Aktuelles, Branche, Gastbeiträge - geschrieben von am Samstag, April 6, 2019 16:06 - noch keine Kommentare

Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks

Christoph M. Kumpa erläutert in seinem Gastbeitrag die häufigsten Angriffe

[datensicherheit.de, 06.04.2019] Sogenanntes Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen – im Erfolgsfall ermöglichen Angriffe auf dessen Basis Cyber-Kriminellen meist einen legitimen Zugriff auf vertrauliche Informationen. Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, erläutert in seinem aktuellen Gastartikel die häufigsten Angriffsformen und wie sich Unternehmen gegen solche schützen können.

Opfer verleiten, Standard-Sicherheitspraktiken zu missachten…

Die „Social Engineering“-Strategie der Cyber-Kriminellen fußt auf starker zwischenmenschlicher Interaktion und besteht meist darin, das Opfer dazu zu verleiten, Standard-Sicherheitspraktiken zu missachten.
Somit hängt der Erfolg von „Social Engineering“ von der Fähigkeit des Angreifers ab, sein Opfer so weit zu manipulieren, dass es bestimmte Aktionen ausführt oder vertrauliche Informationen preisgibt.
Da „Social Engineering“-Angriffe immer zahlreicher und raffinierter werden, sollten Organisationen jeder Größe eine intensive Schulung ihrer Mitarbeiter als erste Verteidigungslinie für die Unternehmenssicherheit betrachten.

Cyber-Kriminelle – Trickbetrüger des Digitalen Zeitalters

„Social Engineering“-Angreifer sind letztlich eine moderne Spielart der klassischen Trickbetrüger: Häufig verlassen sich diese Kriminellen auf die natürliche Hilfsbereitschaft von Menschen – zum Beispiel rufen sie bei ihrem Opfer an und geben ein dringendes Problem vor, das einen sofortigen Netzwerkzugang erfordert.
Sie nutzen gezielt bestimmte menschliche Schwächen wie Unsicherheit, Eitelkeit oder Gier aus und verwenden Informationen, die sie aus Lauschangriffen oder dem Ausspionieren Sozialer Medien gewonnen haben. Dadurch versuchen sie, das Vertrauen autorisierter Benutzer zu gewinnen, damit ihre Opfer sensible Daten preisgeben, mit Malware infizierte E-Mail-Anhänge öffnen, oder sie deren Zugangsdaten für Computernetzwerke oder Datenspeicher stehlen können.
Auch durch den Aufbau eines Schreckensszenarios wie einem angeblichen Schadensfall können sie ihre Zielperson dazu bewegen, beispielsweise als Antiviren-Software getarnte Malware zu installieren und auszuführen.

Im Überblick: Häufige „Social Engineering“-Methoden

Technologielösungen wie E-Mail-Filter, Firewalls und Netzwerk- oder Daten-Überwachungs-Tools helfen zwar, „Social Engineering“-Attacken abzuschwächen, doch eine gut geschulte Belegschaft, die in der Lage ist, „Social Engineering“ zu erkennen, ist letztlich die beste Verteidigung gegen diese Art Angriffe. Unternehmen sollten ihre Mitarbeiter deshalb umfassend über die gängigen Arten von „Social Engineering“ aufklären. Im Folgenden daher ein Überblick zu verschiedenen Angriffstechniken, deren Übergänge teilweise fließend sind und von Kriminellen auch in Kombination eingesetzt werden:

Pretexting: Geschicktes Vortäuschen falscher Tatsachen
Beim Pretexting schützt ein Angreifer geschickt falsche Tatsachen vor, um ein Opfer dazu zu bringen, ihm Zugang zu sensiblen Daten oder geschützten Systemen zu gewähren. Beispielsweise gibt ein Krimineller vor, Bankdaten zu benötigen, um die Identität des Empfängers zu bestätigen. Oder er tarnt sich als Mitarbeiter der IT-Abteilung, um sein Opfer dazu zu verleiten, Login-Daten preiszugeben oder einen Computerzugang zu gewähren.

Baiting: Der physische Köder
Angreifer führen Köderangriffe durch, indem sie ein mit Malware infiziertes Gerät wie ein USB-Flash-Laufwerk, an einem bestimmten Ort im Unternehmen zurücklassen, an dem es wahrscheinlich gefunden wird. Wenn ein Mitarbeiter den Datenträger mit seinem Computer verbindet, um beispielsweise zu sehen, was sich darauf befindet, wird der Rechner heimlich mit Malware infiziert. Einmal installiert, erlaubt die Malware dem Angreifer, in das System des Opfers einzudringen.

Tailgating: Den Angreifer im Rücken
Der Begriff Tailgating (von engl. tailgate = Heckklappe) erinnert an Krimi-Szenen, bei denen der Protagonist bei der Autofahrt einen Verfolger im Rückspiegel entdeckt, der ihm quasi an der Heckklappe klebt. Tailgating ist eine weitere physische „Social Engineering“-Technik, um an wertvolle, vertrauliche Informationen zu gelangen: Ein Beispiel wäre ein Unbefugter, der autorisierten Personen an einen ansonsten gesicherten Ort folgt, indem er vorgibt, seine Zugangskarte vergessen zu haben. Auch kann der Angreifer sein Opfer darum bitten, ihm kurz dessen Telefon oder Laptop auszuleihen, um eine einfache Aufgabe zu erledigen, und stattdessen Malware auf dem Gerät installiert oder sensible Daten stiehlt.

„Quid pro quo“-Angriff: Das Locken mit einer Gegenleistung
Bei einem Angriff auf Basis von „quid pro quo“ (lat.: dies für das) locken Cyber-Kriminelle ihre Opfer mit einer Gegenleistung oder Entschädigung, um sensible Informationen zu ergaunern. Beispielsweise erzählen Angreifer am Telefon, eine offizielle Umfrage durchzuführen – und bieten für die Teilnahme Geschenke an. Hier gilt als Faustregel: Wenn etwas zu gut klingt, um wahr zu sein, ist gesundes Misstrauen geboten.

Phishing: Von gefälschten Geschäfts-E-Mails bis zum vermeintlichen Spendenaufruf
Bei einem Phishing-Angriff tarnen Cyber-Kriminelle sich als vertrauenswürde Quelle und nehmen eine betrügerische Kommunikation mit ihrem Opfer auf, um es dazu zu verleiten, Malware zu installieren oder persönliche, finanzielle oder geschäftliche Informationen herauszugeben. E-Mail ist der beliebteste Vektor für Phishing-Angriffe, aber Phishing kann auch Chat-Anwendungen, „Social Media“, Telefonanrufe (auch „Vishing“ oder „Voice Phishing“ genannt) oder gefälschte Websites verwenden. Einige besonders perfide Phishing-Angriffe täuschen gezielt wohltätige Zwecke vor dem Hintergrund aktueller Naturkatastrophen oder anderen tragischen Vorfällen vor. So nutzen sie den guten Willen ihrer Opfer aus, um durch einen Spendenaufruf an persönliche Daten oder Zahlungsinformationen gelangen.

Watering-Hole-Attacke
Bei einer Watering-Hole-Attacke (bildhaft: Auflauern am Wasserloch) wählt der Angreifer sorgfältig eine bestimmte Website aus, von der er weiß, dass seine Opfer diese häufig besuchen, und infiziert deren Homepage mit Malware. Zielpersonen sind meist Mitarbeiter von großen Unternehmen oder Regierungsstellen. Ein Beispiel wäre die Website eines lokalen Restaurants, in denen Mitarbeiter ihre Pause verbringen, um etwa regelmäßig das Tages- oder Wochenangebot abzurufen oder den Lieferservice in Anspruch zu nehmen.

Spear Phishing: Gezieltes Ausspähen und Angreifen eines Opfers
„Spear Phishing“ ist eine sehr gezielte Art von Phishing-Angriff, die sich auf eine bestimmte Person oder Organisation konzentriert. Solche Angriffe verwenden persönliche Informationen, die spezifisch auf das Opfer zugeschnitten sind, um Vertrauen zu gewinnen und besonders legitim zu erscheinen. Oftmals werden diese Informationen aus den „Social Media“-Accounts der Opfer oder anderen Online-Aktivitäten entnommen. Durch die Personalisierung ihrer Phishing-Taktiken haben „Spear Phishing“-Angreifer höhere Erfolgsquoten, wenn es darum geht, ihre Opfer dazu zu bringen, Zugang zu Systemen gewähren oder sensible Informationen wie Finanzdaten oder Geschäftsgeheimnisse preiszugeben.

Mitarbeiterschulungen erste und wichtigste Präventionsmaßnahme

„Social Engineering“ ist eine anhaltende Bedrohung für viele Organisationen. Mitarbeiterschulungen sind deshalb die erste und wichtigste Maßnahme, um zu verhindern, dass Unternehmen Opfer von Angreifern werden, die immer ausgefeiltere Methoden einsetzen, um Zugang zu sensiblen Daten zu erhalten.
Durch Sensibilisierung der Mitarbeiter in Kombination mit entsprechenden Security- und Datensicherheits-Technologien kann dieses Risiko erheblich minimiert werden.

Abbildung: Digital Guardian

Abbildung: Digital Guardian

„Don‘t get hooked – how to recognize and avoid phishing attacks“

 

Christoph M. Kumpa, Digital Guardian

Bild: Digital Guardian

Christoph M. Kumpa: Sensibilisierung der Mitarbeiter in Kombination mit geeigneten Datensicherheits-Lösungen!

Weitere Informationen zum Thema:

datensicherheit.de, 05.11.2018
Willkommen im Botnet: Über die Unsicherheit der Dinge

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung

datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken

datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel



Kommentieren

Kommentar

Current ye@r *

Medienpartnerschaft

Internet Security Days 2019

Medienpartnerschaft

Cybersecurity 2019 Berlin

Kooperation

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Kooperation

Initiative Digital

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung