Was genau ist Social Engineering?

Bei Social Engineering geht es darum, Menschen so zu manipulieren, zu beeinflussen oder zu täuschen, dass Kontrolle über deren Computersystem erlangt werden kann. Die Kontaktaufnahme erfolgt in der Regel per E-Mail, Privatnachrichten in sozialen Netzwerken, Telefon oder seltener auch per Briefpost und direkten Kontakt. Ziel bei allen Methoden ist es, illegalen Zugriff auf die Daten des Nutzers oder des zugehörigen Unternehmens zu erhalten. Einige Beispiele für Social Engineering sind Techniken wie Phishing, Spear-Phishing oder der „CEO-Trick“.

 

Was sind die häufigsten Social Engineering Tricks in Unternehmen?

#1: Phishing

Der Versuch, sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendatens zu erhalten, indem man sich als vertrauenswürdige Institution ausgibt. Zur Kontaktaufname werden Massen-E-Mails verwendet, von denen es immer einige schaffen, die bestehenden SPAM-Filter zu umgehen. E-Mails, die angeblich von beliebten sozialen Netzwerken, Banken oder Auktions-Websites stammen, werden verwendet, um dem Empfänger die o.g. sensiblen Information zu entlocken.

#2: Spear Phishing

„Speerfischen“ – eine Unterart des Phishings. Hierbei erfolgt ein fokussierter, gezielter Angriff auf eine Organisation mit dem Ziel, deren Abwehrmechanismen zu durchdringen. Einem Spear-Phishing-Angriff geht eine mehr oder weniger intensive „Observation“ der Zielperson bzw. des Zielunternehmens voraus, so dass die Kontaktaufnahmen mit spezifischen personalisierten Komponenten angereicht werden können. Die Bezugnahme auf ein anstehendes Firmen-Event, einen bestimmten Kollegen oder die persönlichen Interessen des Empfängers helfen dabei, die Reaktionsquote der Empfänger deutlich zu erhöhen – ein großes Risiko für Unternehmen und die betroffenen Nutzer.

#3: Ködern/Baiting

Beim Ködern/Baiting geht es wortwörtlich darum, einem potenziellen Opfer einen Köder vorzusetzen, damit dieses eine vom Angreifer gewünschte Handlung ausführt. Dies kann ein Link zu einem vermeintlich kostenlosen Film-Download sein, aber auch ein „aus Versehen“ verloren gegangener USB-Stick mit der Aufschrift „Entlassungsplan 2018“, der an einem öffentlichen Ort im Unternehmen platziert wird. Sobald das Gerät verwendet oder eine bösartige Datei heruntergeladen wurde, ist das Endgerät des Opfers infiziert und der Angreifer kann auf sämtliche Daten zugreifen.

#4: Quid quo pro

Bei der „quid quo pro“-Technik (“Gegenleistung”) geht es darum, dem potenziellen Opfer einen vermeintlichen Vorteil in Aussicht zu stellen, damit dieses hierfür Informationen preisgibt. Ein Beispiel wäre ein vorgetäuschter Anruf der IT-Abteilung, in dem auf ein entdecktes Sicherheitsrisiko auf dem Rechner des Betroffenen hingewiesen wird. Es wird versprochen, dies umgehend zu beheben, wenn nur kurz das Sicherheitspasswort zur Verifizierung durchgegeben wird. Wie die Geschichte ausgeht, dürfte klar sein.

#5: Scareware

Scareware (auch bekannt als Rogue Security Software oder Rough Virus Scanner) ist eine Computer-Malware, die Benutzer täuscht oder irreführt, indem sie vorgibt, ein Sicherheitsrisiko entdeckt zu haben. Für die Entfernung dieser vorgetäuschten Sicherheitsrisiken wird das Opfer dann zur Kasse gebeten und das vermeintliche Sicherheits-Updates entpuppt sich als das eigentliche Schadprogramm.

#6: “CEO-Trick”

Hier wird eine Mail oder ein Anruf von einem Vorgesetzten oder dem Geschäftsführer vorgetäuscht, um bei den betroffenen Mitarbeitern die Chance zu erhöhen, dass diese auf die Kontaktaufnahme eingehen. Meist wird dann massiv Druck aufgebaut, z.B. weil der vermeintliche Chef vorgibt, in einer Notsituation zu sein und schnelles Handeln wie eine Überweisung, die Freischaltung einer Datei oder die Herausgabe von Informationen verlangt.

#7: Honey Pot

Bei dem “Honigtopf”-Trick werden die Opfer von fiktiven, meist sehr attraktiven Personen online kontaktiert, um eine Interaktion zu initiieren. Es wird geflirtet, Komplimente werden verteilt und dann wird z.B. um die Zusendung eines ersten Fotos gebeten. Wenn nach einiger Zeit ggf auch kompromittierendes Material (z.B. Nacktfotos, eindeutige Absichten, etc.) versandt worden ist, wird dieses genutzt, um das Opfer zu erpressen und Geld und/oder Passwörter, Insiderinformationen etc. zu erhalten.

 

Wie verhindern Sie, dass Ihre Mitarbeiter auf Social Engineering hereinfallen und damit sich selbst und Ihre Firma einem großen Sicherheitsrisiko aussetzen?

SoSafe testet, sensibilisiert und schult Ihre Mitarbeiter im richtigen Umgang mit Cyber-Attacken. Sie möchten wissen, wie anfällig Ihre Organisation für Phishing-Attacken ist? Sie würden gerne einmal sehen, wie ein Spear-Phishing-Angriff auf Ihr Unternehmen aussehen würde? Und sie möchten Ihre Mitarbeiter mit einem modernen, einfach zu bedienenden SaaS-Tool sowie simulierten Angriffen im richtigen Umgang mit Cyberrisiken trainieren? Dann fragen Sie jetzt einen unverbindlichen Testlauf bei SoSafe an und erhalten Sie erste Transparenz darüber, wie anfällig Ihre Organisation beim Thema Cybersicherheit ist.

 

www.sosafe.de     Cyber Security Awareness Training made in Germany