Social Engineering: Relevante Angriffstechniken im Überblick

Fachbeitrag

Social Engineering ist mittlerweile eine der größten Formen von Sicherheitsbedrohungen für Unternehmen geworden. Die Angreifer nutzen dabei gezielt bestimmte menschliche Schwächen wie Unsicherheit, Eitelkeit oder Gier aus und verwenden Informationen, die sie z.B. durch das Ausspionieren sozialer Medien gewonnen haben. Dieser Beitrag gibt einen Überblick über die verschiedenen Angriffstechniken und zeigt bestimmte Szenarien für Social Engineering Angriffe im Unternehmen.

Pretexting – Schaffen eines Vorwands

Bei dieser Form von Social Engineering konzentrieren sich die Angreifer darauf einen guten Vorwand bzw. ein erfundenes Szenario zu schaffen, das sie nutzen können, um Zugang zu sensiblen Daten oder geschützten Systemen zu erlangen. Dieses Szenario besteht aus glaubwürdigen aber erfundenen Geschichten zur persönlichen oder geschäftlichen Verbindung zum Unternehmen. Beispielsweise gibt sich ein Angreifer als Mitarbeiter der IT-Abteilung aus, um sein Opfer z.B. dazu zu verleiten, Login-Daten preiszugeben.

Tailgating – der Angreifer direkt vor der Tür

Social-Engineering-Methoden umfassen nicht nur Angriffe mit technischen Hilfsmitteln, sondern finden auch in der realen Welt statt. Bei Tailgating liegt der Fokus des Angreifers darauf, unter allen Umständen physischen Zugang zu einem Firmengelände zu erhalten. Ein Beispiel für eine Tailgating Attacke ist, dass sich der Angreifer als Fahrer einer Lieferfirma ausgibt und darauf wartet Zutritt zum Firmengelände zu erhalten, durch jemanden der autorisiert ist. Auch können Angreifer vortäuschen, die Zugangskarte vergessen zu haben. Dies funktioniert allerdings nicht in allen Unternehmen, da nicht alle eine Zutrittskarte anfordern. In mittelständischen Unternehmen können Angreifer z.B. eine Unterhaltung mit Mitarbeitern beginnen und dieses als Zeichen für Vertrautheit nutzen, um erfolgreich am Empfang vorbei zu kommen.

Phishing-Angriffe: das betrügerische Angeln von sensiblen Daten

Beim Phishing geben sich die Angreifer als vertrauenswürdige Quelle aus und nehmen betrügerische Kommunikation mit ihrem Opfer auf, um es dazu zu verleiten, Malware zu installieren oder persönliche finanzielle oder geschäftliche Informationen herauszugeben. Häufig wird dazu in einer E-Mail ein Link verschickt, welcher scheinbar auf eine vertraute Webseite verweist. In Wirklichkeit führt dieser Link aber auf eine täuschend echte Webseite. Gibt der Nutzer dort z.B. seine Benutzerdaten ein, so „fischt“ der Angreifer die Daten ab. Typische Hinweise auf eine Phishing-Attacke sind meist eine unpersönliche Anrede, zeitlicher Druck oder das Abfragen vertraulicher Daten. Auch sind manchmal Rechtschreibfehler enthalten.

Spear-Phishing

Das Spear-Phishing ist eine Sonderform des Phishings und zielt auf einen individuellen Angriff eines spezifischen Unternehmens oder einer bestimmten Person ab. Die Empfänger werden hierbei sorgfältig ausgewählt und erhalten z.B. E-Mails, die persönlich auf sie zugeschnitten sind, um so Vertrauen zu gewinnen. Dadurch, dass die Angreifer personalisierte Informationen verwenden, ist die Wahrscheinlichkeit sehr hoch, dass die Opfer schnell Zugang zu Systemen gewähren oder sensible Informationen wie Finanzdaten oder Geschäftsgeheimnisse preisgeben.

Der Chef-Trick

Schon die Überschrift sagt aus, welche betrügerische Masche angewendet wird. Die Angreifer geben sich bspw. in einer gefälschten E-Mail oder in einem Telefonat als Geschäftsführer oder Vorstandsmitglied aus und fordern sofortige Mitteilung vertraulicher Daten. Hier wird besonders auf das typische Merkmal von Social Engineering gesetzt – „unter Druck setzen“. Diese Art von Angriff kann sehr schnell gelingen, da man zunächst keine Zweifel hegt – denn es ist ja der eigene Chef. Die Angreifer erkunden dabei schon lange im Vorfeld das Unternehmen und den Vorgesetzten aus, um täuschend echt zu wirken.

Baiting – der Köderangriff

Beim Baiting wird auf die Neugier oder Gier des Opfers gesetzt. Angreifer verwenden physische oder digitale Gegenstände hinter denen sich zumeist Malware verbirgt. Solche Gegenstände sind beispielsweise Download-Links, die ein kostenloses Programm oder einen kostenlosen Musikdownload versprechen. Ein beliebter Köder ist z.B. auch ein USB-Stick mit scheinbar interessanten Daten. Hierbei wird dem Opfer jedoch etwas versprochen, was einen wesentlichen Unterschied zum Phishing-Angriff darstellt.

Quid pro quo – ein Geben und Nehmen

Quid pro quo-Angriffe versprechen einen Vorteil gegen Informationen. Der Vorteil besteht meist aus einer Form von Service, wogegen Baiting in Form von Gegenständen erfolgt. Ein Beispiel für einen solchen Angriff ist z.B. die Teilnahme an einer „offiziellen Telefonumfrage“ wofür im Gegenzug ein Geschenk oder Preisgeld angeboten wird. Ein typisches Szenario im Unternehmen wäre die Imitierung eines Angreifers als ein IT-Servicemitarbeiter, der seine IT-Unterstützung anbietet und eine schnelle Lösung verspricht, wenn der Mitarbeiter z.B. das Antivirenprogramm deaktiviert, weil er davon ausgeht es handle sich um ein Software-Update. Oft wird auch zusätzlich die Spear-Phishing-Methode verwendet, um noch vertrauensvoller zu wirken.

Wie gegen Social-Engineering schützen?

Eine aktuelle Studie von Proofprint belegt, dass jährlich die Häufigkeit aller Arten von Social-Engineering-Angriffen ansteigt. Daher sollte man für die „größte Schwachstelle“ – den Menschen, bspw. durch Schulungen, Sicherheitsbewusstsein im Bereich Cybersecurity schaffen. In einem vorherigen Beitrag haben wir bereits einige Schutzmaßnahmen gegen Social-Engineering für Sie aufgezeigt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit Beratung

2 Kommentare zu diesem Beitrag

  1. Dieser Beitrag gefällt mir besonders gut wegen seiner Verständlichkeit und der knappen Zusammenfassung einiger wesentlicher – hier eher menschlicher – Angriffvektoren auf Firmen-IT bzw. Geheimnisse oder letzten Endes Geld in Form von Bitcoins oder „Fremdüberweisungen“.

    Obwohl das Internet letztlich auch nichts anderes als ein Abbild unserer menschlicher Gesellschaften ist, gehen leider immer noch viele User sehr arglos mit dem WWW um. Dort wo Licht ist, wird es auch immer Schatten geben. Es bleibt die klassische Spam-Weisheit: wenn du 100 Millionen Spam-/Geldwechsel-Mails versendest, wirst du genug Leute finden, die z. B. Geld an eine Western U…. Bank bzw. einem verschollenem Onkel in den USA, Afrika oder anderswo ins Ausland versenden. Traurig, aber so fehlbar sind wir Menschen halt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.