Juli 06, 2022
Häufige Arten von Social-Engineering-Angriffen
Betrug, verursacht durch Social Engineering, gibt es seit Jahren, und dennoch fallen die Benutzer jeden Tag darauf herein. Um das Bewusstsein für diese Taktik zu schärfen und sich dagegen zu wehren, finden Sie hier einen kurzen Überblick über Social Engineering.
Indem Sie lernen, diese Angriffe zu identifizieren und die Cyber-Resilienz zu verbessern, wird es viel einfacher, Bedrohungen wie Ransomware zu vermeiden.
Definition: Was ist Social Engineering?
Social Engineering ist Teil von Cyber-Angriffen, bei dem Menschen manipuliert und dazu verleitet werden, normale Sicherheitsverfahren zu umgehen. Angreifer bauen Vertrauen zu den Benutzern auf, um sich unbefugten Zugriff auf Systeme, Netzwerke oder physische Standorte zu verschaffen oder um sich finanziell zu bereichern.
Die Theorie hinter Social Engineering ist, dass Menschen eine natürliche Tendenz dazu haben, anderen zu vertrauen.
Wie werden Social Engineering-Angriffe konzipiert?
Um Vertrauen aufzubauen und es anschließend auszunutzen, folgen Social Engineers einer bestimmten Vorgehensweise:
- Auskundschaften. In dieser Phase kann der Angreifer Opfer identifizieren und die beste Angriffsmethode bestimmen
- Ködern. Der Angreifer beginnt sich mit seinem Opfer auseinanderzusetzen und durch Nachrichten Vertrauen aufzubauen
- Angreifen. Der Angreifer beginnt damit gezielte Daten zu sammeln
- Verlassen. Wenn der Angreifer hat, was er will, entfernt er die Spuren, damit er zum nächsten Opfer übergehen kann
Da die Strategie eines Social Engineers auf Vertrauen aufbaut, erkennen die Opfer oft nicht, dass sie angegriffen wurden, bis es zu spät ist.
Häufige Arten von Social-Engineering-Angriffen
Im Folgenden sind die fünf häufigsten Formen von Social-Engineering-Angriffen aufgeführt.
- Phishing
- Baiting
- Pretexting
- Scareware
- Business-E-Mail Compromise (BEC)
Phishing-Angriffe
Phishing Angriffe kommen bei Social-Engineering-Angriffen oft vor. Es wird eine E-Mail oder Nachricht an das Ziel gesendet, die normalerweise einen Link zu einer legitim aussehenden Website enthält.
Ziel ist es, das Opfer dazu zu bringen, seine persönlichen Daten und Anmeldeinformationen auf der Website einzugeben, dabei sieht die falsche Website der echten sehr ähnlich.
Gängige Beispiele für Phishing:
- E-Mails von gefälschten Unternehmen, die nach persönlichen Informationen fragen.
- E-Mails von falschen Finanzinstituten, die nach Bankkontonummern und Passwörtern fragen.
- E-Mails von Regierungsbehörden, in denen nach persönlichen Informationen gefragt wird.
- Nachrichten auf Social-Media-Websites, die Sie auffordern, sich mit Ihrem Benutzernamen und Passwort anzumelden.
Phishing-Nachrichten sollen dem Endbenutzer ein Gefühl der Dringlichkeit und manchmal sogar Angst vermitteln. Dieser Zeitdruck ist eine wichtige Taktik, um Benutzer dazu zu bringen, ihre Informationen preiszugeben.
Sobald Zeitdruck als Mittel eingesetzt wird, gibt es zwei gängige Arten von Aufnahmemethoden, die Angreifer bei Phishing-Betrug verwenden.
- Man bittet den Endbenutzer, seine Anmeldeinformationen zu „bestätigen“.
- Man behauptet, der Endbenutzer sei der „Gewinner“ eines Hauptpreises oder einer Lotterie.
Es ist wichtig zu wissen, dass Phishing-Kampagnen in vielen verschiedenen Formen auftreten können, daher muss man wachsam bleiben.
Baiting-Angriffe
Baiting bedeutet, Benutzer dazu zu verleiten, sich mit irgendeinem Medientyp zu beschäftigen. Diese Angriffe treten in zwei Formen auf, digital und physisch.
Digitale Baiting-Angriffe
Baiting ist eine der gängigen Methoden zur Verbreitung von Malware oder Ransomware. Bei digitalen Angriffen bieten die Angreifer beispielsweise eine neue Songveröffentlichung oder einen Filmdownload an. Diese Dateien enthalten jedoch nicht das, was der Benutzer erwartet. Stattdessen sind sie mit Malware infiziert, die Ihre Daten verschlüsselt oder die Kontrolle über sie übernimmt. Anschließend verlangen Angreifer eine bestimmte Summe für die Entschlüsselung oder die Rückgabe der Kontrolle.
Physische Baiting-Angriffe
Diese Angriffe sind seltener als digitale Angriffe, da sie aufwendiger sind. Physischer Betrug beinhaltet, dass Benutzer Gegenstände wie ein USB-Laufwerk oder eine CD finden oder erhalten, die ihr Interesse wecken. Beispielsweise ein Flash-Laufwerk mit der Bezeichnung "Gehaltsübersicht für Führungskräfte Q3", das auf einem Schreibtisch platziert wird, damit ein Mitarbeiter es findet.
Bei beiden Angriffsarten werden Köder eingesetzt. Sobald der Köder heruntergeladen oder verwendet wird, wird bösartige Software direkt auf das System des Endbenutzers übertragen und der Hacker kann mit der Arbeit beginnen.
Pretexting-Angriffe
Pretexting ist das Ausnutzen von einer bereits bestehenden, vertrauensvollen Verbindung eines Hackers zu einem Endbenutzer und daher sehr effektiv. So kann ein Hacker beispielsweise vorgeben, ein Kollege oder Dienstleister zu sein.
Getarnt als vertrauenswürdiger Kontakt, fragt der Hacker nach Anmeldeinformationen zur Aufgabenausführung.
Benutzer müssen informiert werden, ihre Anmeldeinformationen niemals mit jemandem zu teilen, einschließlich des IT-Personals.
Quid pro Quo (Gegenleistung)
Bei Quid Pro Quo dreht sich alles um ein Geben und Nehmen zwischen den Endbenutzern und den Hackern. Diese Art des Angriffs ist weniger ausgeklügelt als die anderen und erfordert normalerweise, dass Benutzer sich dessen bewusst sind, was sie tun.
Durch strenge Benutzerzugriffskontrollen können derartige Angriffe abgeschwächt werden.
Tailgating- und Piggybacking-Angriffe
Piggybacking, auch Tailgating genannt, zielt hauptsächlich auf Benutzer in einer physischen Umgebung ab.
Da immer mehr Benutzer in die Büroumgebung zurückkehren, versuchen Angreifer, dies auszunutzen. Eine der häufigsten Huckepack-Methoden ist, wenn ein Hacker einen Mitarbeiter bittet, ihm die Tür aufzuhalten, da er seinen Personalausweis vergessen hat. Daraufhin versuchen Hacker auf Systeme zuzugreifen oder einen Laptop „auszuleihen“, um Informationen zu ihrem eigenen Vorteil zu nutzen.
Empfohlene Vorgehensweisen um sich vor einem Social Engineering Angriff zu schützen
Social-Engineering-Angriffe sind weit verbreitet. Sie nutzen natürliche menschliche Instinkte aus. Diese Eigenschaften machen es schwer, sie zu erkennen und umso wichtiger ist es, dass sich jeder der Bedrohung bewusst ist.
Empfohlene Vorgehensweisen zum Schutz vor Social-Engineering-Angriffen:
- Reagieren Sie niemals auf eine Anfrage nach Finanzinformationen oder Passwörtern. Legitime Organisationen werden niemals eine Nachricht senden, in der Sie nach persönlichen Informationen gefragt werden.
- Geben Sie niemals persönliche Informationen wie Passwörter weiter
- Schließen Sie niemals einen unbekannten USB-Stick oder digitale Medien an Ihren Computer an
- Bestellen Sie keine E-Mails ab, blockieren Sie einfach die E-Mail-Absender in Ihrem E-Mail-Client.
- Schulen Sie Mitarbeiter und Kunden
Es ist wichtig, dass alle Benutzer mit Zugriff auf ein Netzwerk oder Systeme sich dieser verschiedenen Formen von Social Engineering bewusst sind, um die Cybersicherheit des Unternehmens zu gewährleisten. Wenn Benutzer die Hauptmerkmale dieser Angriffe kennen, ist es viel wahrscheinlicher, dass sie nicht darauf hereinfallen.
Schützen Sie Ihre kritischen Daten mit einer zuverlässigen Backup- und Recovery-Lösung als letzte Verteidigungslinie
Datto SIRIS ist eine BCDR-Lösung (Business Continuity und Disaster Recovery), die für Managed Service Provider entwickelt wurde, um ihre Kunden vor Datenverlust zu schützen und Ausfallzeiten zu minimieren.
