Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen. Im Gegensatz zu traditionellen Hacking-Angriffen können Social-Engineering-Angriffe auch nicht-technischer Natur sein und müssen nicht zwingend eine Kompromittierung oder das Ausnutzen von Software- oder Systemschwachstellen beinhalten. Im Erfolgsfall ermöglichen viele Social-Engineering-Angriffe einen legitimen, autorisierten Zugriff auf vertrauliche Informationen.
Die Social Engineering-Strategie von Cyberkriminellen fußt auf starker zwischenmenschlicher Interaktion und besteht meist darin, das Opfer dazu zu verleiten, Standard-Sicherheitspraktiken zu missachten. Und so hängt der Erfolg von Social Engineering von der Fähigkeit des Angreifers ab, sein Opfer so weit zu manipulieren, dass es bestimmte Aktionen ausführt oder vertrauliche Informationen preisgibt. Da Social-Engineering-Angriffe immer zahlreicher und raffinierter werden, sollten Organisationen jeder Größe eine intensive Schulung ihrer Mitarbeiter als erste Verteidigungslinie für die Unternehmenssicherheit betrachten.
Die Strategie der Cyberkriminellen: Trickbetrüger des digitalen Zeitalters
Social-Engineering-Angreifer sind letztlich eine moderne Spielart der klassischen Trickbetrüger. Häufig verlassen sich diese Kriminellen auf die natürliche Hilfsbereitschaft von Menschen: Zum Beispiel rufen sie bei ihrem Opfer an und geben ein dringendes Problem vor, das einen sofortigen Netzwerkzugang erfordert.
Social-Engineering-Angreifer nutzen gezielt bestimmte menschliche Schwächen wie Unsicherheit, Eitelkeit oder Gier aus und verwenden Informationen, die sie aus Lauschangriffen oder dem Ausspionieren sozialer Medien gewonnen haben. Dadurch versuchen sie, das Vertrauen autorisierter Benutzer zu gewinnen, damit ihre Opfer sensible Daten preisgeben, mit Malware infizierte E-Mail-Anhänge öffnen, oder sie deren Zugangsdaten für Computernetzwerke oder Datenspeicher stehlen können. Auch durch den Aufbau eines Schreckensszenarios wie einem angeblichen Sicherheitsvorfall können sie ihre Zielperson dazu bewegen, beispielsweise als Antiviren-Software getarnte Malware zu installieren und auszuführen.
Häufige Social Engineering-Methoden im Überblick
Technologielösungen wie E-Mail-Filter, Firewalls und Netzwerk- oder Datenüberwachungs-Tools helfen zwar, Social-Engineering-Attacken abzuschwächen, doch eine gut geschulte Belegschaft, die in der Lage ist, Social Engineering zu erkennen, ist letztlich die beste Verteidigung gegen diese Art Angriffe. Unternehmen sollten ihre Mitarbeiter deshalb umfassend über die gängigen Arten von Social Engineering aufklären.
Im Folgenden daher ein Überblick zu verschiedenen Angriffstechniken, deren Übergänge teilweise fließend sind und von Kriminellen auch in Kombination eingesetzt werden.
Pretexting: Geschicktes Vortäuschen falscher Tatsachen
Beim Pretexting schützt ein Angreifer geschickt falsche Tatsachen vor, um ein Opfer dazu zu bringen, ihm Zugang zu sensiblen Daten oder geschützten Systemen zu gewähren. Beispielsweise gibt ein Krimineller vor, Bankdaten zu benötigen, um die Identität des Empfängers zu bestätigen. Oder er tarnt sich als Mitarbeiter der IT-Abteilung, um sein Opfer dazu zu verleiten, Login-Daten preiszugeben oder einen Computerzugang zu gewähren.
Baiting: Der physische Köder
Angreifer führen Köderangriffe durch, indem sie ein mit Malware infiziertes Gerät wie ein USB-Flash-Laufwerk, an einem bestimmten Ort im Unternehmen zurücklassen, an dem es wahrscheinlich gefunden wird. Wenn ein Mitarbeiter den Datenträger mit seinem Computer verbindet, um beispielsweise zu sehen, was sich darauf befindet, wird der Rechner heimlich mit Malware infiziert. Einmal installiert, erlaubt die Malware dem Angreifer, in das System des Opfers einzudringen.
Tailgating: Den Angreifer im Rücken
Der Begriff Tailgating (Tailgate = Heckklappe) erinnert an Krimiszenen, bei denen der Protagonist bei der Autofahrt einen Verfolger im Rückspiegel entdeckt, der ihm quasi an der Heckklappe klebt. Tailgating ist eine weitere physische Social-Engineering-Technik, um an wertvolle, vertrauliche Informationen zu gelangen: Ein Beispiel wäre ein Unbefugter, der autorisierten Personen an einen ansonsten gesicherten Ort folgt, indem er vorgibt, seine Zugangskarte vergessen zu haben. Auch kann der Angreifer sein Opfer darum bitten, ihm kurz dessen Telefon oder Laptop auszuleihen, um eine einfache Aufgabe zu erledigen, und stattdessen Malware auf dem Gerät installiert oder sensible Daten stiehlt.
Quid-pro-quo-Angriff: Das Locken mit einer Gegenleistung
Bei einem Quid-pro-quo-Angriff (lat.: »dies für das«) locken Cyberkriminelle ihre Opfer mit einer Gegenleistung oder Entschädigung, um sensible Informationen zu ergaunern. Beispielsweise erzählen Angreifer am Telefon, eine offizielle Umfrage durchzuführen, und bieten für die Teilnahme Geschenke an. Hier gilt als Faustregel: Wenn etwas zu gut klingt, um wahr zu sein, ist gesundes Misstrauen geboten.
Phishing: Von gefälschten Geschäfts-E-Mails bis zum vermeintlichen Spendenaufruf
Bei einem Phishing-Angriff tarnen Cyberkriminelle sich als vertrauenswürde Quelle und nehmen eine betrügerische Kommunikation mit ihrem Opfer auf, um es dazu zu verleiten, Malware zu installieren oder persönliche, finanzielle oder geschäftliche Informationen herauszugeben. E-Mail ist der beliebteste Vektor für Phishing-Angriffe, aber Phishing kann auch Chat-Anwendungen, Social Media, Telefonanrufe (auch Vishing oder Voice Phishing genannt) oder gefälschte Websites verwenden. Einige besonders perfide Phishing-Angriffe täuschen gezielt wohltätige Zwecke vor dem Hintergrund aktueller Naturkatastrophen oder anderen tragischen Vorfällen vor. So nutzen sie den guten Willen ihrer Opfer aus, um durch einen Spendenaufruf an persönliche Daten oder Zahlungsinformationen gelangen.
Watering-Hole-Attacke
Bei einer Watering-Hole-Attacke (Auflauern am Wasserloch) wählt der Angreifer sorgfältig eine bestimmte Website aus, von der er weiß, dass seine Opfer diese häufig besuchen, und infiziert die Homepage mit Malware. Zielpersonen sind meist Mitarbeiter von großen Unternehmen oder Regierungsstellen. Ein Beispiel wäre die Webseite eines lokalen Restaurants, in denen Mitarbeiter ihre Pause verbringen, beispielweise regelmäßig das Tages- oder Wochenangebot abrufen oder den Lieferservice in Anspruch nehmen.
Spear Phishing: Gezieltes Ausspähen und Angreifen eines Opfers
Spear Phishing ist eine sehr gezielte Art von Phishing-Angriff, die sich auf eine bestimmte Person oder Organisation konzentriert. Spear-Phishing-Angriffe verwenden persönliche Informationen, die spezifisch auf das Opfer zugeschnitten sind, um Vertrauen zu gewinnen und besonders legitim zu erscheinen. Oftmals werden diese Informationen aus den Social-Media-Accounts der Opfer oder anderen Online-Aktivitäten entnommen. Durch die Personalisierung ihrer Phishing-Taktiken haben Spear-Phisher höhere Erfolgsquoten, wenn es darum geht, ihre Opfer dazu zu bringen, Zugang zu Systemen gewähren oder sensible Informationen wie Finanzdaten oder Geschäftsgeheimnisse preiszugeben.
Social Engineering ist eine anhaltende Bedrohung für viele Organisationen. Mitarbeiterschulungen sind deshalb die erste und wichtigste Maßnahme, um zu verhindern, dass Unternehmen Opfer von Angreifern werden, die immer ausgefeiltere Methoden einsetzen, um Zugang zu sensiblen Daten zu erhalten. Durch Sensibilisierung der Mitarbeiter in Kombination mit entsprechenden Security- und Datensicherheitstechnologien kann dieses Risiko erheblich minimiert werden.
Christoph M. Kumpa, Director DACH & EE bei Digital Guardian
188 search results for „Social Engineering“
NEWS | IT-SECURITY | KOMMUNIKATION | SERVICES | TIPPS | AUSGABE 11-12-2016
E-Mail-Sicherheit: Social Engineering auf C-Level-Niveau – Menschen als das schwächste Glied in der Sicherheitskette
Angriffe mit betrügerischen Geschäfts-E-Mails (Business E-Mail Compromise, BEC) nehmen zu, bedrohen Firmendaten und verursachen erhebliche finanzielle Verluste.
NEWS | IT-SECURITY | KOMMUNIKATION | STRATEGIEN | TIPPS
Social Engineering: Hauptrisiko »Faktor Mensch«
Die internen Netzwerke vieler Unternehmen verfügen mittlerweile über sehr sichere Schutzsysteme (etwa Firewalls, Virenschutz, Verschlüsselung) und sind selbst für erfahrene Hacker schwer zugänglich. Deshalb ist heute der Mensch Risikofaktor Nr. 1, da er oftmals leichter zu »hacken« ist als das System. So hält der ehemalige Hacker und heutige Sicherheitsexperte Kevin Mitnick, dem es über Jahre…
NEWS | BUSINESS | IT-SECURITY | TIPPS
Social Engineering: Gefahr erkannt, Gefahr gebannt?
Social Engineering gewinnt immer mehr an Bedeutung, wenn es um das Gefährdungspotenzial für mittelständische Unternehmen geht. Das ist eines der Ergebnisse des aktuell veröffentlichten DsiN-Sicherheitsmonitors Mittelstand 2015. Um Unternehmen für die Einfallstore zu sensibilisieren, die durch gezielte Beeinflussung ihrer Mitarbeiter entstehen können, haben Datev und der Verein Deutschland sicher im Netz (DsiN) einen neuen Sicherheitsleitfaden…
AUSGABE 1-2-2019 | SECURITY SPEZIAL 1-2-2019 | NEWS | IT-SECURITY | KÜNSTLICHE INTELLIGENZ
Deepfakes heben Social-Engineering-Angriffe auf eine neue Gefahrenstufe
Social-Engineering-Angriffe stellen eine hohe Gefahr für die IT-Sicherheit dar, weil sie technische Abwehrmaßnahmen umgehen. Noch problematischer wird die Bedrohungslage durch KI- und ML-basierte Deepfakes, die stark im Kommen sind. Unternehmen müssen ein Bewusstsein für diese Gefahren entwickeln und Führungskräfte wie Mitarbeiter entsprechend sensibilisieren.
NEWS | BUSINESS | IT-SECURITY | KOMMUNIKATION | KÜNSTLICHE INTELLIGENZ | TIPPS
Social-Engineering-Angriffe zur Vorweihnachtszeit: Wenn der Chef Geschenke macht
Starker Anstieg von Geschenkgutschein-Betrug mit CEO-Identitätsdiebstahl. Zur Vorweihnachtszeit verzeichnet das Sicherheitsteam von Barracuda Networks aktuell einen starken Anstieg von Geschenkgutschein-Betrug durch Social-Engineering-Angriffe: Hierbei stehlen Cyberkriminelle gezielt die Identität von CEOs oder Führungskräften und weisen Angestellte an, digitale Geschenkgutscheine für die Belegschaft zu kaufen und ihnen zuzuschicken, oder erschleichen Kreditkarteninformationen. Bei Mitarbeitergutscheinen zwischen 50 und 100…
NEWS | DIGITALISIERUNG | GESCHÄFTSPROZESSE | IT-SECURITY | SERVICES | STRATEGIEN | TIPPS
Menschliche Firewall ist für die Abwehr von Social-Engineering-Angriffen unerlässlich
Unternehmen unterschätzen vielfach die Gefahr von Social-Engineering-Angriffen und sind hierauf auch nur unzureichend vorbereitet – trotz aller Security-Kampagnen. Da die technischen Möglichkeiten bei den Abwehrmaßnahmen beschränkt sind, muss vor allem die »menschliche Firewall« gut funktionieren. Adäquate Security-Awareness-Trainings sind deshalb unverzichtbar. Social-Engineering-Angriffe liegen im Trend. Ein Grund dafür ist, dass Unternehmen in den letzten Jahren vielfach…
NEWS | BUSINESS PROCESS MANAGEMENT | GESCHÄFTSPROZESSE | IT-SECURITY | KOMMUNIKATION | ONLINE-ARTIKEL | TIPPS
Social-Engineering-Angriffen den Kampf ansagen
Als zentrale Schwachstelle im Unternehmensnetz kristallisieren sich die Mitarbeiter heraus. Vor allem Social-Engineering-Angriffe gefährden die Unternehmenssicherheit dabei zunehmend. Die Einschätzung, dass Mitarbeiter die letzte Verteidigungslinie in Sachen Sicherheit sind, mag zwar ein Klischee sein, wahr ist sie aber trotzdem. Folglich sind Endanwender auch ein bevorzugtes Angriffsziel. Gerade das Social Engineering, das vor allem in Form…
NEWS | BUSINESS | TRENDS KOMMUNIKATION | DIGITALISIERUNG | TRENDS SERVICES | TRENDS 2016 | LÖSUNGEN | SERVICES
Führende Engineering-Anbieter wachsen trotz steigender Fluktuationsraten
Top 25 erwarten moderates Marktwachstum für 2016. Umsatz der Top 25 erhöht sich in 2015 um 6,6 Prozent. Fluktuationsquote steigt auf durchschnittlich 18,5 Prozent. Die 25 führenden Anbieter von Technologie-Beratung und Engineering Services in Deutschland konnten ihre Umsätze im Jahr 2015 trotz steigender Fluktuationsraten durchschnittlich um 6,6 Prozent steigern. Lag die Fluktuationsrate im Vorjahr noch…
NEWS | DIGITALISIERUNG | TRENDS 2016 | KOMMUNIKATION | MARKETING | ONLINE-ARTIKEL
Bepöbelt von Robotern – Wie Social Bots uns beeinflussen sollen
Stellen Sie sich vor, ein Politiker hält eine Rede vor großem Publikum. Sofort danach ertönen Applaus und aufmunternde Worte, aber auch Buhrufe, Widerspruch und Spott. Sie schauen sich um, wer den Krawall veranstaltet – und es sind Roboter. Was wie befremdliche Science-Fiction klingt, ist längst Realität auf Facebook, Twitter, Tumblr und vielen anderen Seiten. Software,…
NEWS | IT-SECURITY | KOMMUNIKATION | TIPPS
Datensicherheit: Gratis-Onlinekurs hilft Social-Media-Nutzern
Mit einem zweiwöchigen Online-Workshop zum Thema »Social Media – What No One has Told You about Privacy« startet openHPI, die Online-Bildungsplattform des Hasso-Plattner-Instituts (HPI), in das neue Jahr. Vom 18. Januar an können die Teilnehmer lernen, worauf sie bei der Verwaltung ihrer Accounts achten sollten, damit persönliche Daten nicht in falsche Hände geraten. Interessenten können…
NEWS | TRENDS 2019 | TRENDS SECURITY | IT-SECURITY
Die Top IT-Security-Trends 2019
Angesichts wachsender Angriffsflächen, zunehmend raffinierter Angriffe und dynamischer Bedrohungslandschaften müssen IT-Abteilungen das Thema IT-Security mit höchster Priorität angehen. Die Security-Experten von Controlware geben Tipps, welche Trends und Entwicklungen in den kommenden Monaten besondere Aufmerksamkeit verdienen. »Das Jahr 2019 begann mit einer Serie von Datendiebstählen, bei denen Prominente und Politiker gezielt ins Visier genommen wurden…
AUSGABE 1-2-2019 | SECURITY SPEZIAL 1-2-2019 | NEWS | IT-SECURITY | STRATEGIEN
Virtualisierung macht gefälschte E-Mails und bösartige Downloads unschädlich – Isolation statt Detektion
Unternehmen und Behörden geraten zunehmend ins Visier von Cyberangreifern. Vor allem Phishing-Mails und gefährliche Downloads stellen eine immense Gefahr dar, die klassische Sicherheitsmaßnahmen nicht beseitigen können. Gefragt sind neue Lösungen, die nicht auf die Detektion von Angriffen angewiesen sind, sondern alle potenziell gefährlichen Anwenderaktivitäten mittels Virtualisierung isolieren.