Die 5 häufigsten Social Engineering-Attacken

Dez. 23, 2019

Die 5 häufigsten Social Engineering-Attacken

BY Chris Brunau

Ransomware

Social Engineering-Betrugsversuche gibt es seit Jahren. Der Negativ-Trend hält an: Jeden Tag gibt es neue Opfer. Grund dafür ist auch, dass Mitarbeiter die Risiken nur unzureichend kennen.

Wir geben Ihnen deshalb einen Überblick über die bösartigsten Social Engineering-Angriffe.

  1. Phishing: Phishing ist die häufigste Form von Social Engineering und wird meist als eMail, Chat, Web-Anzeige oder Webseite verbreitet, die wie ein echtes System oder Unternehmen aussieht. Phishing-Nachrichten gaukeln Dringlichkeit vor oder sollen dem Adressaten einen Schrecken einjagen. Ziel ist es, sensible Daten von Nutzern zu stehlen. Eine Phishing-eMail kommt vermeintlich von einer Bank, der Regierung oder einem großen Unternehmen. Die Aufforderungen variieren. Die einen verlangen, dass der Nutzer seine Anmeldedaten „verifizieren“ soll und locken ihn auf eine nachgestellte Login-Seite, die täuschend echt aussieht. Andere eMails behaupten, dass der Endnutzer der „Sieger“ eines Gewinnspiels ist und fordern ihn auf, sich in einem Bankkonto einzuloggen, auf das der Gewinn transferiert werden soll. Wieder andere wollen Spenden für ein Unglück generieren, das sich gar nicht ereignet hat.
  2. Baiting: Baiting (übersetzt: ködern) versucht den Adressaten dazu zu bringen, Login- oder andere private Daten preiszugeben. Der sogenannte „Köder“ kommt in unterschiedlichen Formen vor. Beispielsweise als Musik- oder Film-Download auf einer Partner-Seite oder physisch als USB-Stick mit Unternehmenslogo, der auf dem Schreibtisch eines Mitarbeiters hinterlegt wird. Sobald der Köder heruntergeladen wird, installiert sich eine bösartige Software direkt im System des Nutzers. Jetzt können die Hacker ungestört auf das System zugreifen.
  3. Quid Pro Quo: Ähnlich wie Baiting fordern Quid-pro-quo-Angriffe den Endnutzer auf, persönliche Daten preiszugeben – in Austausch gegen einen Service. Zum Beispiel erhält ein Endnutzer einen Telefonanruf von einem Hacker, der sich als Technologie-Experte ausgibt, kostenlose IT-Unterstützung anbietet und deshalb um die Login-Daten bittet. Ein weiteres bekanntes Beispiel ist ein Hacker, der sich als Wissenschaftler ausgibt, um Zugang zum Netzwerk des Unternehmens zu bekommen gegen eine Zahlung von 100 Euro. Wenn das zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch.
  4. Piggybacking: Zu Deutsch: Huckepack. Bedeutet, dass sich eine unautorisierte Person Zugang zu einem geschützten Gelände oder System verschafft, zum Beispiel indem ein Mitarbeiter gebeten wird die Eingangstür aufzuhalten, weil die vermeintliche RFID-Karte vergessen wurde. Eine andere Methode ist es, einen Mitarbeiter zu fragen, ihm nur für ein paar Minuten das Laptop zu „leihen“, auf dem dann eine bösartige Software installiert wird.
  5. Falscher Vorwand: Das menschliche Äquivalent zu Phishing ist der falsche Vorwand. Ein Hacker erschleicht sich dabei das Vertrauen eines Mitarbeiters, indem er sich als Kollege oder Vorgesetzter ausgibt, um an die Login-Daten zu gelangen.

    Mitarbeiter erhalten in so einem Fall zum Beispiel eMails vom vermeintlichen Chef der IT-Abteilung oder eines Beauftragten der vorgibt, eine Unternehmensrevision durchzuführen.

    Um die Cybersicherheit eines Unternehmens zu gewährleisten ist es wichtig, dass alle Mitarbeiter die verschiedenen Formen von Social Engineering genau kennen. Denn damit sinkt das Risiko, dass sie darauf reinfallen.

    Neben internen Schulungen gibt es weitere Strategien, um Cyber-Angriffe abzuwehren. Weisen Sie Ihre Mitarbeiter an, keine eMails zu öffnen und auf keine Links zu klicken, die von unbekannten Absendern kommen. Computer sollten nicht ausgeliehen werden, auch nicht für einen Moment. Unternehmens-Desktops, Laptops und mobile Geräte sollten automatisch gesperrt werden, wenn sie länger als fünf Minuten (oder kürzer) nicht verwendet werden.

    Und falls alle Sicherheitsvorkehrungen versagen oder Menschen doch mal einen Fehler machen: Eine professionelle Backup & Recovery-Lösung ist die beste Option, um wieder ruhig schlafen zu können.

    Sie möchten mehr darüber erfahren, wie MSPs die derzeitige Ransomware-Lage im Channel einschätzen? Dann ist unser On-Demand Webinar genau das Richtige für Sie! Erfahren Sie mehr über die Kosten und Auswirkungen von Ransomware für Unternehmen, Best Practices zum Schutz und zur Aufklärung von Kunden und mehr! Hier geht’s zum Webinar.

    Subscribe to the Blog