Definition: Was ist Social-Engineering?
Social-Engineering dient als Oberbegriff für sämtliche Methoden, die in erster Linie auf einer persönlichen, manipulativen Ebene stattfinden und die Schwachstelle Mensch ausnutzen. Hacker haben immer dann Erfolg, wenn sich Zielpersonen hinters Licht führen lassen, beispielsweise weil sie Phishing-Mails (Fake-Mails) nicht erkennen oder einem Anruf auf den Leim gehen, bei dem sich die Kriminellen als jemand anderes ausgeben und so nicht selten wertvolle Informationen erbeuten.
Social-Engineering-Angriffe sind für ungeschulte Mitarbeitende schwer zu erkennen.
Was kann man tun, um sich zu schützen?
Der erste Schritt ist immer: Bewusstsein (Awareness) für die Gefahren und Methoden zu schaffen. Nur wer die “Tools” der Angreifer erkennt, kann misstrauisch werden und Sachverhalte hinterfragen, bevor er oder sie die falsche Entscheidung trifft. Dieses Wissen kann in speziellen Schulungen und Awareness Trainings vermittelt werden. Hinzu kommt ein hohes technisches Schutzniveau von Accounts, um diese vor der Übernahme durch Hacker zu schützen. Gehackte E-Mail-Accounts, Social-Media-Profile und VoiP-Nummern bieten Angreifern die Voraussetzung, sich als jemand anderes auszugeben und damit Vertrauen bei ihrer Zielperson zu generieren.
- IT-Security-Basics umsetzen
- Umsetzung der TOM gemäß DSGVO
- Sichere Passwortverwaltung
- VoIP-Security
- Richtlinie für Arbeit im Home-Office
- IT-Sicherheitskonzept
- Awareness Trainings
- Social-Engineering-Pentest
- keine Herausgabe persönlicher Informationen in sozialen Netzwerken
Beispiele: Social-Engineering-Methoden im Überblick
Zwar gibt es verschiedene Unterformen von Social-Engineering, doch in der Praxis verbinden Hacker oft verschiedene Methoden miteinander. Teilweise dienen die Social-Engineering-Angriffe auch der Vorbereitung rein technischer Cyberangriffe, beispielsweise nachdem Zugangsdaten oder Teile davon erbeutet wurden.
Phising
Phishing ist der Klassiker unter dem Social-Engineering-Methoden. Über Fake-Mails, Fake-Webseiten oder Fake-Kurznachrichten versuchen Angreifer sensible Daten, häufig Zugangsdaten oder Kreditkartendaten zu “fischen”. Abwandlungen dieser Methodik sind Spear-Phishing und Waterholing.
Quid-pro-Quo
Eine Auskunft für eine Gegenleistung: So einfach lässt sich der Quid-pro-Quo Trick beschreiben. Besonders heikel wird es, wenn das Quid-pro-Quo mit der Übernahme von VoiP- oder anderen Accounts kombiniert wird - also sich Angreifer beispielsweise als Mitarbeiter ausgeben, der Zugangsdaten vergessen hat und um einen Gefallen bittet.
Vishing
“Vishing” leitet sich von Voice-Phishing ab. Statt auf Fake-Mails setzen Angreifer dabei auch Fake-Anrufe. In der Regel rufen “Hacker” dabei einfach unzählige Rufnummern an, um persönliche Daten zu “fischen”. Häufig tarnen sich Angreifer als Bankmitarbeiter und fragen unter irgendeinem Vorwand gezielt nach Konto- oder Kreditkartendaten.
Pretexting
Das Pretexting ähnelt dem Phishing oder Vishing. Über fingierte Nachrichten und / oder Anrufe (z. B. als Polizei, Bank oder Kollege getarnt) , versuchen Kriminelle ihre Zielpersonen zur Herausgabe von Informationen zu verleiten - entweder die gewünschte Zielinformation oder eine solche, mit der weitere Angriffe geplant werden können. Auch hier wird es schwer, diese Methode zu entlarven, wenn die echten Accounts der Personen für die Kontaktaufnahme verwendet werden. Nicht selten erschaffen Hacker auch über Monate hinweg ein riesiges Lügenkonstrukt und unterhalten "echte" Geschäftsbeziehungen zum Zielunternehmen.
Baiting
Beim Baiting verwenden Angreifer einen Köder, meist physischer Natur (z. B. USB-Stick), um Schadsoftware (Malware) auf einem Zielrechner zu installieren. Besonders perfide wird es, wenn versprochen wird, dass die Datenträger sehr interessante Informationen enthalten. Auch Werbegeschenke von Fake-Firmen können Schadprogramme und Viren enthalten. Das Baiting (ködern) wird also häufig mit dem Aufbau von Fake-Konstrukten, Vishing und Co kombiniert.
Tailgating
Beim Tailgating versuchen die Angreifer noch irgendwo mit “durchzuschlüpfen”. Dafür tarnen sich diese als Lieferanten, neue Mitarbeitende oder auf eine andere Art und Weise und verschaffen sich so Zutritt zu sensiblen Unternehmensbereichen, die sonst nur für autorisiertes Personal zugänglich sind. Hier könnten Angreifer dann u.a. Keylogger installieren und Schriftverkehr mitlesen. Schutz bietet eine effiziente Zutrittskontrolle auf dem gesamten Firmengelände sowie ein gewisses Maß an Skepsis gegenüber Unbekannten.
CEO-Fraud
Als Mitglied der Geschäftsleitung getarnt versenden Angreifer beim CEO-Fraud (Chef-Betrug) Aufforderungen, denen Mitarbeitende nachkommen sollen. Das kann zum Beispiel die Überweisung eines größeren Geldbetrags an eine ausländische (Schein)firma sein. Die Masche ähnelt in gewisser Weise dem Phishing, Vishing und Pretexting, nutzt dabei aber zusätzlich den “Gehorsam” gegenüber Vorgesetzten aus.
Besonders hohes Risiko im Home-Office
Immer mehr Unternehmen machen sich die Vorteile verteilter Arbeit und entsprechender Cloud-Services zunutze. Doch im Home-Office und unterwegs ist das Risiko besonders hoch, Opfer von Fake-Calls und Ähnlichem zu werden, da der persönliche Kontakt zur Absicherung fehlt und ohnehin viel mehr über Anrufe und Nachrichten abgewickelt wird. Auch der Zugang zu Heimarbeitsplätzen ist weniger gut überwacht als der zu unternehmensinternen Bereichen. Implementieren Sie deshalb zwingend klare Sicherheitsrichtlinien. Wichtig: In Unternehmen, in denen personenbezogene Daten verarbeitet werden, gelten auch im Home-Office die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO.
Pentest: Ist Ihr Unternehmen gut geschützt?
Mit einem Social-Engineering-Penetrationstest ermitteln wir, ob Angreifer leichtes Spiel haben. Schwachstellen werden zuverlässig aufgedeckt und können anschließend geschlossen werden.
Rückruf anfordern
Sie sind noch unschlüssig, ob wir Ihnen wirklich weiterhelfen können? Fordern Sie einen unverbindlichen Rückruf an und lassen Sie uns gemeinsam über die Möglichkeiten sprechen. Gerne stehen wir Ihnen zu sämtlichen Fragen Rede und Antwort.
Kontakt
Kontaktieren Sie uns vollkommen unverbindlich. Wenn Sie uns anrufen, sprechen Sie zuerst mit unseren TelefonistInnen, die Ihnen gerne erste Auskünfte erteilen. Gemeinsam legen Sie dann einen Termin mit unseren Spezialistinnen und Spezialisten fest, um Ihre Wünsche zu konkretisieren. Kosten entstehen Ihnen auch dann noch keine, sondern erst, wenn Sie uns nachweislich und schriftlich einen Auftrag erteilt haben. Transparent und ehrlich eben.
Zentrale:
protect-IT-solutions
c/o Bindig Media GmbH
Nonnenstraße 17
04229 Leipzig
Unsere IT-ExpertInnen sind in der gesamten Bundesrepublik Deutschland, in Österreich und in der Schweiz für Sie da.
Gratis Hotline: 0800 589 02 49
E-Mail: anfrage@protect-it-solutions.de