Social Engineering | 5 Minuten IT

Herzlich willkommen zu einer neuen Folge 5 Minuten IT. Heute mit dem Thema Social Engineering. Was ist das eigentlich, fragt man sich jetzt zuerst. Ja, beim Social Engineering handelt es sich um eine Technik zur gezielten Manipulation, die von Hackern eingesetzt wird, um an sensible Daten zu gelangen. Dabei geht es natürlich darum, mit diesen sensiblen Daten, auf die dann Zugriff erlangt wird, auch Zugang zu sensiblen und geschützten IT-Systemen zu erhalten. Und dabei macht man sich zunutze, dass die meisten Menschen eben in der Regel neugierig sind oder auch bestimmte Ängste haben und manchmal auch eben vielleicht zu schnell Vertrauen zu anderen aufbauen. Und ja, damit bringt man dann das Opfer dazu, Informationen preiszugeben oder eben bestimmte Aktionen auszuführen, wie auf einen Link zu klicken oder ähnliches, um dann eben dem Angreifer Zugriff auf ein geschütztes System zu ermöglichen. Dabei gibt es verschiedene Formen von Social Engineering. Man unterscheidet in der Regel zwischen fünf verschiedenen Formen. Das ist einmal das Phishing, das sogenannte Wishing. Es gibt das Pretexting, das Baiting und die Scareware. Dabei sind sowohl das Phishing als auch die Scareware sicherlich die bekanntesten Formen davon. Beim Phishing, das hat sicherlich jeder schon mal erlebt, bekommt man in der Regel eine E-Mail, wird dadurch auf eine gefälschte Website geführt, auf der man sich dann vermeintlich bei seinem E-Mail-Provider oder bei seiner Bank einloggt. Nur die dort eingegebenen Daten werden dann eben gespeichert vom Anwender. Und können dann im weiteren Verlauf eben benutzt werden, um sich seinerseits eben selbst Zugriff zu ermöglichen auf die Systeme. Bei der sogenannten Scareware, da nutzt man eben den Faktor Angst aus. Man zeigt häufig auf Websites dubioser Natur dann ein Pop-up auf, das einen vermeintlichen Befall mit Viren oder Trojanern anzeigt. Und durch den Download eines... ...Programms könnte man eben diesen Befall dann entfernen. Es passiert natürlich genau das Gegenteil. Der Befall findet dadurch erst statt. Beim Phishing nutzt man gefälschte Anrufe. Also es ruft eine Person an, um Informationen zu erfragen. Häufig wird im Unternehmenskontext dann eine Person aus dem Unternehmen gewählt, die dann vermeintlich beim Opfer anruft und zum Beispiel aus der IT-Abteilung ein Passwort abfragt oder ähnliches. Und ja... Die Person ist natürlich dann der Angreifer in dem Fall und nutzt auch dort die Informationen weiter, um seinen Angriff auszuführen. Beim sogenannten Baiting funktioniert es ähnlich wie bei der Scareware, nur in die andere Richtung. Man lockt mit einem vermeintlichen Gewinn, der aber nur dann eingelöst werden kann, wenn man eben ein bestimmtes Programm runterlädt. Auch da, klar, durch den Download wird dann erst die Schadsoftware installiert. Und beim sogenannten Pretexting wird mit einer gefälschten Identitätsstrategie... ... oder einer gefälschten Geschichte dazu versucht, Informationen beim Opfer abzugreifen. Wie kann man sich davor schützen, dass man Opfer von Social Engineering wird? Erstmal eine gesunde Skepsis aufbauen. Also Skepsis gegenüber E-Mails, die man nicht erwartet hat oder Anrufen oder auch SMS-Nachrichten, mit denen man nicht gerechnet hat. Und dann sollte man immer überprüfen, ob der Absender oder das, was da angefragt wird, legitim ist. Und natürlich gilt weiterhin, auch wenn das inzwischen immer weniger wird, auch darauf achten auf Rechtschreibfehler, auf ungewöhnliche Schreibweisen. Das ist weiterhin gültig. Aber natürlich auch auf den Kontext. Wenn ich also keine Mail erwarte für ein Passwort zurücksetzen, dann klicke ich da auch nicht drauf auf den Link. Auch wenn ich vielleicht registriert bin bei dieser Website, für die ich dann die Mail beantworte. Aber trotzdem, solange ich da nicht selber drauf geklickt habe, nutze ich den Link natürlich auch nicht. Und darüber hinaus ist natürlich immer Sensibilisierung das Thema. Also jeden, den man kennt, alle Mitarbeiter eines Unternehmens dafür sensibilisieren, dass es solche Social Engineering Angriffe gibt. Und eben über die Folgen aufklären. Man kann also zusammenfassend sagen, Social Engineering ist eine ziemlich gefährliche und miese Masche von Angreifern, um an vertrauliche Informationen zu gelangen. Und der wichtigste und beste... Der beste Schutz davor ist tatsächlich, eben kritisch zu hinterfragen, was bekomme ich für E-Mails. Nicht auf jede E-Mail einfach rauf zu klicken, nicht dem Link direkt zu folgen und nicht jeden Download direkt auszuführen. Dann kann man dem ganz gut entgegenwirken. Das war es für heute mit 5 Minuten IT. Und wir hören uns wieder in der nächsten Woche. Bis dann.