Social-Engineering-Angriffe und -Prävention

Social-Engineering-Angriffe und -Prävention

 

Was ist Social-Engineering?

Social Engineering (SE) steht für ein breites Spektrum böswilliger Aktivitäten, die durch menschliche Interaktionen ausgeführt werden. SE verwendet psychologische Manipulation, um Benutzer dazu zu bringen, Sicherheitsfehler zu machen oder vertrauliche Informationen preiszugeben.

Social-Engineering-Angriffe erfolgen in einem oder mehreren Schritten. Ein Täter forscht zunächst das beabsichtigte Opfer aus, um notwendige Hintergrundinformationen zu sammeln, wie z. B. potenzielle Einfallstore und schwache Sicherheitsprotokolle, die für die Fortsetzung des Angriffs erforderlich sind. Anschließend versucht der Angreifer, das Vertrauen des Opfers zu gewinnen und Anreize für nachfolgende Aktionen zu schaffen, die gegen Sicherheitspraktiken verstoßen, wie z. B. die Preisgabe vertraulicher Informationen oder die Gewährung des Zugriffs auf kritische Ressourcen.

Was Social Engineering besonders gefährlich macht, ist, dass es eher auf menschliches Versagen als auf Schwachstellen in Software und Betriebssystemen setzt. Fehler, die von legitimen Benutzern gemacht werden, sind viel weniger vorhersehbar, wodurch sie schwerer zu identifizieren und zu vereiteln sind als ein Malware-basiertes Eindringen.


Social-Engineering-Angriffstechniken

Social-Engineering-Angriffe gibt es in vielen verschiedenen Formen. Sie können überall dort ausgeführt werden, wo menschliche Interaktion involviert ist. Im Folgenden sind die fünf häufigsten Formen von digitalen Social-Engineering-Angriffen aufgeführt.

Ködern

Wie der Name schon sagt, verwenden Köderangriffe ein falsches Versprechen, um die Gier oder Neugier eines Opfers zu wecken. Sie locken Benutzer in eine Falle: Sie stehlen die persönlichen Daten ihrer Opfer oder infizieren ihre Systeme mit Malware.

Die hinterlistigste Form des Köderns verwendet physische Medien, um Malware zu verbreiten. Beispielsweise legen Angreifer den Köder – typischerweise mit Malware infizierte Flash-Laufwerke – in auffälligen Bereichen ab, wo potenzielle Opfer sie sicher sehen können (z. B. Badezimmer, Aufzüge, der Parkplatz eines Zielunternehmens). Der Köder hat ein authentisches Aussehen, wie ein Etikett, das ihn z.B. als Gehaltsliste des Unternehmens präsentiert.

Opfer nehmen den Köder aus Neugier auf und stecken ihn in einen Arbeits- oder Heimcomputer, was zu einer automatischen Malware-Infektion des Systems führt.

Köderbetrug muss nicht unbedingt in der physischen Welt durchgeführt werden. Online-Köder bestehen aus verlockenden Anzeigen, die zu bösartigen Websites führen oder Benutzer dazu anregen, eine mit Malware infizierte Anwendung herunterzuladen.


Scareware

Bei Scareware werden Opfer mit Fehlalarmen und fiktiven Bedrohungen bombardiert. Benutzer werden getäuscht und glauben, ihr System sei mit Malware infiziert, was sie dazu veranlasst, Software zu installieren, die keinen wirklichen Nutzen hat (außer für den Täter) oder selbst Malware ist. Scareware wird auch als Deception Software, Rogue Scanner Software und Fraudware bezeichnet.

Ein gängiges Beispiel für Scareware sind legitim aussehende Popup-Banner, die in Ihrem Browser erscheinen, während Sie im Internet surfen, und Texte wie „Ihr Computer ist möglicherweise mit schädlichen Spyware-Programmen infiziert“ anzeigen. Man bietet entweder an, das Tool (häufig mit Malware infiziert) für Sie zu installieren, oder leitet Sie zu einer bösartigen Website weiter, auf der Ihr Computer infiziert wird.

Scareware wird auch über Spam-E-Mails verbreitet, die falsche Warnungen verteilen oder Benutzern Angebote machen, wertlose/schädliche Dienste zu kaufen.


Vorwand ("Pretexting")

Hier erhält ein Angreifer Informationen durch eine Reihe von ausgeklügelten Lügen. Der Betrug wird oft von einem Täter initiiert, der vorgibt, vertrauliche Informationen von einem Opfer zu benötigen, um eine kritische Aufgabe auszuführen.

Der Angreifer beginnt in der Regel damit, Vertrauen zu seinem Opfer aufzubauen, indem er sich als Mitarbeiter, Polizei, Bank- und Steuerbeamte oder andere Personen mit Auskunftsrecht ausgibt. Der Pretexter stellt Fragen, die angeblich erforderlich sind, um die Identität des Opfers zu bestätigen, wodurch er wichtige persönliche Daten sammelt.

Mit diesem Betrug werden alle möglichen relevanten Informationen und Aufzeichnungen gesammelt, wie z. B. Sozialversicherungsnummern, persönliche Adressen und Telefonnummern, Telefonaufzeichnungen, Urlaubsdaten von Mitarbeitern, Bankunterlagen und sogar Sicherheitsinformationen in Bezug auf eine physische Anlage.

Phishing

Eine der beliebtesten Arten von Social-Engineering-Angriffen ist das Phishing. Es findet über E-Mail- und Textnachrichtenkampagnen statt, die darauf abzielen, bei den Opfern ein Gefühl der Dringlichkeit, Neugier oder Angst zu erzeugen. Es bringt sie dann dazu, vertrauliche Informationen preiszugeben, auf Links zu bösartigen Websites zu klicken oder Anhänge zu öffnen, die Malware enthalten.

Ein Beispiel ist eine E-Mail an den Benutzer eines Onlinedienstes, die ihn auf einen Richtlinienverstoß aufmerksam macht, der sofortige Maßnahmen erfordert, z. B. eine erforderliche Kennwortänderung. Sie enthält einen Link zu einer illegitimen Website – die im Aussehen fast identisch mit einer legitimen Version ist – und fordert den ahnungslosen Benutzer auf, seine aktuellen Anmeldeinformationen und ein neues Passwort einzugeben. Nach dem Absenden des Formulars werden die Informationen an den Angreifer gesendet.

Da in Phishing-Kampagnen identische oder nahezu identische Nachrichten an alle Benutzer gesendet werden, ist es für Mailserver, die Zugriff auf Plattformen zum Teilen von Bedrohungen haben, viel einfacher, sie zu erkennen und zu blockieren.

Speerfischen  ("Spear Phishing")

Dies ist eine gezieltere Version des Phishing-Betrugs, bei der ein Angreifer bestimmte Personen oder Unternehmen auswählt. Hier werden Nachrichten an betroffenen Personen besonders angepasst und individualisiert, um den Angriff weniger auffällig zu machen. Spear-Phishing erfordert viel mehr Aufwand seitens des Täters und kann Wochen und Monate dauern. Solche Angriffe sind viel schwerer zu erkennen und haben bessere Erfolgsraten, wenn sie geschickt ausgeführt werden.

Ein Spear-Phishing-Szenario kann einen Angreifer darstellen, der sich als IT-Berater einer Organisation ausgibt und eine E-Mail an einen oder mehrere Mitarbeiter sendet. Sie ist genau so formuliert und unterschrieben, wie es der Berater normalerweise tut, und täuscht dadurch den Empfängern vor, es handele sich um eine authentische Nachricht. Die Nachricht fordert die Empfänger auf, ihr Passwort zu ändern, und stellt ihnen einen Link zur Verfügung, der sie auf eine bösartige Seite umleitet, auf der der Angreifer nun ihre Anmeldeinformationen erfasst.

Social-Engineering-Prävention

Social Engineering-Betrüger manipulieren menschliche Gefühle wie Neugier oder Angst, um Pläne auszuführen und Opfer in ihre Fallen zu locken. Seien Sie daher vorsichtig, wenn Sie sich durch eine E-Mail alarmiert fühlen, von einem Angebot auf einer Website angezogen werden oder wenn Sie auf herumliegende digitale Medien stoßen. Wachsamkeit kann Ihnen helfen, sich vor den meisten Social-Engineering-Angriffen zu schützen, die der digitalen Welt stattfinden.

Darüber hinaus können die folgenden Tipps dazu beitragen, Ihre Wachsamkeit in Bezug auf Social-Engineering-Hacks zu verbessern.

  • Öffnen Sie keine E-Mails und Anhänge aus verdächtigen Quellen: Wenn Sie den betreffenden Absender nicht kennen, müssen Sie eine E-Mail nicht beantworten. Selbst wenn Sie ihn kennen und misstrauisch gegenüber seiner Nachricht sind, überprüfen und bestätigen Sie die Nachrichten durch andere Quellen, z. B. per Telefon oder direkt von der Website eines Dienstanbieters. Denken Sie daran, dass E-Mail-Adressen ständig gefälscht werden.Selbst eine E-Mail, die angeblich von einer vertrauenswürdigen Quelle stammt, kann tatsächlich von einem Angreifer initiiert worden sein.
  • Verwenden Sie Multi-Faktor-Authentifizierung (MFA):  Eine der wertvollsten Informationen, nach der Angreifer suchen, sind Anmeldeinformationen von Benutzern. Die Verwendung der mehrstufigen Authentifizierung von MFA trägt dazu bei, den Schutz Ihres Kontos im Falle einer Systemkompromittierung sicherzustellen. iSecurity MFA ist eine einfach zu implementierende Lösung, die die Sicherheit für Ihre Anwendungen erhöhen kann.
  • Seien Sie vorsichtig bei verlockenden Angeboten  – Wenn ein Angebot zu verlockend klingt, überlegen Sie es sich zweimal, bevor Sie es als Tatsache akzeptieren. Wenn Sie das Thema googeln, können Sie schnell feststellen, ob Sie es mit einem legitimen Angebot oder einer Falle zu tun haben.
  • Halten Sie Ihre Antiviren-/Antimalware- Software auf dem neuesten Stand: Stellen Sie sicher, dass automatische Updates aktiviert sind, oder machen Sie es sich zur Gewohnheit, jeden Tag als Erstes die neuesten Signaturen herunterzuladen. Überprüfen Sie regelmäßig, ob die Updates angewendet wurden, und scannen Sie Ihr System auf mögliche Infektionen.

 

Fragen? Rufen Sie mich jederzeit an!
Ich bin zu erreichen unter +49 9563 7406-31 oder per E-Mail: robert.engel(at)razlee.de

 

 
Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind essenziell (z.B. für das Funktionieren dieser Website), während andere uns helfen unser Onlineangebot zu verbessern und wirtschaftlich zu betreiben. Sie können dies akzeptieren oder auf die Schaltfläche "Alles ablehnen" klicken, in diesem Fall stehen Ihnen möglicherweise nicht mehr alle Funktionen dieser Homepage zur Verfügung. Diese Seite verwendet Google Fonts, mit der Nutzung dieser Seite stimmen Sie diesem Dienst zu. Nähere Hinweise erhalten Sie in unserer Datenschutzerklärung.
Cookies und Google Fonts akzeptieren Alles Ablehnen
Zur Datenschutzerklärung