5 Arten von Social Engineering-Angriffen

Sept. 15, 2020

5 Arten von Social Engineering-Angriffen

BY Courtney Heinbach

BCDR Cybersecurity Saas Protection

Social-Engineering-Angriffe sind schon seit Jahren ein großes Thema und leider fallen ihm jeden Tag neue Nutzer zum Opfer. Das liegt vor allem daran, dass Mitarbeiter in kleinen aber auch großen Unternehmen viel zu wenig Cybersicherheit-Schulung erhalten. Um auf diesen Mangel hinzuweisen und ihn zu beheben, haben wir im folgenden Beitrag die häufigsten Täuschungsversuche gegenüber Mitarbeitern (sog. Social Engineering) zusammengefasst. Denn Managed Service Providern (MSPs) bietet sich hier die Gelegenheit, durch die Aufklärung bei kleinen und mittelständischen Geschäftskunden zur Erkennung solcher Angriffe das Risiko z. B. durch Ransomware deutlich zu reduzieren!

Phishing

Phishing ist eine der häufigsten Arten von Social Engineering-Angriffen, die typischerweise in Form einer E-Mail, eines Chats, einer Online-Werbung oder einer Website auftritt, um ein echtes System, eine echte Person oder eine echte Organisation zu imitieren. Sie sind derart formuliert, dass dem Empfänger Dringlichkeit bzw. Schrecken vermittelt wird, um ihm zur Preisgabe von vertraulichen Endnutzerdaten zu bewegen. Sie geben vor, von einer Bank, der Regierung oder einer großen Firma zu stammen, und fordern den Empfänger je nach Art zu verschiedenen Reaktionen auf. Manche bitten den Endnutzer, seine Login-Daten für ein Nutzerkonto auf einer täuschend echt aussehenden Login-Seite mit Logos und Markenzeichen des imitierten Absenders zu „verifizieren“. Oder der Empfänger wird als „Gewinner“ eines großen Gewinnspiels oder einer Lotterie verkündet und soll seine Kontodaten übermitteln, damit die gewonnene Summe überwiesen werden kann. Wieder andere Phishing-E-Mails geben sich als wohltätige Organisationen aus, die nach einer Naturkatastrophe Spenden sammeln und um die Kontoverbindung bitten. Wo diese Versuche gelingen, erhalten die Hacker meist Zugriff auf Systeme und können Daten rauben. Daher sollten kleine und große Organisationen ihre geschäftskritischen Daten mit einer Business Continuity und Disaster Recovery-Lösung sichern, um im Ernstfall auf ein sicheres Backup zugreifen zu können.

 

Baiting

Beim Baiting (engl. für „Ködern“) wird dem Endnutzer ähnlich wie beim Phishing etwas Verlockendes im Austausch für Login-Informationen oder vertrauliche Daten angeboten. Der Köder kann dabei unterschiedlichste Formen haben: Ein Musik- oder Filmdownload auf einer File-Sharing-Plattform oder auch ein Gegenstand wie ein USB-Stick mit Firmenlogo, auf dem sich vermeintlich wichtige Geschäftsdokumente befinden und der auf einem Schreibtisch ausgelegt wurde. Wurde der Köder heruntergeladen bzw. verwendet, wird die Schadsoftware direkt auf das System des Endnutzers überspielt und die Hacker können mit ihrem Werk beginnen.

Quid Pro Quo

Beim Quid Pro Quo geht es ähnlich wie beim Baiting ebenfalls darum, dass ein Hacker im Austausch für wichtige Daten oder Login-Informationen eine Dienstleistung anbietet. Dann gibt er sich beispielsweise als Technikexperte aus, der per Telefon kostenlose IT-Beratung oder Verbesserungen anbietet und hierfür die Login-Daten des Endnutzers benötigt. Eine weitere häufig genutzte Masche von Hackern ist es, als vermeintliche Forschungsmitarbeiter Zugriff auf das Firmennetzwerk zu erbitten, um ein Experiment durchführen zu können, und 100 Euro als Entschädigung anzubieten. Solche Angebote, die sich zu gut anhören, um wahr zu sein, sind meistens Quid Pro Quo-Fallen.

Piggybacking

Beim „Huckepack“ (im engl. auch als „Tailgaiting“ bezeichnet) verfolgt eine Person eine andere Person, die berechtigt ist, Zutritt zu einem eingeschränkten Bereich oder System zu erhalten. Eine bewährte Methode unter Hackern ist es zum Beispiel, einen vorausgehenden (tatsächlichen) Mitarbeiter zu bitten, eine Tür offen zu halten, da man selbst seinen Mitarbeiterausweis vergessen habe, der für das Passieren notwendig ist. Ebenfalls häufig genutzt wird die Taktik, sich kurz den Laptop eines Mitarbeiters „auszuleihen“, um dann Schadsoftware auf dem Gerät zu installieren.

Pretexting

Pretexting ist quasi das Phishing der realen Welt. Ein Hacker baut dabei eine Beziehung zu einem Endnutzer auf, indem er sich als Kollege oder bekannte Autoritätsperson ausgibt und so das Vertrauen seines Opfers gewinnt, um an Login-Daten zu gelangen. Ein typisches Beispiel hierfür ist eine gefälschte E-Mail vom Leiter des IT Supports an einen Mitarbeiter oder eine Chat-Nachricht von einem Auditleiter, der vorgibt, eine Unternehmensprüfung durchzuführen. Diese Methode ist besonders effektiv, da der menschliche Schutzinstinkt überlistet wird, indem ein Eindruck von Legitimität und Sicherheit erweckt wird. Besonders erfolgreich ist das Pretexting über E-Mails, um Zugriff auf Passwörter und Geschäftsdaten zu erlangen, da sich der Absender hier sehr vertrauenswürdig präsentieren kann. Umso wichtiger ist es also, sich mithilfe eines Backups über einen Drittanbieter zu schützen.

[SaaS explainer]

Eine zuverlässige Cybersicherheit im unternehmerischen Kontext kann nur dann gewährleistet werden, wenn alle Mitarbeiter für die verschiedenen Formen des Social Engineerings sensibilisiert sind. Sind die wichtigsten Merkmale dieser Zugriffsversuche bekannt, ist es viel wahrscheinlicher, dass Mitarbeiter nicht darauf reinfallen.

Neben Aufklärung und Schulung gibt es aber noch weitere Möglichkeiten, das Risiko eines Hackerangriffs zu reduzieren. So sollten Mitarbeiter etwa angewiesen werden, E-Mails und Links unbekannter Absender grundsätzlich nicht zu öffnen. Der eigene Arbeits-PC sollte niemals einer anderen Person zur Verfügung gestellt werden, egal wie kurz jemand ihn benötigt. Sämtliche Arbeitsgeräte (Desktop-PCs, Laptops und Mobilgeräte) sollten ihre Nutzer automatisch abmelden, wenn diese länger als fünf Minuten (oder gerne auch kürzer) nicht aktiv waren. Auch sollten Sie gut darauf vorbereitet sein, schnell wieder zum Normalbetrieb zurückkehren zu können, nachdem ein Mitarbeiter einem solchen Angriff zum Opfer gefallen ist. Denn mit menschlichem Versagen muss stets gerechnet werden. Mit einer zuverlässigen Backup- und Recovery-Lösung schaffen Sie Gewissheit, auf alles gut vorbereitet zu sein.

Subscribe to the Blog