Informationssicherheit

Was ist Social Engineering und wie kann man sich dagegen schützen?

Was ist Social Engineering und wie kann man sich dagegen schützen?

Social Engineering ist eine Methode, mit der Kriminelle an Informationen gelangen, die sie benötigen, um Menschen und Unternehmen zu bestehlen. Diese Form des Betrugs ist auch als Human Hacking bekannt und relativ einfach durchzuführen.

Was also ist Social Engineering und wie können Sie sich oder Ihr Unternehmen schützen? Wenn Sie einige Beispiele in Aktion sehen, wird es für Sie leichter sein, menschliche Hacker zu erkennen, die Ihnen über den Weg laufen.

Was ist Social Engineering in der Cybersicherheit?

Die Definition von Social Engineering lautet: Ausnutzung der menschlichen Psychologie, um Menschen zu manipulieren und sie zu Handlungen oder zur Preisgabe vertraulicher Informationen zu bewegen. Es wird oft als sozialwissenschaftliches Konzept in der psychologischen Kriegsführung oder der Computersicherheit verwendet und kann sehr effektiv sein. Unternehmen geben Millionen für Präventionsmechanismen aus, weil sie wissen, wie verheerend es sein kann, wenn Social Engineers ihre Vermögenswerte gefährden.

Social Engineering umfasst:

  • Manipulation
  • Beeinflussung
  • Täuschung

Social Engineering ist ein wirksames Mittel des Cyberangriffs, das potenzielle Bedrohungsakteure und kompetente böswillige soziale Angreifer auf ihr Ziel anwenden, um den gewünschten Zugang, die gewünschten Daten oder Vermögenswerte zu erhalten. Je nach Ziel des Angreifers können die Ziele variieren; im Allgemeinen sind die Hauptziele dieser Angriffe jedoch Mitarbeiter, Kollegen, Freunde oder oft auch der Geschäftsinhaber und die Vorstandsmitglieder.

Lebenszyklus eines Angriffs

Der Lebenszyklus eines Social-Engineering-Angriffs besteht aus den folgenden Phasen:

  1. Zielanalyse – Hier wird das Angriffslayout durch die Analyse des Ziels vorbereitet. Dies ist möglich, indem man die Opfer identifiziert, Hintergrundinformationen sammelt und relevante Angriffsvektoren auswählt, die wahrscheinlich erfolgreich sein werden.
  2. Aufhänger – In dieser Phase wird der Aufhänger vorbereitet, mit dem das Vertrauen des Opfers so schnell wie möglich gewonnen werden soll. Dies würde dazu führen, dass das Opfer schnell dazu verleitet wird, auf den Link zu klicken, Informationen zu übermitteln oder Ähnliches zu tun.
  3. Durchführung – Hier geht es darum, die anfängliche Position auszubauen, um den Zugriff auf Informationen über längere Zeiträume zu ermöglichen. Dies geschieht hauptsächlich, um Daten zu exfiltrieren, indem Warnmechanismen sorgfältig umgangen werden, um den Verdacht von Überwachungskontrollen zu vermeiden. So werden unter anderem größere Datendateien in der Regel in Teile aufgeteilt und in verschiedenen Formen komprimiert, um keinen Verdacht zu erregen.
  4. Flucht – In dieser Phase versuchen die Angreifer, ihre Spuren zu verwischen, indem sie Malware-Spuren entfernen, Zeitstempel ändern und andere Spuren beseitigen. Dies geschieht, um zu vermeiden, dass sie erwischt werden oder Informationen erhalten, die dem Opfer bei der Rückverfolgung helfen würden.

Die Angriffspraxis des Social Engineering läuft in mehreren Phasen ab. Zunächst untersuchen die Cyber-Kriminellen das Ziel, um die notwendigen Informationen zur Ermittlung potenzieller Schwachstellen, fehlender Sicherheitskontrollen, anfälliger Protokolle usw. zu erhalten. Dies könnte ihnen später helfen, Social-Engineering-Taktiken vorzubereiten, bevor sie mit dem eigentlichen Social-Engineering-Angriff fortfahren.

Anschließend bereiten die Kriminellen den Angriffsplan mit verschiedenen Social-Engineering-Taktiken vor, mit denen sie das Vertrauen des Opfers gewinnen und den Einbruch in den Sicherheitsmechanismus erleichtern können. Im Allgemeinen werden die Opfer durch Anrufe, Online-Aktivitäten und oft auch persönlich angesprochen, um ihnen dabei zu helfen, Privilegien zu erlangen oder zu erweitern und sensible Informationen wie persönliche Daten, Finanzdaten usw. preiszugeben. Der Angreifer verlässt sich bei der Informationsbeschaffung nicht auf eine einzige Quelle, sondern wendet sich an einen anderen Mitarbeiter oder eine Behörde der Zielorganisation, um weitere Daten zu sammeln und die von der ersten Quelle gelieferten Informationen glaubwürdiger zu machen.

Beispiele für Social Engineering

Social-Engineering-Angriffe sind erfolgreich, weil Kriminelle ihre Opfer emotional so manipulieren, dass sie etwas tun, was sie normalerweise nicht tun würden. Sie sind Meister der Überredung und spielen mit Emotionen wie Angst, Aufregung, Schuldgefühlen und Neugierde, um ihre Opfer in die Irre zu führen.

Social-Engineering-Hacker nutzen häufig die Dringlichkeit, um den Opfern vorzugaukeln, dass eine bestimmte Belohnung oder ein bestimmtes Angebot zeitkritisch ist, um ihr übliches kritisches Denkvermögen außer Kraft zu setzen. Außerdem bauen sie ein hohes Maß an Vertrauen auf, indem sie das Opfer oft ausforschen und die beste Vorgehensweise festlegen.

Angriffe können auf verschiedenen Plattformen stattfinden, aber hier sind einige wichtige Beispiele für Social Engineering, auf die Sie achten sollten.

1. Social Engineering und soziale Medien

Hacker können soziale Medien nutzen, um ihre Opfer zu finden. (Wenn Sie den Film Der Tinder-Schwindler gesehen haben, können Sie sich vorstellen, wie ein erfahrener Manipulator Social Media Engineering-Angriffe durchführt).

Da die meisten Menschen in ihren Social-Media-Konten offen sensible Informationen preisgeben, ist dies die perfekte Umgebung für einen menschlichen Hacker. Kriminelle können die Informationen, die offen online geteilt werden (sogar bis zu dem Ort, an dem jemand auf einer Geschäftsreise zu Mittag gegessen hat), nutzen, um auf Unternehmensdaten zuzugreifen. Oft geben sie sich als hochrangige Persönlichkeiten aus, z. B. als CEO oder Anwalt des Unternehmens, um eine Beziehung zu ihrem Ziel aufzubauen und Vertrauen zu gewinnen.

Wenn genügend Vertrauen vorhanden ist, können sie den Mitarbeiter dazu bringen, sensible Unternehmensdaten preiszugeben.

2. Köder-Angriffe

Bei einem Köder-Angriff locken die Betrüger ihre Opfer mit einem falschen Versprechen in eine Falle. Oft handelt es sich bei der Falle um einen gefährlichen Anhang, der finanzielle/persönliche Informationen stiehlt und möglicherweise den Computer des Opfers mit Malware infiziert.

3. Phishing-Angriffe

Indem sie sich als vertrauenswürdige Organisation oder Person ausgeben, führen Betrüger Phishing-Angriffe per SMS, Telefon oder E-Mail durch, um an sensible Informationen zu gelangen. Bei diesen Informationen kann es sich um Passwörter oder Kreditkartendaten handeln. Diese Angriffe funktionieren, weil sie bei den Opfern ein Gefühl der Angst oder Dringlichkeit hervorrufen.

4. E-Mails von jemandem, dem Sie vertrauen

Manchmal werden Social Engineering-Angriffe in Form einer E-Mail von einem Freund oder einer anderen vertrauenswürdigen Quelle durchgeführt. Hacker wissen, dass die meisten Menschen nicht an ihren Freunden zweifeln. Deshalb hacken sie oft die E-Mail-Anmeldedaten einer Person und verwenden dieses Konto, um sich an Personen in ihrer Kontaktliste zu wenden. Diese E-Mails enthalten in der Regel einen Link oder einen Anhang, der nach dem Anklicken bösartige Software auf das System des Opfers herunterlädt.

Wie Sie Ihr Unternehmen schützen können

Als Unternehmen könnten Ihre Mitarbeiter das Ziel eines Social-Engineering-Angriffs sein. Und wenn Mitarbeiter Zugang zu Unternehmensdaten haben, kann das Ihr Unternehmen gefährden.

Am besten schützen Sie sich, indem Sie Ihre Mitarbeiter über die Gefahren von Social Engineering aufklären und sie über Phishing, Köder usw. informieren. Stellen Sie sicher, dass alle Mitarbeiter diese Richtlinien befolgen, um das Risiko zu minimieren, Opfer eines Online-Betrugs zu werden:

  • Geben Sie unter keinen Umständen persönliche Daten, Finanzinformationen oder Anmeldedaten an andere weiter.
  • Setzen Sie die Spam-Einstellungen auf hoch, um zu verhindern, dass bösartige E-Mails durch die Maschen schlüpfen.
  • Installieren Sie Antiviren-Software und Firewalls und aktualisieren Sie sie regelmäßig.
  • Lassen Sie sich nicht auf Dringlichkeitstaktiken ein. Nehmen Sie sich die Zeit, Angebote zu prüfen, bevor Sie darauf reagieren.
  • Klicken Sie nicht auf Links in einer E-Mail, sondern nutzen Sie Suchmaschinen oder die Website des Unternehmens, um zum gewünschten Ziel zu gelangen.
  • Wenn Sie einen Anhang oder einen Link von einer Ihnen bekannten Person erhalten, vergewissern Sie sich, dass es sich um diese Person handelt, bevor Sie auf etwas klicken.
  • Schulen Sie alle Beschäftigten regelmäßig im Thema Informationssicherheit.

Wenn Sie Ihr Unternehmen vor diesen Angriffen schützen möchten, stehen unsere Expert:innen Ihnen gerne zur Verfügung. Vereinbaren Sie HIER einen kostenlosen Beratungstermin.

[wd_hustle id=”1″ type=”slidein”][/wd_hustle]

Autor

Ron Wieland