Social Engineering

Die Gefahr durch Social Engineering-Angriffe

Was ist Social-Engineering?

Social-Engineering oder Social-Hacking ist ein Angriffstyp, bei dem Cyberkriminelle Cyberangriffe/Datenverstöße mit einer Vielzahl von Methoden orchestrieren, die die menschliche Natur und das Vertrauen ausnutzen. Nachdem sie sich das Vertrauen der Menschen erschlichen haben, verschaffen sich Cyberkriminelle Zugang zu vertraulichen Informationen, digitalen/physischen Geschäftsressourcen/Infrastrukturen oder bringen den Benutzer (Angestellter/Kunde/Privatperson) dazu, Malware herunterzuladen, Geld zu senden oder Aktionen durchzuführen, die gefährlich sind.

In dem Artikel werden die Gefahren von Social-Engineering und Präventionsmethoden eingehend beschrieben.

Warum ist Social-Engineering gefährlich?

Der Kern des Social-Engineering ist menschliches Vertrauen und Zuversicht. Angreifer wenden viel Zeit und Ressourcen auf, um über das Opfer zu recherchieren. Es werden wichtige Erkenntnisse (potenzielle Einstiegspunkte, schwache Protokolle usw.) gesammelt und eine Kombination aus Worten und Handlungen zusammen mit der Technologie (E-Mails, Sprachanrufe usw.) eingesetzt, um das Opfer zu täuschen, damit es ihnen vertraut, bevor er den Angriff fortführt.

Social-Engineering ist deshalb so gefährlich, weil es menschliches Versagen durch legitime Benutzer und nicht unbedingt einen Fehler in Software oder Betriebssystemen darstellt. Daher ist es wichtig zu wissen, wie/auf welche Weise Menschen von sogenannten Social-Engineers manipuliert werden, um ihre Ziele zu erreichen und sich wirksam davor zu schützen.

1. Phishing und Spear-Phishing

90% aller Cyber-Angriffe werden durch Phishing initiiert. Die Nachrichten in Phishing-Angriffen, die unter anderem per E-Mail (häufig über Massen-E-Mail-Kampagnen), Chat, digitale Anzeigen, Website und soziale Medien verbreitet werden, geben echte/legitime Systeme und Organisationen wie Banken, NGOs, Großunternehmen, legitime Wohltätigkeitsorganisationen oder sogar den eigenen Arbeitgeber vor.

Die Nachrichten sind so gestaltet, dass sie ein Gefühl der Dringlichkeit oder Angst vermitteln, das den Benutzer dazu veranlasst, das zu tun, was der Angreifer will (Zugang zu vertraulichen Informationen gewähren, Malware herunterladen, Geld überweisen usw.). Der Angreifer könnte sich z.B. als CEO des Unternehmens ausgeben und E-Mails an die Mitarbeiter verschicken, in denen er sie auffordert, Maßnahmen zu ergreifen, die dem Angreifer Anmeldeinformationen preisgeben würden.

Während Phishing in der Regel als Massenkampagne orchestriert wird, werden Personalisierung und individuelles Targeting durch sogenanntes Spear-Phishing erreicht. Es ist eine der wichtigsten Waffen im Arsenal von fast 70% der Hacker in den USA, von denen bekannt ist, dass sie diese Methode regelmäßig anwenden, um Individuen anzugreifen. Und dies trotz des größeren Zeit- und Arbeitsaufwands, der erforderlich ist, um das Spear-Phishing durchzuführen.

Beispielsweise kann sich der Angreifer als Banker ausgeben und Kreditkartendaten des Opfers verlangen, wobei er behauptet, dass die Karte bald gesperrt wird oder dass das Opfer zusätzliche Leistungen in Anspruch nehmen kann.

2. Der Köder

Wie der Name schon sagt, wird das Interesse/die Neugierde/Gier des Opfers geweckt, indem der Hacker dem Opfer etwas anbietet, das es sucht, und es dazu verleitet, Malware auf seine Geräte herunterzuladen oder persönliche Informationen preis zugeben.

Diese Methode wird häufig von Social-Engineers auf Peer-Sharing-Siten, also Film- oder Musik-Download-Siten oder sogar physisch über firmeneigene Flash-Laufwerke auf dem Schreibtisch verwendet. Köder können auch in Form von Online-Angeboten, gefälschten E-Mails mit Gratis-Coupons usw. ausgegeben werden.

3. Vertrauens-Tricks und Vorwände

Diese Art von Social-Engineering wird durch die Herstellung cleverer und scheinbar echter Kommunikation (E-Mails/Telefonanrufe/direkt) orchestriert. Hier werden dem Opfer kritische Informationen entzogen, indem sich der Angreifer als ein Kollege/eine Autoritätsperson ausgibt, die das Recht auf Wissen hat, und Vertrauen aufgebaut wird.

Zum Beispiel könnte der Angreifer das Opfer unter dem Vorwand, eine Prüfung durchzuführen, von der IT-Abteilung anrufen und Anmeldeinformationen sammeln.

4. Huckepack – drängeln – sogenanntes Tailgating oder Piggybacking

Hier wird der physische Zugang zu Geschäftsvermögen durch den Angreifer/Unbefugten erlangt, indem er einer autorisierten Person in einen gesperrten Bereich folgt. Beispielsweise könnte der Angreifer die physische Sicherheit umgehen, indem er einen Mitarbeiter bittet, die Tür aufzuhalten, weil er seinen Ausweis vergessen hat. Das Opfer könnte aufgefordert werden, seinen PC/Laptop für einige Minuten auszuleihen, in denen der Angreifer Malware installieren könnte.

Möglichkeiten, sich vor Social-Engineering Angriffen zu schützen

1. Für die Mitarbeiter und Kunden

Mitarbeiter, unabhängig von Position und Rolle, und Kunden müssen regelmäßig und konsequent über Social Engineering und seine Gefahren aufgeklärt werden.
Sie müssen auf die roten Fahnen aufmerksam gemacht werden, nach denen sie Ausschau halten müssen.
Sie müssen angewiesen werden, nachzudenken, bevor sie E-Mails und Links anklicken/öffnen, und äußerste Vorsicht walten zu lassen, wenn sie Angebote, wie verlockend sie auch sein mögen, annehmen.

2. Organisatorisch

Multi-Faktor-Authentifizierung nutzen.
Die gesamte Hard- und Software muss aktualisiert werden
Die automatische Sperrung aller Geräte muss eingehalten werden, wenn sie länger als 5 Minuten nicht benutzt werden.
Die Regel der Nichtfreigabe von Geräten muss eingehalten und umgesetzt werden.
Mit Hilfe eines intelligenten Web-Schwachstellen-Scanners müssen alle Systeme, Netzwerke, Geräte und Server regelmäßig gescannt werden, um Schwachstellen und Sicherheitsfehlkonfigurationen zu identifizieren.

  • Ein intelligenter SystemScanner, um proaktiv und effektiv zu arbeiten, und kontinuierlich Schwachstellen zu identifizieren.
  • Das Fachwissen zertifizierter Sicherheitsexperten, die die Lösung an Ihre spezifischen Bedürfnisse anpassen und abstimmen und regelmäßige Sicherheitsaudits, Pen-Tests durchführen, um unbekannte Schwachstellen und Schwächen aufzudecken und die Mitarbeiter mittels Schulungen zu sensibilisieren.

Sprechen Sie uns einfach an!

Das solbytech-Team

Manuel Dorfer:     +43 660 5584003
Gerald Eder:        +43 660 5584004
Florian Dodegge:  +43 660 5584007

Fragen telefonisch oder per E-Mail an
security@solbytech.at

Beste Grüße & stay safe!

Gerald, Manuel & Florian