Was ist Social Engineering?

Was ist Social Engineering ?

Jeder Mensch macht Fehler. Eine der wichtigsten Erkenntnisse aus IBMs „Cyber Security Intelligence Index“ ist, dass 95 Prozent aller Sicherheitsvorfälle mit menschlichem Versagen verbunden sind. Viele davon bestehen aus erfolgreichen Angriffen externer Betrüger, die menschliche Schwächen ausnutzen, um Insider oder Außenstehende innerhalb von Unternehmen dazu zu verleiten, ihnen unwissentlich Zugang zu sensiblen Informationen zu verschaffen.

Heutzutage werden seriöse Webseiten immer häufiger gehackt, da sie genau die Art von Webseiten sind, denen die Benutzer generell vertrauen. Allerdings werden die kompromittierten Webseiten auch für Angriffe eingesetzt, die auf die speziellen Interessen bestimmter Nutzer oder Gruppen abzielen.

Selbst wenn Sie Mechanismen zur Anonymisieren, sichere (verschlüsselte) Kommunikationskanäle und eine Vielzahl anderer Maßnahmen zum Schutz und zur Sicherung Ihrer Online-Privatsphäre nutzen – was passiert, wenn Sie Opfer von Social Engineering-Attacken werden, jemand einfach nur Ihre Zugangsdaten erhält und alle Sicherheitsbarrieren umgeht, um auf Ihre Online-Welt zuzugreifen. Was also ist Social Engineering?

Social Engineering

Quelle: https://www.veracode.com/blog/2013/03/hacking-the-mind-how-why-social-engineering-works

Erinnern Sie sich an das antike griechische Pferd als „Geschenk“ an die Stadt Troja? Ein Social-Engineering-Angriff ist also keinesfalls neu, dieses hocheffektive Tool heute fängt seine Opfer durch Phishing, Herauslocken und Nachahmung.

image5

Jeder – auch Profis – kann Opfer eines Social-Engineering-Angriffs werden. Es ist fast unmöglich, zu erkennen, dass Sie Opfer einer Social Engineering-Attacke wurden“, sagt Daniel Cohen, Leiter der Abteilung für Wissensvermittlung und Geschäftsentwicklung der FraudAction-Gruppe von RSA. Er erklärt weiter, dass böswilliges Social Engineering eines der größten Sicherheitsprobleme ist. „Solange es eine bewusste Schnittstelle zwischen Mensch und Maschine gibt, wird es Social Engineering immer geben.“

Nach Ihnnen! Sich einen Vorteil aus kulturellen Normen verschaffen, um eine sichere Anlage zu infiltieren
Social Engineering PenTest durch Jek Hyde (@HydeNS33k)

Dabei handelt es sich um leicht verdientes Geld. Auf dem Untergrund-Online-Markt können Sie einen Spam-Service kaufen, um 500.000 E-Mails für nur 75 Dollar hinauszuschießen. Von diesen 500.000 Empfängern werden einige Leute unweigerlich Bitcoins oder was auch immer Sie verlangen, versenden“, sagte Cohen. „Aus diesem Grund gehen wir davon aus, dass weltweit Hunderte von Millionen an Verlusten durch Phishing verursacht werden.“

image6

In der Vergangenheit betraf Phishing insbesondere den Finanzsektor, da es einfach und lukrativ ist, Finanzdaten zu Geld zu machen und zu verkaufen, weiten Angreifer ihre Aktivitäten nun auch auf mobile und Spieleplattformen sowie auf die Vielfliegerprogramme der Fluggesellschaften aus. Letztendlich kann und wird jedes Unternehmen Ziel solcher Attacken sein.

Ein Grund für die Ausweitung von Phishing-Angriffen ist, dass Betrüger aus der ganzen Welt dank „Darknet“ die Möglichkeit haben, anonym miteinander in Verbindung zu treten und zusammenzuarbeiten. Häufig werben sie Partner mit Social Engineering-Fähigkeiten, um die fehlenden Teile der gestohlenen Identität zu ergänzen, damit sie diese dann nutzen oder verkaufen können.

PHISHING

Phishing-Betrügereien sind wahrscheinlich die häufigste Art von Social Engineering-Angriffen, die heutzutage eingesetzt werden. Die meisten Phishing-Betrügereien weisen die folgenden Merkmale auf:

    • Suche nach persönlichen Informationen wie Namen, Adressen und Sozialversicherungsnummern.
    • Einsatz von Link Shortener oder eingebetteten Links, die Benutzer auf verdächtige Websites in URLs umleiten, die seriös erscheinen.
  • Drohungen, Schüren von Ängsten und eines Gefühls der Dringlichkeit, um den Benutzer so zu manipulieren, so dass er sofort handelt.

Einige Phishing-E-Mails sind schlechter als andere, da ihre Nachrichten oft Rechtschreib- und Grammatikfehler aufweisen, diese E-Mails legen es aber genauso darauf an, die Opfer auf eine gefälschte Website oder ein Formular zu leiten, auf dem sie Anmeldeinformationen und andere persönliche Informationen stehlen können.

Sie werden oft mit Malware kombiniert und bilden damit ein perfektes Paket: der Rechner des Benutzers gibt nicht nur die Zugangsdaten preis, sondern wird auch noch kompromittiert.

PRETEXTING

Pretexting st eine andere Form des Social Engineering, bei der Angreifer sich darauf konzentrieren, einen guten Vorwand oder ein vorgefertigtes Szenario zu schaffen, mit dem sie versuchen können, die persönlichen Daten ihrer Opfer zu stehlen. Diese Art von Angriffen erfolgt in der Regel so, dass der Betrüger vorgibt, dass er bestimmte Informationen von seinem Angriffsziel benötigt, um seine Identität zu bestätigen.

Pretexting-Angriffe werden häufig verwendet, um sowohl sensible als auch nicht sensible Informationen zu erhalten. So gab sich im Oktober eine Gruppe von Betrügern als Vertreter von Modelagenturen und Escortservices aus, erfand gefälschte Hintergrundgeschichten und Interviewfragen, um Frauen, darunter auch Teenagerinnen, dazu zu bringen, Nacktbilder von sich selbst zu schicken, die sie später gegen große Geldsummen an Porno-Unternehmen weiterleiteten.

BAITING

Baiting ähnelt in vielerlei Hinsicht Phishing-Angriffen. Was sie jedoch von anderen Arten von Social Engineering unterscheidet, ist das Versprechen eines Gegenstands oder Gutes, das Hacker nutzen, um Opfer zu locken. Köder können den Nutzern kostenlose Musik- oder Filmdownloads anbieten, wenn sie ihre Anmeldeinformationen an eine bestimmte Website weitergeben.

Köderangriffe beschränken sich nicht nur auf den Online-Bereich. Angreifer können sich auch darauf konzentrieren, die menschliche Neugier durch den Einsatz physischer Medien auszunutzen.

QUID PRO QUO

In ähnlicher Weise versprechen Quid pro Quo-Attacken einen Vorteil im Austausch gegen Informationen. Dieser Vorteil nimmt in der Regel aber die Form einer Dienstleistung an, während beim Baiting der Köder häufig eine Ware ist.

Eine der häufigsten Arten von Quid pro Quo-Angriffen sind Betrüger, die sich als IT-Service-Mitarbeiter ausgeben und so viele Durchwahlummern anrufen, die zu einem Unternehmen gehören, wie sie finden können. Diese Angreifer bieten dann jedem einzelnen ihrer Opfer IT-Unterstützung an – um so dann ihre eigenen betrügerischen Ziele zu verfolgen.

Es ist jedoch wichtig zu beachten, dass Angreifer häufig weitaus weniger ausgefeilte Gegenleistungen anbieten als das Beheben von IT-Problemen.

TAILGATING

Ein weiterer Social Engineering-Angriffstyp ist als Tailgating oder „Piggybacking“ bekannt. Bei dieser Art von Angriffen folgt jemand, dem es an der richtigen Authentifizierung mangelt, einem Mitarbeiter in einen geschützten Bereich.

Colin Greenless, ein Sicherheitsberater bei Siemens Enterprise Communications, nutzte diese Taktik, um Zugang zu mehreren Stockwerken sowie zum Datenraum eines an der FTSE notierten Finanzunternehmens zu erhalten. Er konnte sich sogar in einem Besprechungsraum im dritten Stock niederlassen, von dem aus er mehrere Tage lang arbeitete.

Fakt ist, dass man gegen einen einzelnen Social-Engineering-Angriff kämpfen kann, Social Engineering selbst aber nicht verschwindet. Michele Fincher, Chief Influencing Agent bei Social-Engineer, bringt es auf den Punkt:

„Viele der Entscheidungen, die wir treffen, beruhen auf grundlegender menschlicher Natur und Verhaltensweise. Wir reagieren halt, wie Menschen reagieren. Gute Social Engineering-Betrüger verstehen wirklich, wie man damit arbeitet, und das ist etwas, wovor man sich mit Technologie nicht schützen kann.“

Hacker, die sich im Social Engineering engagieren, greifen ihre Beute mit menschlicher Psychologie und Neugier an, um die Informationen ihrer Zielpersonen zu kompromittieren. Behält man diese auf den Menschen bezogene Vorgehensweise im Hinterkopf, istMit diesem auf den M Fokus im Hinterkopf, ist es die wichtigste Aufgabe der Benutzer, auf diese betrügerischen Handlungen vorzubereitet zu sein.

Im folgenden Beitrag geben wir Ihnen einige Tipps zur Abwehr von Social Engineering-Attacken.

image8

Mailfence ist eine verschlüsselte E-Mail-Suite

Ihr sicheres E-Mail-Konto – jetzt
Avatar for Werner Grohmann

Werner Grohmann

Werner Grohmann ist Online-Redakteur und Content Marketingberater für deutsche und internationale IT-Unternehmen. Er ist für die deutsche Version des Mailfence Blogs verantwortlich.

Das könnte dich auch interessieren …