Social Engineering

Der Mensch als Sicherheitsrisiko

05.07.2021 | Wenn es um Cybersicherheit geht, denken die meisten von uns an Schadsoftware oder Hackerangriffe auf Datennetze mit technologischen Mängeln. Kriminelle Täter:innen nutzen auch menschliche Schwächen aus, um Unternehmen und Netzwerke zu infiltrieren. Diese Taktik wird als Social Engineering bezeichnet: Menschen werden geschickt dazu verleitet, Informationen offenzulegen oder Zugang zu Datennetzen zu gewähren.

In Unternehmen können sich Angreifer:innen beispielsweise als IT-Support-Mitarbeiter:innen ausgeben und so Kennwörter und Benutzernamen erhalten. Viele Personen sind überraschenderweise bereit, Informationen bereitzustellen, insbesondere wenn das Individuum, mit dem Sie sprechen, echt zu sein scheint.

Was ist Social Engineering und woher kommt der Begriff?

Kurz gesagt: Beim Social Engineering werden Menschen dazu verleitet, Zugang zu gewähren oder Daten und Informationen offenzulegen.

Social Engineering ist somit der zwischenmenschliche Einfluss auf eine Person. Der Täter oder die Täterin versucht, das Vertrauen des Opfers zu gewinnen und beispielsweise zu überzeugen, vertrauliche Informationen preiszugeben oder Kreditkarteninformationen und Passwörter offenzulegen. Social Engineering wird nicht nur im Internet verwendet, sondern ist eine alte Betrugsmasche, die seit vielen Jahrzehnten eingesetzt wird. Eine der bekanntesten Betrugsmethoden ist der Enkel-Trick, bei dem Betrüger:innen einen Anruf nutzen, um ältere Menschen davon zu überzeugen, dass sie Verwandte sind und dringend Geld benötigen.

Eine frühe Form des Social Engineering wurde in den 1980er-Jahren durch Phreaking praktiziert. Phreaker riefen Telefongesellschaften an, gaben sich als Systemadministratoren aus und fragten nach neuen Passwörtern, mit denen sie schließlich kostenlose DFÜ-Verbindungen herstellten. Trotz der scheinbaren Banalität führt diese Methode immer wieder zu spektakulären Diebstählen von Zugangsdaten und anderen wichtigen Informationen.

Wie funktioniert Social Engineering?

Wie Social Engineering abläuft, kann leicht erklärt werden. Die Idee des Social Engineering scheint trivial, aber in der Praxis erweist sie sich als eine der effektivsten Methoden der Infiltration. Die Gründe dafür sind sowohl positive als auch negative Charaktereigenschaften, die fast jeder Mensch hat. In den meisten Kulturen wird es als sozial wünschenswert angesehen, gut und nützlich zu sein. Vielen Menschen fällt es schwer, im Notfall eine Anfrage abzulehnen. Andere zeigen Kooperationsbereitschaft und befürchten die falsche Reaktion in unbekannten Situationen.
Diese Manipulationsversuche konzentrieren sich jedoch nicht immer auf die guten Eigenschaften einer Person. Stolz auf die eigene Arbeit oder den Unternehmenserfolg können Mitarbeiter:innen dazu ermutigen, direkt vor dem Täter oder der Täterin mit vertraulichen Informationen zu prahlen. Dies kann beispielsweise in einem vorgetäuschten Interview mit Kund:innen oder während eines Vorstellungsgesprächs erfolgen. Der Wunsch, Konflikte zu vermeiden, führt häufig dazu, dass sicherheitskritische Maßnahmen mit Zugangsdaten in einem Netzwerk durchgeführt werden.

Auf der anderen Seite ist das Spielen der Angst bei Angestellten eine weitere Vorgehensweise für kriminelles Handeln. Wenn Angreifende mit relevanten Zugangsdaten versorgt werden wollen, schüchtern sie Mitarbeiter:innen mit wenig technologischem Verständnis oft ein. Social Hacker nutzen dafür ihre Angst vor dem Vorgesetzten, wobei ein gefälschter Zahlungsauftrag, der von einer Führungsposition per E-Mail an den Mitarbeiter oder die Mitarbeiterin gesendet wird, eine beliebte Betrugsmethode darstellt.

Um von ihren Opfer Zugangsdaten zu einem Netzwerk zu ergaunern, geben sich Betrüger oder Betrügerinnen beispielsweise als Kolleg:innen, vorgesetzte Person oder Arbeitssuchende aus. Darüber hinaus simulieren Angreifende des Öfteren die Rolle einer angestellten Person, der die Kundenzufriedenheit aufzeichnet oder im Auftrag einer Forschungseinrichtung eine Branchenumfrage durchführt.

Sogenannte Social Engineers beschränken sich nicht auf einmalige Kontakte oder eine Schadsoftware. Sie können das Opfer auch für einen bestimmten Zeitraum um harmlose Gefälligkeiten bitten oder es durch Small Talk unterstützen. In diesem Fall erfolgt der Hack mit einer Schadsoftware erst dann, wenn ein bestimmtes Vertrauensniveau erreicht ist. Einem solchen Angriff gehen umfangreiche Forschungen voraus. Neben der Website des Unternehmens stehen soziale Medien wie Facebook oder LinkedIn als Informationsquellen zur Verfügung. Dumpster Diving geht noch weiter: Kriminelle durchsuchen den Mülleimer des Opfers, um beiläufig weggeworfene Geschäftsdokumente zu stehlen.

Social Engineering ist per E-Mail oder Telefon weit verbreitet, da ein solcher Angriff mit geringem technischem Aufwand automatisiert werden kann. Das Risiko, versehentlich Unternehmensgeheimnisse preiszugeben oder auf Daten vom Netzwerk offenzulegen, besteht jedoch auch im publiken Verkehr sowie in Cafés, Bars oder Restaurants. Insbesondere Mitarbeiter:innen, die geschäftliche Anrufe auf ihren Mobiltelefonen entgegennehmen, diskutieren häufig öffentlich und ohne Rücksicht auf Abhörmaßnahmen die internen Angelegenheiten des Unternehmens.

Welche Methoden gibt es?

Kriminelle verwenden eine Vielzahl von Social-Engineering-Techniken. Um für mehr Sicherheit zu sorgen, müssen wir verstehen, was Social Engineering ist und wie es arbeitet. Sobald Sie die Logik verstanden haben, ist es viel einfacher, einen Angriff abzuwehren.

Köder

Mit dieser Methodik legt ein Angreifer oder eine Angreiferin beispielshalber in Form eines USB-Laufwerks mit vorinstallierter Schadsoftware einen Köder ab. Sobald jemand aus Neugier das USB-Flash-Laufwerk mit dem System verbindet, wird es gehackt. Heute gibt es sogar USB-Flash-Laufwerke, die Computer ernsthaft beschädigen oder vollständig zerstören können.

Phishing

Dieser Angriff sendet gefälschte Textnachrichten oder E-Mails im Namen vertrauenswürdiger Quellen und bittet die Empfänger um Informationen. Sehr oft imitieren Kriminelle seriöse Banken und bitten Kunden und Kundinnen, ihre Transaktionen zu bestätigen. Die Opfer werden auf eine gefälschte Website geleitet, auf der ihre Anmeldeinformationen aufgezeichnet werden.

Voice Phishing

Dieser Angriff ist beim Social Engineering eine Unterform von Phishing.

Beim Voice Phishing werden Sie telefonisch nach Informationen gefragt. Kriminelle geben häufig vor, Mitarbeiter:in zu sein, z. B. IT-Helpdesk-Mitarbeiter:in, die Ihre Anmeldeinformationen benötigen. Smishing funktioniert genauso, verwendet jedoch SMS.

Social Media

Mit dieser Methode zielen Angreifer und Angreiferinnen auf die Kontakte ihres Opfers und hacken sich in ihr E-Mail-Konto oder in Social Media-Konten. Sie geben dann vor, Kontaktopfer zu sein. Manchmal behaupten sie, ihre Brieftasche sei gestohlen worden oder sie wurden ausgeraubt. Sie fragen dann, ob ein Freund schnell Geld auf dieses oder jenes Konto überweisen könnte. Alternativ senden sie einen Link, den die betroffenen Personen ansehen sollten. In diesem Fall wird eine Schadsoftware oder ein Keylogger-Trojaner installiert.

Update

Manchmal werden die Opfer aufgefordert, als Gegenleistung für (Anmelde-) Informationen etwas zu erhalten. Zum Beispiel wird Computerbenutzer:innen ein Update angeboten, um ein gefährliches Sicherheitsproblem zu beheben. In Wahrheit ist das Programm selbst eine Schadsoftware.

Vorwand

Bei dieser Herangehensweise versuchen Angreifer und Angreiferinnen mittels einer Rechtfertigung, das Vertrauen ihres Opfers zu gewinnen und es zur Offenlegung von Informationen zu überreden.

Eine solche Maßnahme könnte beispielsweise eine Umfrage im Internet sein, die harmlos erscheint, dann aber nach Bankdaten fragt. Einige Hacker:innen sind mutig genug, sich als Systemprüfer eines Unternehmens auszugeben, um den Mitarbeiter:innen wertvolle Zugangsdaten zu entlocken.

Pharming

Die meisten der vorigen beschriebenen Herangehensweisen sind recht simpel und fallen unter die Jagdkategorie (Hunting): Kriminelle steigen ein, stehlen alle Informationen, die sie bekommen können und gehen. Bei einem Pharming Angriff dagegen bauen sie Beziehungen zum Opfer auf, um über einen längeren Zeitraum mehr Informationen zu erhalten. Diese Praxis ist für einen Angreifer oder eine Angreiferin viel riskanter, da sich die Wahrscheinlichkeit erhöht, dass sie enttarnt werden. Wenn es ihnen jedoch gelingt, zu infiltrieren, ist die Informationsmenge erheblich höher als bei anderen Methoden.

Wie kann ich mich schützen?

Schulung, Aufklärung und Prävention sind die einzigen Möglichkeiten, um Menschen auf die ständige Bedrohung durch Social Engineering aufmerksam zu machen und für mehr Sicherheit zu sorgen. Je höher das Bewusstsein für die Bedrohungssituation ist, desto wahrscheinlicher ist es, dass der Angriff auffliegt.

Implementierungstipps:

Senden Sie Benachrichtigungen über laufende Betrugsversuche
Bieten Sie Schulungen zu Social Engineering an
Legen Sie klare Sicherheitsregeln und -richtlinien für die spezifische Implementierung fest (z. B. 3-Sekunden-Sicherheitsüberprüfung für E-Mails)
Führen Sie nicht deklarierte Simulationen aus

IT-technische Sicherheitsmaßnahmen müssen mit einer Sensibilisierung der Mitarbeiter und Mitarbeiterinnen einhergehen:

Strikte Zugriffskontrolle für Anwendungen und Systeme
Das erforderliche Passwort ändert sich in regelmäßigen Abständen
Patch und Patch-Management
Protokolldaten überwachen
Segmentierung des Netzwerks
Eine Web Application Firewall (WAF) bietet zusätzliche Anwendungssicherheit und Schutz vor Social Engineering

Sie sind Opfer eines Cyberangriffs geworden?

Ist ein Cyberangriff erfolgt, muss der wirtschaftliche Schaden schnellstmöglich unter Kontrolle gebracht werden.
Die Security-Spezialisten der LEITWERK AG stehen Ihnen zur Seite:

Kontakt aufnehmen

Ein Beispiel aus der Praxis

Social Engineering wird immer wieder von Kriminellen eingesetzt, um sich finanziell zu bereichern. Stellen Sie sich einmal Folgendes vor: Sie arbeiten in einem großen Unternehmen, in dem Sie nicht alle Vorgesetzten persönlich kennen. Der Austausch erfolgt meist gar nicht mit den obersten Vorgesetzten. Dann bekommen Sie eine Mail von einem der Vorgesetzten mit einer dringlichen Bitte. Viele würden sicherlich die gewünschte Bitte schnellstmöglich bearbeiten wollen. So etwas ist bei dem Luftfahrt-Zulieferer FACC tatsächlich vorgefallen. Diese Fälle sind keine Einzelfälle, doch in diesem ging es um eine extrem hohe Summe. So wurde eine Mitarbeiterin von einem ihrer angeblichen Vorgesetzten in äußerster Dringlichkeit und Geheimhaltung aufgefordert 50 Millionen vom Firmenkonto auf ein externes Konto zu überweisen. Es ging um eine angebliche Firmenübernahme im Ausland, diese Übernahme sollte diskret ablaufen, daher wurde sie zu Geheimhaltung aufgefordert. Die Mitarbeiterin tat was von ihr verlangt wurde. Die Mail stammte nicht von ihrem Vorgesetzten, sondern von Betrügern und somit verlor die Firma 50 Millionen Euro.

Vorsicht ist besser als Nachsicht

Das Beispiel der Mitarbeiterin zeigt, dass Mitarbeiter:innen eines Unternehmens dringend sensibilisiert werden sollten für solche Gefahren. Aufklärung auf Unternehmensseite sorgt für geringere Chancen und Möglichkeiten für einen Betrug. Zudem sollte immer ein 4-Augen-Prinzip gelten, heißt ein Mitarbeiter oder eine Mitarbeiterin hat nur dann Zugriff auf ein kritisches System, wenn eine weitere befugte Person eine Freigabe erteilt. Eine Social Engineering Attacke hat bei einer Multi-Faktor-Authentifizierung deutlich weniger Erfolg. Zudem empfiehlt es sich, gerade in größeren Unternehmen, auf Managed Services zurückzugreifen, um die Sicherheit Ihrer sensiblen Daten, durch Überwachung und Authentifizierung zu gewährleisten.

Social Engineering ist gerade deshalb so gefährlich, weil Angreifer:innen Lücken bzw. mögliche Schwächen in einem Unternehmen für ihre eigenen betrügerischen Zwecke nutzen. Wenn Sie jedoch ihre Strategie klar verstehen und einige grundlegende Vorsichtsmaßnahmen befolgen, können Sie ihre Betrugschancen erheblich verringern.

IT-Security hat viele Gesichter

Schützen Sie Ihre Unternehmensdaten mit einer umfassenden IT-Security-Strategie. Die Experten von LEITWERK beraten Sie hierzu gerne und zeigen Ihnen Möglichkeiten für Ihr Unternehmen auf – angefangen bei präventiven Maßnahmen bis hin zum Notfallplan für den Worst Case.

Sprechen Sie uns an, gerne beantworten wir Ihre Fragen und kümmern uns um Ihr Anliegen unter +49 (7805) 918-0 oder über das Kontaktformular.

Cookie	Lebensdauer	Beschreibung
wordpress_*	Sitzung	Wird von WordPress verwendet. Das Cookie speichert die WordPress Login-Daten und den Login-Status für den administrativen Bereich in verschlüsselter Form.
moove_gdpr_popup	1 Jahr	Wird vom WordPress Plugin "GDPR Cookie Compliance Plugin" verwendet. Das Cookie speichert Ihre Cookie-Einstellungen, die Sie für die Website getroffen haben.
ga-disable-*	31.12.2099	Mit Hilfe des Cookies wird das Tracking via Google Analytics deaktiviert.
CONSENT	20 Jahre und 1 Monat	Dieser Cookie wird von eingebetteten YouTube-Videos gesetzt. Es registriert anonyme statistische Daten, z.B. wie oft das Video angezeigt wird und welche Einstellungen für die Wiedergabe verwendet werden.
wp_woocommerce_session_*	bis 48 Stunden nach Artikelauswahl	Wird benötigt, um einem Website-Besucher die gewählten Artikel in der Vorauswahl zuzuordnen.
woocommerce_items_in_cart	Session	Wird benötigt um zu definieren, ob sich Produkte in der Vorauswahl befinden.
woocommerce_cart_hash	Session	Wird benötigt, um die Produkte in der Vorauswahl zu speichern.
tk_ai	Sitzung	Speichert eine zufällig generierte anonyme ID. Dieser Cookie wird nur innerhalb des Adminbereichs zum Verfolgen der allgemeinen Analysen verwendet.
wp-settings-*	1 Jahr	WordPress setzt auch ein paar wp-Einstellungen-{Zeit}-[UID] Cookies. Die Nummer am Ende ist Ihre individuelle Benutzer-ID aus der Benutzer-Datenbanktabelle. Diese wird verwendet, um Ihre Ansicht der Admin-Schnittstelle und möglicherweise auch der Haupt-Site-Schnittstelle anzupassen.

Cookie	Drittanbieter	Lebensdauer	Beschreibung
NID	google.com	6 Monate	Wird von Google verwendet. Das Cookie enthält eine eindeutige ID, über die Google Ihre bevorzugten Einstellungen und andere Informationen speichert, insbesondere Ihre bevorzugte Sprache (z. B. Deutsch), wie viele Suchergebnisse pro Seite angezeigt werden sollen und ob der Google SafeSearch-Filter aktiviert sein soll. Die ausführliche Datenschutzrichtlinie finden Sie hier: Daten erhoben werden.https://www.google.com/policies/privacy/
_gid	google-analytics.com	1 Tag	Wird von Google Analytics verwendet. Das Cookie registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren. Die ausführliche Datenschutzrichtlinie finden Sie hier: https://www.google.com/intl/en/analytics/privacyoverview.html
_ga	google-analytics.com	2 Jahre	Wird von Google Analytics verwendet. Mit Hilfe des Cookies lassen sich eindeutige Benutzer und Aktualisierungen der Datenvolumengrenze anonym unterscheiden. Die ausführliche Datenschutzrichtlinie finden Sie hier: https://www.google.com/intl/en/analytics/privacyoverview.html
_gat_UA-*	google-analytics.com	1 Minute	Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken. Die ausführliche Datenschutzrichtlinie finden Sie hier: https://www.google.com/intl/en/analytics/privacyoverview.html
PREF	google-analytics.com	8 Monate	Wird von YouTube verwendet. Das Cookie registriert eine eindeutige ID, die von Google verwendet wird, um Statistiken dazu, wie der Besucher YouTube-Videos auf verschiedenen Websites nutzt, zu behalten.
YSC	youtube.com	Session	Wird von YouTube verwendet. Das Cookie registriert eine eindeutige ID, um Statistiken der Videos von YouTube, die der Benutzer gesehen hat, zu behalten.
VISITOR_INFO1_LIVE	youtube.com	179 Tage	Wird von YouTube verwendet. Mit Hilfe des Cookies wird seitens YouTube versucht, die Benutzerbandbreite auf Seiten mit integrierten YouTube-Videos zu schätzen.
fr	facebook.com	3 Monate	Wird von Facebook genutzt, um eine Reihe von Werbeprodukten anzuzeigen, zum Beispiel Echtzeitgebote dritter Werbetreibender.
_fbp	facebook.com	3 Monate	Wird von Facebook genutzt, um eine Reihe von Werbeprodukten anzuzeigen, zum Beispiel Echtzeitgebote dritter Werbetreibender.
_hjIncludedInSample	hotjar.com	1 Jahr	Dieser Cookie wird von Hotjar verwendet um zu prüfen, ob der Besucher in dem Sample enthalten ist, das zur Erstellung von Heatmaps, Funnels, Recordings, etc. verwendet wird.
IDE, DSID	doubleclick.net	1 Jahr	Wird von Google DoubleClick verwendet. Das Cookie wird verwendet, um die Handlungen des Benutzers auf der Webseite nach der Anzeige oder dem Klicken auf eine der Anzeigen des Anbieters zu registrieren und zu melden, mit dem Zweck der Messung der Wirksamkeit einer Werbung und der Anzeige zielgerichteter Werbung für den Benutzer.
SID, SSID,HSID, SAPISID,APISID,ANID	google.com	2 Monate	Der Download bestimmter Google-Dienstprogramme kann bestimmte Einstellungen speichern, z. B. die Anzahl der Suchergebnisse pro Seite oder die Aktivierung des SafeSearch-Filters sowie die Anpassung der in der Google-Suche angezeigten Anzeigen oder 'Social Sharing'-Cookies für die G+1-Schaltfläche für die Fußnotenempfehlung.
1P_JAR	google.com	1 Monat	Dieser Google-Cookie wird zur Optimierung von Werbung eingesetzt, um für Nutzer relevante Anzeigen bereitzustellen, Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer dieselben Anzeigen mehrmals sieht.
__Secure-*	google.com	1 Jahr	Wird von badecloud für zielgerichtete Zwecke verwendet, um ein Profil der Interessen der Website-Besucher zu erstellen, um relevante und personalisierte Google-Werbung zu zeigen.
_GRECAPTCHA	www.google.com	6 Monate	Dieses Cookie wird gesetzt, um die unsichtbare Captcha-Funktionalität bereitzustellen.
_hjid	hotjar.com	Sitzung	Dieses Cookie wird gesetzt, wenn der Kunde zum ersten Mal auf einer Seite mit dem Hotjar-Skript landet. Es wird verwendet, um die Hotjar-Benutzer-ID, die für diese Seite eindeutig ist, im Browser zu speichern. Dadurch wird sichergestellt, dass das Verhalten bei nachfolgenden Besuchen derselben Website derselben Benutzer-ID zugeordnet wird. Dies ermöglicht es der Website, Daten über das Besucherverhalten für statistische Zwecke zu erhalten.

Social Engineering

Der Mensch als Sicherheitsrisiko

Was ist Social Engineering und woher kommt der Begriff?

Wie funktioniert Social Engineering?

Welche Methoden gibt es?

Köder

Phishing

Voice Phishing

Social Media

Update

Vorwand

Pharming

Wie kann ich mich schützen?

Sie sind Opfer eines Cyberangriffs geworden?

Ein Beispiel aus der Praxis

Vorsicht ist besser als Nachsicht

IT-Security hat viele Gesichter

Liste unserer technisch notwendigen Cookies

Liste unserer Drittanbieter Cookies