Social Engineering

Social Engineering – Freundliche Feinde – Teil 1/3

Social Engineering ist die gezielte Manipulation von Menschen. Social Engineers versuchen an Daten, Passwörter etc. zu gelangen, um Ihnen oder Ihrem Unternehmen zu schaden. Oft gelingt ihnen das leider auch heute noch. In diesem ersten Teil unserer dreiteiligen Serie zum Thema „Social Engineering“ beschreiben wir Ihnen, das Social Engineering keine Erfindung des Computerzeitalters ist und erklären die verschiedenen Angriffsarten.

Was ist Social Engineering

Social Engineering ist keine Erfindung des Computer-Zeitalters. Letztendlich geht es bei dieser Disziplin darum, dass Menschen betrogen werden. Dabei nutz der Engineer einige menschliche Schwächen aus. Mit der Hilfe der Ausnutzung von Angst, Geltungsdrang und Respekt gelingt es Engineers häufig, wertvolle Informationen herauszubekommen und sich Vorteile zu verschaffen.

Dass diese Art von Manipulation erfolgreich ist, zeigt sich auch an einem Beispiel aus den 1960er Jahren. Der Amerikaner Frank Abagnale gab sich als Arzt oder Pilot aus, obwohl er nie irgendeine Art von Ausbildung genossen hatte. Mit Hilfe dieser Außenwirkung, die die genannten Berufe erzeugen, gelang es ihm beispielsweise gefälschte Schecks einzulösen oder sonstige Gefälligkeiten einzufordern. So schaffte er es als angeblicher Pilot mehrfach kostenfrei befördert zu werden. Sein Leben wurde übrigens verfilmt: „Catch me if you can“, mit Leonardo di Caprio in der Hauptrolle.

Moderne Engineer versuchen vor allem in die Netzwerke von Unternehmen einzudringen, um dort Daten, Passwörter oder ähnliches zu erlangen. Dabei geht es entweder darum Wissen der jeweiligen Unternehmen zu beschaffen oder diese gezielt zu schädigen, etwas durch Diebstahl von Geld.

Mittlerweile sind die meisten Angriffe eine Mischung aus Online-Attacken und vorherigen Informationsbeschaffungen beispielsweise per Telefon oder direkt vor Ort im Unternehmen.

Betrifft mich das überhaupt?

Die Antwort auf die Frage, ob Sie das betrifft ist einfach zu beantworten: Ja, wenn Sie irgendeine Art von Computer nutzen. Es betrifft alle Menschen, die mit Hilfe eines Computers arbeiten. Ihr Rechner ist mit Sicherheit an das firmeneigene Netzwerk angeschlossen. Somit besteht die Möglichkeit, dass Sie ein mögliches Ziel eines Angreifers sein könnten.

Warum Sie oder Ihre Firma? Die letzten Jahre haben gezeigt, dass die Cyberkriminellen mehr auf KMUs setzen, da die Strukturen hier einfacher sind, als in großen Unternehmen.

Angriffe durch Social Engineering

Es gibt zwei Angriffsarten: passive und aktive. Bei den aktiven gibt es keinen direkten Kontakt zwischen Täter und Opfer. Ein Beispiel hierfür, ist der liegengelassen USB-Stick. Hierbei findet ein potentielles Opfer einen solchen Stick und nimmt ihn mit. Dieser war vom Täter absichtlich platziert und ist, wie könnte es anders sein, natürlich kontaminiert. Der USB-Stick enthält einen Schadcode, der aktiviert wird, sobald jemand den Stick benutzt. Weitere passive Angriffe können zum Beispiel mit Hilfe der Durchsuchung von Mülltonnen und ähnlichem erfolgen. Wie diese Angriffe genau erfolgen, dass erklären wir im zweiten Teil.

Bei aktiven Angriffen gibt es einen direkten Kontakt zwischen Opfern und Tätern. Dieser kann unter anderem über eine E-Mail, ein Telefongespräch oder auch die direkte Ansprache auf der Straße erfolgen. Der Täter versucht dabei gezielt Informationen zu erbeuten, die für den weiteren Angriff auf das jeweilige Unternehmen wichtig sein könnten.

Neben der Aufteilung in aktive und passive Angriffe, lassen sich noch zwei Kategorien als Einteilung nutzen. Hierbei wird unterschieden in technische und nicht-technische Angriffe, bzw. in Angriffe, bei denen ein Computer zum Einsatz kommt und diejenigen, die nur über die zwischenmenschlichen Beziehungen stattfinden.

Die Grenzen zwischen den einzelnen Angriffsarten verschwimmen allerdings sehr häufig. Ein direkter Kontakt zwischen Opfer und Täter kann zum Beispiel nur die Basis sein, für einen größeren Angriff. Oft versuchen die Social Engineers in einem ersten Schritt wichtige Daten zu sammeln. Dies kann schon mit einer Manipulation des Opfers einhergehen.

Ausblick

Im zweiten Teil dieser Blogserie zeigen wir, wie technische und nichttechnische Angriffe aussehen können.

Haben Sie schon Erfahrungen mit Social Engineering gemacht? Lassen Sie es uns wissen:

Diese Seiten könnten Sie auch interessieren

Ralph Friederichs

1994 gründete er die heutige CYBERDYNE IT GmbH und ist seit dem alleiniger Gesellschafter und Geschäftsführer des Unternehmens. Ralph Friederichs ist Experte und Berater für Cloud Computing, Digitalisierung und Managed IT Services. In seiner Freizeit beschäftigt er sich mit Online Marketing und ist mit dem Mountainbike unterwegs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.