Social Engineering ist eine der häufigsten Techniken, die Bedrohungsakteure einsetzen, um eine Person oder ein Unternehmen auszunutzen. Diese Angriffe beruhen auf Täuschung und nutzen nicht ausschließlich technologiebasierte Penetrationsmethoden, wie es herkömmliche Hacker tun würden – und das ist einer der Gründe, warum sie so gefährlich sind.
Zwar können diese Hacker (manchmal auch als Social Engineers bezeichnet) tatsächlich technologische Schwachstellen ausnutzen, aber sie verlassen sich in erster Linie auf psychologische Manipulation, um das Vertrauen ihrer Opfer zu gewinnen oder sie dazu zu bringen, Sicherheitsfehler zu begehen. Sobald sie erfolgreich sind, setzen Social Engineers ihre betrügerischen Pläne schnell in die Tat um.
In diesem Beitrag gehen wir darauf ein, warum diese Angriffe im Vergleich zu anderen Formen von Malware eine so gefährliche Bedrohung darstellen und was Unternehmen tun können, um sie zu verhindern.
Die Heimtücke des Social Engineering
Eine der Hauptgefahren des Social Engineering ist die Tatsache, dass Hacker andere Cybersicherheitsmaßnahmen umgehen können, indem sie die Benutzer einfach täuschen. Und bei den heimtückischsten Angriffen merken die Benutzer nicht einmal, dass sie getäuscht wurden.
Bei einem Social-Engineering-Angriff verleitet ein Bedrohungsakteur Benutzer dazu, ihre Anmeldedaten oder andere sensible Informationen an die Angreifer weiterzugeben. Beim einfachsten Angriff verwenden Hacker Spam-E-Mails, die so gestaltet sind, dass sie wie legitime Kommunikation von einem vertrauenswürdigen Absender (z. B. einer Bank oder einem Kunden) aussehen. Der Link in der E-Mail führt den Benutzer zu einer gefälschten Anmeldeseite, die seine Anmeldedaten erfasst und sie den Angreifern zur Verfügung stellt.
Aber das ist nur eine Methode. Um ihr Ziel zu erreichen, zielen die Hacker zunehmend auf bestimmte Personen ab und setzen personalisierte Taktiken ein, um das Vertrauen ihrer Opfer zu gewinnen, die a) Zugang zu den Systemen haben, die sie infiltrieren wollen, oder b) als Einfallstor dienen, um an andere sensible Informationen zu gelangen.
Außerdem sind Angriffe nicht auf E-Mail beschränkt. Social Engineering kann auch über das Telefon, per Chat oder sogar persönlich erfolgen.
Immer raffinierter, überzeugender und gezielter
Social Engineering ist gefährlich, weil es so überzeugend sein kann. Selbst die detailorientierteste Person kann einer dieser sorgfältig ausgeklügelten Methoden zum Opfer fallen.
Um einen ausgefeilten und gezielten Social-Engineering-Angriff zu starten, untersuchen die Kriminellen zunächst die Person(en), die sie ausnutzen wollen, indem sie persönliche Informationen und Dinge über deren Umfeld in Erfahrung bringen.
Um dies zu erreichen, könnten sie:
- Persönliche Informationen aus Online-Quellen auslesen, z. B. aus Mitarbeiterverzeichnissen von Unternehmen, LinkedIn-Profilen oder sozialen Medien.
- Sich als Drittanbieter ausgeben und mit Mitarbeitern per Telefon, E-Mail oder Nachrichtensystem chatten.
- Ist das Vertrauen erst einmal gewonnen, versenden sie möglicherweise freundliche E-Mails, SMS oder andere elektronische Nachrichten, um ihre Opfer dazu zu bringen, auf Links zu klicken oder vertrauliche Informationen weiterzugeben.
Persönliche Angriffe sind zwar seltener, aber die Täter können sich sehr viel Mühe geben, um ihre Opfer zu studieren. Zum Beispiel könnten sie:
- Das Verhalten überwachen, wenn Kunden/Klienten ein Unternehmen betreten, und beobachten, wann Mitarbeiter ihre Computerbildschirme, Mülleimer oder Aktenschränke unbeaufsichtigt lassen.
- Beobachten Sie Schichtwechsel, um zu sehen, ob und wann Sicherheitsbereiche unbeaufsichtigt sind oder wann bestimmte Personen Dienst haben.
- Beobachten Sie die zwischenmenschlichen Beziehungen am Arbeitsplatz, bemerken Sie, welche Personen miteinander auskommen – und welche nicht – und nutzen Sie dieses Wissen, um das Vertrauen bestimmter Mitarbeiter zu gewinnen.
- Initiieren Sie Gespräche mit dem Ziel, Vertrautheit zu erlangen, und positionieren Sie sich schließlich, um beiläufig Fragen zu stellen.
Ausnutzen von Angst und Desorientierung
Viele Angriffe wählen einen unverblümteren Ansatz, indem sie Drohungen, Angst-Taktiken oder ein Gefühl der Dringlichkeit einsetzen, um ihre Opfer zum Handeln zu bewegen. Sie können zum Beispiel Angst schüren, indem sie Nachrichten senden, dass ein Bankkonto kompromittiert wurde oder dass jemand ein Passwortproblem hat und der Arbeitgeber den Zugang kappt, wenn er es nicht JETZT ändert (natürlich mit einem praktischen Link).
Im Wesentlichen verlassen sich Social Engineers auf Vertrauen, Täuschung und schließlich auf menschliches Versagen. Statistiken zufolge nutzen schätzungsweise 98 % der Cyberangriffe irgendeine Form des Social Engineering. Es ist eine der gefährlichsten Bedrohungen, denen Unternehmen ausgesetzt sind. Wie wir im Folgenden erläutern, bedeutet die Umgehung dieses Risikos jedoch nicht unbedingt, dass zusätzliche Schutzmaßnahmen für digitale Vermögenswerte hinzugefügt werden müssen, da diese Tools das menschliche Verhalten nicht abschwächen können. Ein Verständnis der Taktiken kann jedoch helfen, diese Schemata zu erkennen und zu verhindern, dass Benutzer getäuscht werden.
Gefährliche Folgen von Social Engineering
Die Auswirkungen eines Social-Engineering-Angriffs können katastrophal und weitreichend sein, je nachdem, auf welche Systeme die Hacker zugreifen können. Das Problem besteht darin, dass ein erster erfolgreicher Angriff zu weiterem Social Engineering oder zur Auslieferung von Malware führen kann, die es den Angreifern ermöglicht, tiefer in Ihre Systeme einzudringen.
Zu den Worst-Case-Szenarien gehören:
- Hacker stehlen Ihre wertvollsten Daten, einschließlich sensibler Kundeninformationen oder geistiges Eigentum
- Erpressungsdrohungen, Ihre Daten öffentlich zu machen, wenn Sie nicht zahlen
- Zerstörerische Malware wie Ransomware wird eingeschleust, die Ihre Dateien sperrt
- Stillstand des Betriebs, nachdem der Bedrohungsakteur die Systeme offline genommen hat
- Finanzielle Verluste aufgrund von Ausfallzeiten und Wiederherstellungskosten
Leider ist menschliches Versagen eine Schwachstelle, die auch die besten Cybersicherheitssysteme nicht vollständig verhindern können. Es gibt zwar einige Schritte, die Sie unternehmen können, um den Zugriff von Eindringlingen einzuschränken, wie z. B. das Anbringen von stärkeren Zugriffskontrollen auf Dateiverzeichnisse, aber die beste Möglichkeit, das Risiko zu mindern, ist die Sensibilisierung und Schulung der Mitarbeiter, wie wir im Folgenden erklären.
Wie lässt sich Social Engineering mit herkömmlicher Malware vergleichen?
Traditionelle Malware kann nur so weit gehen, sobald sie „in freier Wildbahn“ entdeckt wird, denn sobald die Bedrohung bekannt ist, können die meisten Antimalware-Systeme sie erkennen. Social Engineering ist wohl gefährlicher, weil es nur einen einzigen Mitarbeiter braucht, der überrascht wird, um Ihre anderen Cyber-Abwehrmaßnahmen zu umgehen.
Auch hier sind Täuschungstechniken das A und O für Social Engineering-Angreifer. Menschliches Versagen steht ganz oben auf der Liste, wenn es um organisatorische Sicherheitsschwächen geht. Dies ist der entscheidende Unterschied zwischen Social Engineering und Malware. Social Engineering setzt auf menschliche Schwächen, damit der Angriff erfolgreich genug ist, um Cybersicherheits-Schutzmaßnahmen zu umgehen. Mit anderen Worten: Eine Person muss entweder nach außen hin Informationen preisgeben oder dazu verleitet werden, eine Aktion durchzuführen, die den Hackern die benötigten Anmeldedaten oder Informationen liefert.
Auf der anderen Seite konzentrieren sich traditionelle Malware-Angriffe mehr auf technologische Schwachstellen. Diese Angriffe erfolgen eher verdeckt und oft ohne jegliche „interne“ Hilfe von Mitarbeitern oder anderen wichtigen Personen (z. B. Lieferanten). Solange Ihre Systeme jedoch regelmäßig aktualisiert werden und Sie starke Cybersicherheitsmaßnahmen einsetzen, kann die große Mehrheit dieser Malware-Bedrohungen abgewehrt werden.
Gängige Social-Engineering-Taktiken
Während Phishing die häufigste Form ist, kann Social Engineering eine Vielzahl von Fähigkeiten und betrügerischen Methoden nutzen, um seine Ziele zu erreichen. Sehen wir uns ein paar verschiedene Taktiken an, mit denen sie Anmeldedaten stehlen und in Ihre sicheren Systeme eindringen.
Phishing-E-Mails: Phishing-E-Mails beruhen in hohem Maße auf Impersonation, um Benutzer dazu zu verleiten, ihre Anmeldedaten für verschiedene sichere Systeme preiszugeben oder auf einen Link zu klicken, der zur Kompromittierung ihrer Anmeldedaten führt. Die Betreffzeilen können entweder aufmerksamkeitsstark („Ihr Konto wurde kompromittiert“) oder subtil („Rechnungseingang“) sein. Die E-Mails ahmen oft das Layout, den Ton und das Design von legitimen Mitteilungen eines echten Unternehmens, wie z. B. einer Bank, nach. Manchmal „fälschen“ die Angreifer auch eine E-Mail-Adresse oder Website, auf die man klicken kann.
Pretexting: Beim Pretexting gibt sich der Angreifer als eine legitime Person aus, um Vertrauen zu gewinnen und Zugang zu den gewünschten vertraulichen Informationen zu erhalten. Sie können auch eine gefälschte Identität mit einem autoritären Erscheinungsbild erstellen, um das Vertrauen des Opfers zu gewinnen.
Vishing: Vishing ist eine Social-Engineering-Technik, bei der der Bedrohungsakteur einen VoIP-Dienst nutzt, der es ihm ermöglicht, seine Telefonnummer zu fälschen oder Benutzer auf andere Weise per Telefon zu täuschen. Dazu kann sich ein Täter als jemand aus der IT-Abteilung oder eines Drittanbieters ausgeben, um das Opfer zu überzeugen, seine Anmeldedaten anzugeben. Diese Art von Angriff wurde bei dem viel beachteten Twitter-Hack im Jahr 2020 verwendet.
Köder: Dieser Social-Engineering-Ansatz nutzt die menschliche Neugierde aus. Die Funktionsweise besteht darin, das Opfer dazu zu verleiten, etwas Nützliches zu erhalten, wenn es den gegebenen Anweisungen folgt. Der Angreifer kann zum Beispiel eine bösartige Datei senden, die als nützliche Software oder ein Update für Software getarnt ist, die das Unternehmen des Opfers verwendet.
Quid pro quo-Angriffe: Eine Variante des Köderns: Quid pro quo verspricht einem Benutzer einen Vorteil oder eine Dienstleistung, wenn er eine bestimmte Aktion ausführt. Sie könnten beispielsweise einen Anruf von einem Hacker erhalten, der sich als Technologieexperte ausgibt, und der Hacker bietet kostenlose IT-Hilfe an, wenn sich der Benutzer auf einer bestimmten Website anmeldet oder eine Datei herunterlädt. Sie könnten sogar so weit gehen, das Opfer zu bitten, die Antiviren-Software zu deaktivieren, damit sie etwas „überprüfen“ können. Dies öffnet natürlich Tür und Tor, um das Unternehmen schnell auszunutzen.
Wichtigkeit von Benutzerbewusstsein und -schulung
Alle Organisationen, ob groß oder klein, sollten die Risiken und Bedrohungen durch Social Engineering ernst nehmen. Zusätzlich zu Cybersicherheit und anderen wichtigen Schutzmaßnahmen für den Notfall, wie z. B. Daten-Backups, sollten Unternehmen auch die mit Social Engineering verbundenen Schwachstellen berücksichtigen.
Da Social Engineering immer komplizierter geworden ist, wird die Raffinesse weiter zunehmen. Um zu vermeiden, Opfer eines Social-Engineering-Angriffs zu werden, müssen Unternehmen das Bewusstsein der Benutzer schärfen und Schulungen anbieten. Diese beiden Maßnahmen können einen großen Beitrag dazu leisten, dass Mitarbeiter nicht zum Opfer von Social Engineering werden.
Hier sind einige wichtige Schritte, die Sie beachten sollten:
- Führen Sie mindestens einmal im Jahr und bei Neueinstellungen eine obligatorische Cybersicherheits-Schulung durch.
- Erstellen Sie eine leicht zu lesende, eindeutige Richtlinie. Legen Sie sorgfältig dar, wie Mitarbeiter mit Anfragen nach sensiblen Informationen oder Anmeldedaten umgehen sollten.
- Zeigen Sie den Mitarbeitern, wie sie Phishing-Versuche erkennen können. In der Regel gibt es selbst bei ausgefeilten Kampagnen Anzeichen, die die Benutzer erkennen können.
- Entwickeln Sie einen Meldeprozess, den Mitarbeiter befolgen können, wenn sie einen Social-Engineering-Versuch (oder einen erfolgreichen Versuch) vermuten.
- Bringen Sie den Mitarbeitern bei, wie sie Anzeichen für Täuschungen erkennen können; geben Sie Beispiele für verschiedene Ansätze, die diese Kriminellen verwenden.
Einfache Fehler können einer ganzen Organisation schaden. Auch wenn es wichtig ist, die Sicherheit aus technologischer Sicht zu verbessern, sollten Entscheidungsträger bei ihren Investitionen in die Cybersicherheitsstrategie das Thema Social Engineering nicht vergessen.
Erfahren Sie mehr über den Schutz Ihres Unternehmens mit den aktuell besten Lösungen für Business Continuity und Disaster Recovery und kontaktieren Sie uns.
Gründer und Inhaber der Firma hagel IT-Services GmbH. Natürlich leidenschaftlicher Technikfan und immer auf der Suche nach Verbesserungen.
Kommentarbereich geschlossen.