Social Engineering – Freundliche Feinde – Teil 3/3

In unserer kleinen Serie über die Social Engineer haben wir bereits erklärt, wie die Manipulatoren arbeiten und welche Tricks sie anwenden. In diesem dritten und letzten Teil zeigen wir Ihnen, dass vor allem die richtige Technik, aber auch eine konsequente Schulung aller Mitarbeiter eines Unternehmens wichtig ist. Zuerst möchten wir aber nicht verschweigen, dass ein Social Engineer mehr können muss, als nur zu hacken.

Der Social Engineer – die Qualifikation

Ein Social Engineer kennt die wichtigsten technischen Möglichkeiten um beispielsweise Telefonnummern zu spoofen, Webseiten oder E-Mailadressen zu faken. Der Engineer ist aber auch ein Multitalent. Er kennt psychologische Tricks und weiß wie sie angewendet werden. Das Schauspielern ist dem Manipulator nicht fremd. Dies nutzt er am Telefon oder im Gespräch von Angesicht zu Angesicht, um seine Opfer um den Finger zu wickeln.

Ein großer Angriff ist relativ aufwendig. Die Opfer sollen nach Möglichkeit nichts davon mitbekommen, bzw. ohne Sorgen ihre Daten weitergeben. Wenn die potentiellen Opfer durch Technik gut geschützt sind und zusätzlich besondere Aufmerksamkeit bei menschlichen Kontakten an den Tag legen, dann muss die Attacke sehr gut vorbereitet werden. Da dies ein einzelner Hacker nicht alleine bewerkstelligen kann, ist davon auszugehen, dass bei High-Profile-Opfern in der Regel ein ganzes Team im Hintergrund arbeitet und das Opfer ausspäht.

Wie können sich Nutzer vor einem Social Engineer schützen?

Die Wahrscheinlichkeit von einem Streuangriff erwischt zu werden, ist erst einmal höher, als Opfer eines gezielten Angriffs zu werden. Streuangriffe richten sich nicht an bestimmte Personen. Die Täter versuchen damit nicht gezielt Unternehmen bzw. Personen anzugreifen, sondern „streuen“ zum Beispiel ihre Phishing Mails. Auch mit diesen Angriffen haben Sie häufig Erfolg. Zu viele Menschen klicken sorglos auf Links in Emails oder geben Ihre Passwörter oder ähnliches auf nachgeahmten Login-Seiten ein.

Dennoch besteht immer die Gefahr, dass ein Angriff gezielt gegen einen Geschäftsführer oder einen Mitarbeiter gerichtet ist. Wir empfehlen, dass Sie alle Mitarbeiter sowie die leitenden Angestellten und ebenfalls die Geschäftsführer regelmäßig schulen lassen, damit sie wissen, worauf sie achten müssen.

Einige Tipps für Sie

  • Seriöse Unternehmen und Institutionen werden Sie niemals mit Hilfe von Telefon oder E-Mail dazu auffordern, Ihre Nutzernamen und/oder Passwörter irgendwo einzugeben. Rufen Sie die entsprechenden Unternehmen einfach an, wenn Sie sich unsicher sind. Natürlich nutzen Sie dazu die Kontaktdaten, die Sie schon vorab erhalten haben.
  • Wenn Ihr Chef Ihnen eine E-Mail schickt, die er normalerweise nicht in dieser Form schreiben würde, dann rufen Sie ihn einfach an und erkundigen sich, ob es wirklich seine Nachricht ist. Vor allem dann, wenn Ihr Chef nicht im Haus ist und Sie um etwas Dringendes bittet, wie zum Beispiel eine Überweisung.
    Woran Sie erkennen, ob eine E-Mail echt ist, dass erklären wir Ihnen gerne:

  • Vernichten Sie Ihre Daten! Besonders Rechnungen, Lohnlisten und ähnliches auf Papier sollten nicht einfach in die Abfalltonne wandern. Schreddern Sie das Papier oder lassen Sie es von professionellen Aktenvernichtern entsorgen.
  • Genauso sollten Sie mit ausrangierten Festplatten und Datenträgern umgehen. Eine professionelle Vernichtung ist hier empfehlenswert.
  • Social Engineers nutzen fremde Identitäten, wenn sie ein Unternehmen betreten. Achten Sie darauf, wer durch Ihre Büros läuft. Hacker könnten versuchen, beispielsweise mit Hilfe von USB-Sticks Überwachungssoftware oder Trojaner auf einem Ihrer Rechner zu installieren.
  • Seien Sie nicht digital sorglos. Nutzen Sie fremde USB-Sticks oder andere Speichermedien nur, wenn Ihre IT-Abteilung diese getestet hat. Oft werden auf Parkplätzen von Unternehmen Speichermedien ausgelegt in der Hoffnung, dass ein Mitarbeiter diese mitnimmt. Viele Menschen tun den Engineers diesen Gefallen und benutzen Sie an ihren Rechnern. Damit erhöhen sie die Chance, dass Schadcode auf den Rechnern landet. Dies kann unter Umständen kritische Folgen haben.

Die technische Seite

Aber nicht nur diese „menschlichen“ Tipps sollten Sie beachten. Es ist auch wichtig, dass Ihre technische Grundausstattung stimmt. In unserem Handbuch „IT-Sicherheit – 10 Basics“ geben wir Ihnen Tipps, wie Sie Ihre IT-Sicherheit erhöhen können. Laden Sie es sich ganz einfach kostenlos runter!

Es gibt immer mehr Wege, wie heutzutage Angriffe erfolgen können. Natürlich werden die mobilen Geräte bei Angreifern immer beliebter. Denn diese Geräte sind häufig nicht ausreichend geschützt. Wie sicher oder unsicher die Geräte sein können, dass beantworten wir bei unserem Live-Hacking—Event. Ein sogenannter White-Hat-Hacker wird vor Ihren Augen ein fiktives System angreifen und wir geben Ihnen anschließend Tipps, wie Sie sich besser schützen können. Nutzen Sie diese Chance und melden Sie sich gleich kostenlos an!

Haben Sie Fragen zu diesem Thema oder selbst schon Probleme mit einem Social Engineer gehabt? Dann schreiben Sie uns einfach!

Diese Seiten könnten Sie auch interessieren

Ralph Friederichs

1994 gründete er die heutige CYBERDYNE IT GmbH und ist seit dem alleiniger Gesellschafter und Geschäftsführer des Unternehmens. Ralph Friederichs ist Experte und Berater für Cloud Computing, Digitalisierung und Managed IT Services. In seiner Freizeit beschäftigt er sich mit Online Marketing und ist mit dem Mountainbike unterwegs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.