als Banker oder Polizeibeamter aus. Ihr Ziel ist es, Druck auszuüben und das potenzielle Opfer zu einer unüberlegten Handlung zu zwingen. Diese Kombination führt in der Regel schnell zu Fehlentscheidungen - bis das Opfer merkt, dass es einen Fehler gemacht hat (etwa, indem es seine Ersparnisse auf ein unbekanntes Konto überweist, kann es schon zu spät sein.

Eine weitere Form des „Social Engineering“, die in der Regel zum Datendiebstahl verwendet wird, ist das Pretexting. Wie der Name schon sagt, verwendet der Angreifer hierbei einen Vorwand oder ein erfundenes Szenario, um an sensible Daten und Informationen zu gelangen. Ein Beispiel wäre ein Telefonanruf von einer bekannten Institution. Die Person auf der anderen Seite nutzt ihre angebliche Autorität aus. Sie gibt vor, eine vermeintlich wichtige Nachricht für uns zu haben, aber bevor sie diese weitergibt, möchte sie unsere Identität überprüfen. Zu unserer Sicherheit, versteht sich. Die Praxis zeigt, dass das Gegenteil der Fall ist: In den meisten Fällen ist das Opfer an der Nachricht interessiert, insbesondere wenn sich jemand als vertrauenswürdige Institution ausgibt. Leider existiert die Nachricht nicht, und der Angreifer gelangt in den Besitz unserer persönlichen oder anderer sensibler Daten. Diese können leicht für weitere Angriffe und Betrügereien verwendet werden. 

Bei der Erörterung von „Social Engineering“-Problemen sollten auch Fake News berücksichtigt werden. Denken Sie daran, dass falsche Informationen allein nicht unbedingt einen Angriff darstellen. Dennoch können sie den eigentlichen Angriff - zum Beispiel Phishing - erleichtern. Fake News allein, die massenhaft eingesetzt werden, können großen Schaden anrichten und das Verhalten der Öffentlichkeit beeinflussen, was die Voraussetzung für „Social Engineering“ erfüllt. Dies wird durch die Fehlinformationen im Zusammenhang mit dem aktuellen russisch-ukrainischen Krieg perfekt veranschaulicht. Wir beobachten eine Verbreitung von Fake News, deren Hauptzweck darin besteht, die Öffentlichkeit in Panik zu versetzen oder, in vielen Fällen, die Aufmerksamkeit auf die Fake-News-Dienste zu lenken, um den Diebstahl von Zugangsdaten zu erleichtern. 

Sechs Tipps zur Abwehr von „Social Engineering“

Trotz dieses breiten Spektrums an Cyberangriffen können wir uns wirksam dagegen wehren. Alles, was wir tun müssen, ist, einige Gewohnheiten zu entwickeln, die uns helfen werden, die oben genannten Betrügereien zu erkennen. Wenn Ihr einen Verdacht habt, erinnert Euch an diese sechs Gebote!

1. Haltet für einen Moment inne und bewahrt einen kühlen Kopf.
   
   Viele „Social Engineering“-Methoden basieren auf Aktionen, die unter Zeitdruck stehen. Die Angreifer können ihr Opfer davon überzeugen, dass die Situation dringend ist. Wenn Entscheidungen in Eile getroffen werden, werden die Folgen nicht bedacht. Lasst Euch daher nicht hinreißen, wenn Euch jemand auf diese Weise unter Druck setzt, etwa wenn er oder sie Euch auffordert, bestimmte Verfahren zu umgehen. Es ist sehr wahrscheinlich, dass Ihr es mit einem Cyberkriminellen zu tun habt.
2. Hütet Euch vor Dingen, die zu schön sind, um wahr zu sein.
   
   Ihr habt gerade Informationen über einen großen Lottogewinn erhalten, könnt Euch aber nicht daran erinnern, daran teilgenommen zu haben? Überlegt es Euch zweimal, bevor Ihr irgendwelche Daten preisgebt! Jeder würde gerne etwas gewinnen, aber selbst wenn Ihr tatsächlich etwas gewonnen haben, ist es eine gute Idee, alle Informationen zu überprüfen, bevor Ihr diesen vermeintlichen Gewinn beansprucht. Ähnliche Betrügereien können auf Hunderte von Arten durchgeführt werden, oft mit klassischen Phishing-E-Mails. Zu den häufigsten Beispielen gehören Nachrichten über eine großzügige Erbschaft von einem entfernten Verwandten aus dem Ausland oder eine Anlageberatung, durch die Ihr Geld verlieren könntet.
3. Seid misstrauisch bei Links und E-Mail-Anhängen.
   
   Wir alle wissen es: Links wurden geschaffen, um angeklickt zu werden. Ihr solltet jedoch immer überprüfen, ob Euch dieser Link auch an Euer Ziel bringen. Fahrt mit der Maus über den Link, bevor Ihr klickt, um zu sehen, ob sich dahinter eine verdächtige Website verbirgt. Das Gleiche gilt für Anhänge - öffnet sie nur, wenn Ihr Euch des Absenders sicher seid. Wenn Ihr eine E-Mail mit einem Anhang von einer unbekannten Adresse erhalten, sollten Ihr sie mit äußerster Vorsicht behandeln - öffnet sie nur, wenn Ihr sie braucht und sicher seid, dass sie für einen bestimmten Zweck an Euch gerichtet ist.
4. Im Zweifel meldet Euren Verdacht der zuständigen Sicherheitsabteilung.
   
   Nicht jeder von uns ist Experte für „Social Engineering“, und selbst sehr erfahrene Fachleute werden Opfer von Online-Betrügereien. Manchmal kann man sich einfach nicht sicher sein. Deshalb solltet Ihr Euren Verdacht der zuständigen Sicherheitsabteilung melden. Es gibt keinen Grund, sich zu schämen; denkt daran, dass Ihr durch Euer Handeln auch andere vor versuchten Angriffen schützen könnt.
5. Nutzt externe Medien mit Umsicht und installiert keine Software von Dritten auf Eurem Gerät. 
   
   In der Nähe Eures Büros wurde ein Laufwerk oder ein USB-Stick gefunden? Die Neugierde gebietet, dass Ihr den Inhalt überprüfen solltet, aber die Sicherheitsmaßnahmen empfehlen das Gegenteil! Oft werden solche Datenträger absichtlich verstreut - sie können ein Skript zur Festplattenverschlüsselung enthalten oder einfach Euer Gerät zerstören. Schließt sie daher niemals an Eure Computer an! Denkt daran, dass es im Internet jede Menge Malware gibt. Wenn Ihr also zusätzliche Programme benötigt, fragt Euer Unternehmen um Erlaubnis.
6. Scheut Euch nicht nachzufragen und die Informationen mit anderen Quellen zu überprüfen.
   
   Jeden Tag knüpfen wir viele geschäftliche und persönliche Kontakte über das Telefon und das Internet. In der Tat können wir nicht sehen, wer auf der anderen Seite versucht, mit uns in Kontakt zu treten. Wenn Euch etwas verdächtig vorkommt, ruft die Person oder Einrichtung an, die Euch bestätigen kann, dass Ihr mit der richtigen Person kommuniziert. 

Fazit

Die oben aufgeführte Liste von Betrugsversuchen und „Social Engineering“-Techniken ist sicherlich nicht vollständig. Denkt daher daran, dass Angriffe auf Hunderte von Arten durchgeführt werden können, und es werden täglich mehr davon entwickelt. „Social Engineering“ ist, war und wird auch in Zukunft eine wirksame Waffe in den Händen von Cyberkriminellen sein. Vieles hängt von den technischen Fähigkeiten des Angreifers ab, aber ebenso wichtig sind sicherlich der geschickte Einsatz psychologischer Tricks, die Kunst der Manipulation und die richtige Auswahl eines potenziellen Angriffsopfers. Natürlich dürfen wir nicht in Panik verfallen und jedem um uns herum misstrauen, aber es besteht kein Zweifel daran, dass die Kenntnis grundlegender „Social Engineering“-Methoden sowohl im heutigen Arbeitsumfeld als auch im Privatleben eine Notwendigkeit ist. 

Text: Kamil Mazur, Information Security Specialist at ERGO Technology and Services

Passend dazu:

So einfach können Cyberkriminelle Daten missbrauchen: next.ergo.com/de/Cybersecurity/2021/Datenschutz-Cyberkriminelle-Cybersecurity-Phishing-Spear-Phishing-Tailgating-Piggybacking.html

Multi-Faktor-Authentifizierung ist kein Allheilmittel: next.ergo.com/de/Cybersecurity/2021/Multi-Faktor-Authentifizierung.html