Social Engineering ist nicht neu: Schon die "Bösen" in Hänsel und Gretel sowie beim Wolf und den sieben Geißlein wenden psychologische Tricks an, um zu manipulieren. Social Engineering hat sich in den vergangenen Jahren weiterentwickelt. Es findet heute häufiger statt und führt dabei fast immer zum Ziel.
Foto: Deymos.HR - shutterstock.com
Steigende Gefahr für Unternehmen
Social-Engineering-Angriffe werden ausgefeilter, qualitativ besser und deshalb erfolgreicher. "Das stellen wir fest, wenn unsere IT-Spezialisten herausgefunden haben, dass Unberechtigte in Unternehmensnetzwerke eingedrungen sind", sagt Dirk Reimers. Er ist Bereichsleiter bei Secunet in Hamburg, einem IT-Sicherheitsunternehmen und zuständig für Konzeption und Durchführung von Social-Engineering-Maßnahmen bei Kunden. Als Social Engineering werden die Versuche bezeichnet, sich Vertrauen bei Beschäftigten in Unternehmen zu ergaunern, um an Informationen wie Passwörter zu kommen oder Regelverstöße zu provozieren, um etwa Zugang zu Räumen zu bekommen.
- Die Psychotricks des Social Engineering
Moderne Social-Engineering-Angriffe stellen eine erhebliche Bedrohung für Unternehmen dar. Wir zeigen Ihnen, mit welchen Psychotricks die Cyberkriminellen arbeiten. - Grundlegende Bedürfnisse
Beim Social Engineering geht es nicht um technische Machbarkeiten und Möglichkeiten. Der Social Engineer greift über grundlegende Bedürfnisse an. Hilfsbereitschaft. Leichtgläubigkeit, Neugier, (Wunsch nach) Anerkennung - er baut Druck auf und verbreitet Angst. Weil viele Menschen nach dem Motto "bloß kein Streit" verfahren, ist diese Strategie oft erfolgreich. - Soziale Eigenschaften
Unsere sozialen Eigenschaften können unsere sozialen Einfalltore sein. Nicht nur die Einschätzung Fremder bereitet vielen Menschen Probleme. Meist sind sie auch nicht in der Lage, ihre eigenen kommunikativen Stärken einzuschätzen. Ist es die Anerkennung oder womöglich Druck, mittels derer die Angreifer zum Ziel kommen? - Der Reiz des Verbotenen
Beim Social Engineering versuchen Angreifer Mitarbeiter von Unternehmen auszuhorchen oder zu Fehlhandlungen zu verleiten. Sie dazu zu bringen, Dinge zu tun, die sie nicht tun sollten. Ziel der Angreifer ist es, an Informationen zu gelangen, um Wirtschaftsspionage zu betreiben oder Geld zu ergaunern. - Digitale Kommunikation
Der souveräne Umgang mit Kommunikationsmedien und –kanälen führt zunehmend zu einer Auflösung der Unterscheidung von analoger und digitaler Kommunikation. Analoge Kommunikation bedient sich verschiedener Kanäle: verbal (Sprachinhalt), non-verbal (Körpersprache, Mimik, Gestik, Kleidung, Duft) und para-verbal (Sprechgeschwindigkeit, Stimmlage, Lautstärke). Digitale Kommunikation beschränkt sich häufig auf den Inhalt und Videotelefonie gaukelt vor, dass alle Sinne beteiligt sind. Das sind sie nicht. Deshalb ist digitale Kommunikation ein Risiko im Kontext von Social Engineering. - Falsche Tatsachen
Märchen bieten gestern wie heute geeignete Bilder fürs Social Engineering. In ‚Der Wolf und die sieben Geißlein‘ werden sogar Methoden beschrieben, die denen eines Social Engineers ähneln, beispielsweise geweißte Pfoten und erhöhte Stimme. Wenn wir uns dem Thema Social Engineering stellen, wird uns bewusst, dass Menschen sich im Verlaufe einer Entwicklung als ganz andere entpuppen können als vormals geglaubt. So anders, dass sich unsere Situation schlagartig und drastisch verändern kann. - Wirksamer Schutz vor Social Engineering
Basierend auf den Studienergebnissen setzt ein sinnvoller und funktionierender Schutz vor Social Engineering auf drei Ebenen an: 1. Bewusstsein für das eigene Kommunikationsverhalten entwickeln 2. Identifikation von relevanten sozialen Eigenschaften 3. Entwicklung einer geeigneten Sicherheits- und Unternehmenskultur
Gefälschte Absender 2.0
Vor Jahren waren die Angriffs-Versuche mit E-Mails noch plump, in radebrechendem Deutsch und unglaubwürdig. Zum Beispiel als Witwe aus Uganda getarnt, die Millionen US-Dollars parken will. Heute kommen die Mails mit gefälschtem Absender - etwa vom Postversand DHL mit der Frage, wohin das Paket geliefert werden soll weil niemand zu Hause ist. Die Mails sind in tadellosem Deutsch geschrieben und lesefreundlich formatiert, einschließlich Link zum Versandstatus. Wer den anklickt, installiert unbemerkt eine Software, die Passwörter ausspäht. "Der gesamte Vorgang ist perfekt, so dass ein ungeschulter Mitarbeiter nicht merkt, dass er auf einen Angreifer hereinfällt", sagt Reimers.
- Social Engineering bekämpfen
Die Gefahren durch Social Engineering treffen sogar erfahrene IT-Profis. Auch wenn es keine Standard-Gegenmittel gibt, geht es in erster Linie darum, die Methoden der Angreifer zu verstehen. Dann ist der Kampf schon halb gewonnen. Wir zeigen sieben perfide Wege, über die Social Engineers an ihre Daten und ihr Geld wollen. - Der "vergessene" USB-Stick
Oops, da hat doch glatt jemand einen Stick liegengelassen. Na, wollen wir mal schnell schauen, wem er gehört - also am besten eben an den Rechner gesteckt ... <br /><br />Dieser alte Bauerntrick ist immer noch einer der erfolgreichsten Angriffe auf Unternehmen. Auch wenn Microsoft beispielsweise das automatische Starten von Anwendungen auf USB-Sticks unter Windows unterbindet, helfen kreative, Neugier weckende Dateinamen enorm, unvorsichtige Mitarbeiter zum Klicken zu bewegen. Unternehmen bleibt nur, USB-Ports komplett zu sperren oder - sinnvoller - ihre Mitarbeiter entsprechend zu schulen. - Perfekt gefälschte Phishing-Mails
Den meisten Phishing-Mails sieht man ihre Herkunft: Schlecht formatiert, grausame Ausdrucksweise, billiges Zum-Klicken-Auffordern. Dennoch gibt es immer wieder Exemplare, die vortäuschen, von der Bank, der Krankenkasse, der Versicherung oder der Personalabteilung zu kommen und die ängstliche Mitarbeiter schnell am Haken haben. Dann genügt ein Klick, un das gesamte Unternehmensnetz ist infiziert. Dabei ist es gar nicht so schwer, Phishing-Mails zu erkennen - und seien sie noch so gut gemacht. Sobald das Ziel der Mail ist, einen Link zu klicken, persönliche Daten zu überprüfen oder einzugeben, sollte die Mail ganz schnell in Ablage P landen. - Mails von "Freunden" und "Kollegen"
Im Gegensatz zum generischen Phishing richtet sich Spear Phishing ganz gezielt gegen Einzelne oder eine kleine Gruppe von Menschen. Beliebt unter Angreifern ist es, in sozialen Netzen nach Opfern Ausschau zu halten, sie nach ihren Hobbys und Tätigkeiten auszuspionieren. Anschließend werden maßgefertigte Phishing-Mails entworfen und versendet - hier stimmt die Anrede, der Name der adressierten Firma und häufig auch der Anhang, der als Brief eines Arbeitskollegen oder flüchtigen Bekannten getarnt wird. Der Erfolg dieser Aktion ist natürlich höher als beim generischen Phishing. Was hilft? Konsequentes Misstrauen, persönliches Nachfragen beim vermeintlichen Absender und das Ignorieren aller E-Mail-Anhänge. - Telefonanrufe
Talentierte Angreifer schaffen es spielend, per Telefon persönliche Informationen aus einem Menschen herauszukitzeln, ohne dass dieser es überhaupt mitbekommt. Wer also von der "IT-Abteilung" angerufen wird, um ein Passwort zu verifizieren oder von der "Versicherung", seine Adresse zu bestätigen, sollte vor allem eins tun: Sich die Nummer aufschreiben und den sofortigen Rückruf anbieten. Alternativ den Anrufer über die Dinge ausfragen, die der bereits wissen müsste, wenn er der ist, für den er sich ausgibt. Grundsätzlich gilt: Sensible Informationen, vor allem Passwörter, niemals per Telefon weitergeben! - Physische Sicherheit des Büros
Ziehen Sie die typische Kleidung einer Firma an, tun Sie so, als gehörten Sie dazu und schmuggeln Sie sich in die Mitarbeitergruppe, die gerade aus der Raucherpause zurück ins Innere des Unternehmensgebäudes bummelt. Zack, schon sind Sie drin!<br /><br /> Da kann die Technik noch so sicher sein, gegen solches unbefugtes Eindringen sind vor allem große Unternehmen oft schlecht gefeilt, weil dort eben nicht jeder jeden kennt. Bläuen Sie Ihren (Empfangs-)Mitarbeitern ein, dass sie nach gefälschten Mitarbeiterausweisen Ausschau halten und sich gerade unbekannte Personen genauer ansehen. - Der freundliche Supportmitarbeiter
Ihn hatten wir schon beim Punkt "Telefonanrufe". Der Fake-Anruf aus dem IT-Support oder direkt vom Hersteller, weil das letzte Update des Betriebssystems noch final verifiziert werden muss, etwas mit der Systemkonfiguration nicht stimmt oder der bestellte neue Rechner gleich kommt und vorher noch etwas am alten System zu tun ist. Sobald jemand den Fremdzugriff (Remote Access) auf Ihren Computer haben möchte, sollte er einen guten Grund haben. Und nein, Microsoft ruft niemanden persönlich an, um etwas bei Windows zu korrigieren. Sagen Sie das den Mitarbeitern!