Baiting im Social Engineering ist das digitale Äquivalent zum Trojanischen Pferd. Es setzt auf die Neugier oder Gier des Opfers.
Aber was unterscheidet diese Form des Social Engineering von anderen Angriffen? Und wie können Sie verhindern, dass Sie oder Ihre Mitarbeiter*innen der tückischen Taktik zum Opfer fallen?
Das (und mehr) sehen wir uns in diesem Leitfaden genauer an!
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Was ist Baiting im Social Engineering?
Lassen Sie uns zunächst einmal auffrischen, was Social Engineering ist.
Social Engineering ist ein Oberbegriff, der viele Techniken umfasst, die unsere menschliche Natur ausnutzen. Diese lösen Verhaltensweisen und Fehler aus, die zu einer Schwächung der Sicherheit führen.
Das Hauptziel eines Social-Engineering-Angriffs ist es, ein Opfer dazu zu bringen, sensible Informationen (wie zum Beispiel Anmeldedaten) preiszugeben und/oder unbewusst Malware herunterzuladen (zum Beispiel in Form eines E-Mail-Anhangs).
Baiting ist eine Form des Social Engineering, die auf einem „Köder“ beruht. Dieser Köder kann etwa eine Form von Belohnung oder ein kostenloses Produkt sein.
Das ist etwas anderes als zum Beispiel ein Quid-pro-quo-Angriff, bei dem sich das Opfer verpflichtet fühlen könnte, sich für den „Gefallen“ zu revanchieren.
Baiting ähnelt in vielerlei Hinsicht Phishing-Angriffen. Allerdings setzen Phishing-Angriffe in der Regel auf Angst und Dringlichkeit, um ihre Opfer zum Handeln zu bewegen. Ein Baiting-Angriff hingegen verspricht eine Sache, mit der die Opfer geködert werden. So können Angreifende den Nutzer*innen beispielsweise kostenlose Musik- oder Film-Downloads anbieten, wenn sie ihre Anmeldedaten für eine bestimmte Website preisgeben.
Wie Baiting funktioniert
Bei einem Baiting-Angriff ist das Ziel der Angreifenden in der Regel, die Zugangsdaten von Nutzer*innen zu stehlen oder diese zur Installation von Malware zu bewegen.
Eine Möglichkeit, wie sie dies erreichen können, ist über infizierte USB-Laufwerke:
- Mitarbeiter*innen können zum Beispiel infizierte Flash-Laufwerke als Belohnung für die Teilnahme an einer Umfrage erhalten.
- Alternativ können die Täter*innen infizierte USB-Sticks in einem Geschenkkorb im Empfangsbereich des Unternehmens deponieren, die die Mitarbeiter*innen auf dem Weg zu ihrem Arbeitsplatz einfach mitnehmen können.
- Eine andere Möglichkeit ist die strategische Platzierung von kompromittierten Geräten, die gezielte Mitarbeiter*innen mitnehmen sollen. Wenn die Geräte mit verlockenden Aufschriften wie „Vertraulich“ oder „Gehaltsdaten“ versehen sind, könnten sie für einige Mitarbeiter*innen eine zu große Verlockung sein. Diese Mitarbeiter*innen könnten den Köder schlucken und das infizierte Gerät in ihren Firmencomputer einstecken.
Bei Baiting-Angriffen kann es sich jedoch um etwas so Einfaches wie ein Werbebanner auf einer Website handeln, das ein kostenloses iPhone verspricht. Oder vielleicht haben Sie eine dieser E-Mails erhalten, die eine Art Bitcoin-Belohnung versprechen. Auch das sind Baiting-Angriffe.
Reale Beispiele für Baiting-Angriffe
Nachdem wir nun die Theorie behandelt haben, lassen Sie uns einen Blick auf ein reales Beispiel für Baiting-Angriffe werfen.
Angriff mit infizierten USB-Sticks
Im Jahr 2021 hat das FBI eine öffentliche Warnung herausgegeben, in der sie vor einer weit verbreiteten Baiting-Kampagne warnten, die sich gegen Unternehmen und Regierungsbehörden richtete.
Cyberkriminelle verschickten infizierte USB-Sticks, die als Werbegeschenke getarnt waren, an ahnungslose Mitarbeiter*innen. Die Flash-Laufwerke enthielten Malware, die beim Einstecken der Geräte aktiviert wurde. Dies ermöglichte es den Hacker*innen, sich Fernzugriff auf Unternehmensnetzwerke zu verschaffen.
So läuft ein Baiting-Angriff im Detail ab:
- Schritt 1: Die Mitarbeiter*innen erhielten ein Paket mit einem USB-Stick mit der Aufschrift „Bonus-Content – Firmenschulung“ oder „Kostenlose Amazon-Geschenkkarte“.
- Schritt 2: Der USB-Stick enthielt jedoch Schadsoftware, die als legitimes Dokument oder Video getarnt war.
- Schritt 3: Nach dem Einstecken installierte die Malware automatisch Remote Access Trojaner (RATs) und Keylogger, die es den Angreifer*innen ermöglichten, Anmeldedaten zu stehlen.
- Schritt 4: Mit den gestohlenen Zugangsdaten konnten die Angreifer*innen in die Systeme des Unternehmens eindringen und sensible Daten ausspähen.
Einige der Schlussfolgerungen aus diesem Angriff sind:
- Schließen Sie niemals unbekannte USB-Sticks an ein privates oder berufliches Gerät an.
- Verwenden Sie Software zum Schutz von Endgeräten, um nicht autorisierte USB-Geräte zu erkennen und zu blockieren.
- Informieren Sie Ihre Mitarbeiter*innen über Baiting und andere Social-Engineering-Taktiken, um ähnliche Angriffe zu verhindern.
Wie Sie Baiting-Angriffe erkennen und verhindern
Schauen wir uns einen schrittweisen Prozess an, dem Sie folgen können, um Baiting-Angriffe zu erkennen, bevor es zu spät ist.
Schritt 1: Erkennen Sie die üblichen Anzeichen für Baiting-Angriffe
Dies sind einige der häufigsten Warnsignale, die bei Baiting-Angriffen auftreten:
🚩 Sie bekommen etwas kostenlos angeboten.
- Gefälschte Promo-Aktionen: „Laden Sie diese Premium-Software kostenlos herunter!“
- Gefälschte Werbegeschenke: „Holen Sie sich eine kostenlose Amazon-Geschenkkarte – melden Sie sich einfach an, um Ihre zu erhalten.“
- Kostenlose USB-Sticks oder Gadgets, die an öffentlichen Orten hinterlassen werden: USB-Sticks mit einem Firmenlogo, die in Konferenzzentren, Empfangs- oder Eingangsbereichen oder auf Parkplätzen gefunden werden.
🚩 Das Angebot kommt von einer unbekannten oder verdächtigen Quelle.
- Wenn Sie einen USB-Stick, einen QR-Code oder einen E-Mail-Anhang von einem*einer unbekannten Absender*in erhalten, ist das ein Warnsignal.
- Wenn in einer Pop-up-Anzeige behauptet wird, Sie hätten etwas gewonnen, ohne an einem Wettbewerb teilgenommen zu haben, handelt es sich wahrscheinlich um Baiting.
🚩 Die Kommunikation erzeugt Dringlichkeit.
- „Befristetes Angebot! Nur die ersten 100 Nutzer*innen erhalten diesen kostenlosen Service.“
Schritt 2: Vermeiden Sie Baiting-Fallen
✅ Verwenden Sie niemals unbekannte USB-Sticks.
- Wenn Sie ein USB-Laufwerk finden, schließen Sie es nicht an, sondern melden Sie es der IT-Abteilung.
- Wenn von einem Unternehmen oder bei einer Veranstaltung kostenlose Geräte ausgegeben werden, scannen Sie diese vor der Verwendung mit einer Sicherheitssoftware für Endgeräte.
✅ Ignorieren Sie „kostenlose“ Downloads und Online-Geschenke.
- Vermeiden Sie Software-Downloads von Websites Dritter – verwenden Sie nur offizielle Quellen.
- Wenn in einer E-Mail oder Anzeige ein kostenloser Premium-Dienst angeboten wird, überprüfen Sie dies auf der offiziellen Website des Unternehmens.
✅ Seien Sie skeptisch bei QR-Codes.
- Scannen Sie keine QR-Codes von unbekannten Flugblättern, Postern oder Aufklebern, die an öffentlichen Orten angebracht sind.
✅ Verwenden Sie eine Sicherheitssoftware, um Baiting-Versuche abzuwehren.
- Aktivieren Sie USB-Gerätebeschränkungen auf Ihren Arbeitscomputern.
- Verwenden Sie E-Mail-Filter, um betrügerische Werbeaktionen und gefälschte Werbegeschenke zu blockieren.
- Installieren Sie einen Werbeblocker, um Malvertising-Angriffe zu verhindern.
✅ Verwenden Sie eine private und sichere E-Mail-Lösung.
- Verwenden Sie eine E-Mail-Lösung wie Mailfence, die eine starke Anti-Spam-Filterung bietet. Durch die automatische Filterung von E-Mails, bevor sie Ihren Posteingang erreichen, können Sie die meisten Baiting-Angriffe umgehen.
Abschließende Gedanken zum Thema Baiting im Social Engineering
Die stärkste Abwehr gegen Baiting und andere Social-Engineering-Methoden besteht darin, sich und Ihr Team zu informieren. Jeder von uns sollte sich um eine starke Sicherheitskultur in seiner Umgebung bemühen – im Büro, zu Hause etc.
Darüber hinaus muss jede*r Einzelne die „Unternehmenssicherheit“ als einen wesentlichen Teil seiner*ihrer persönlichen Verantwortung betrachten. Speziell im Hinblick auf Baiting sollte jede*r Einzelne offene Gespräche mit seiner Familie, seinen*ihren Freund*innen und Kolleg*innen führen – und sie vor den Gefahren des Social Engineering warnen.
Es gibt noch weitere Tipps, an die Sie sich halten können, um Social-Engineering-Betrugsmaschen aus dem Weg zu gehen. Mehr darüber, wie Sie Ihren Computer schützen können, erfahren Sie hier. Unser Kurs zum Thema E-Mail-Sicherheit und Datenschutz bietet Ihnen umfassende Informationen zu diesem Thema, damit Sie sich so gut wie möglich vor Social Engineering schützen können.
