Phishing

Social Engineering – Freundliche Feinde – Teil 2/3

Social Engineering funktioniert heute besser denn je. Im ersten Teil unserer Serie zu diesem Thema haben wir bereits erklärt, was Social Engineering genau ist. In diesem zweiten Teil geht es um die Umsetzung. Die Social Engineer nutzen für ihre Angriffe technische Geräte, sie wissen aber auch, wie Menschen direkt manipuliert werden können. Sie dringen in Unternehmen ein, beobachten Mitarbeiter, die unterwegs arbeiten oder erfahren am Telefon wichtige Hintergrundinfos.

Die Manipulatoren

Es werden nicht immer Computer benötigt, um Menschen gezielt zu manipulieren bzw. Informationen zu erlagen. Für die Vorbereitung des eigentlichen Angriffs werden häufig einfache Wege gesucht, um mit den Mitarbeitern eines Unternehmens in Kontakt zu kommen oder um etwas über das Unternehmen herauszufinden.

Social Engineering direkt vor Ort

Cyberkriminelle verschaffen sich Zugang zu einem Unternehmen. Oftmals nehmen sie dazu die Rolle eines scheinbar beauftragten Service-Unternehmens ein und gelangen so in sensible Bereiche des Unternehmens. Ziel dabei: Möglichst unauffällig Information zu beschaffen. Mitarbeiter die ihre Passwörter auf Klebezetteln an ihrem Monitor befestigt haben sind keine Seltenheit. Ein Krimineller könnte sich auf diese Weise Passwörter besorgen. Auch wenn die Passwörter noch so kompliziert sind, sie gehören, genau wie andere sensible Daten, nicht offen auf den Schreibtisch.

Der unsichtbare Beobachter

Heutzutage ist das Arbeiten praktisch überall möglich. Mit mobilen Geräten kann man noch schnell zwischendurch in der Bahn eine Nachricht an die Kollegen schreiben oder im Café kurz die aktuelle Quartalsbilanz bearbeiten. Doch auch dies machen sich die Angreifer zu Nutzen. Gezielt werden Mitarbeiter ausgespäht. Dabei gucken Ihnen die Kriminellen buchstäblich über die Schulter.

Social Engineering am Telefon

Angreifer können auch am Telefon agieren. Dabei versuchen sie die Mitarbeiter von Unternehmen dazu zu bewegen, bestimmte Handlungen durchzuführen. Oft werden solche Szenarien mit einer druckerzeugenden Stimmung verbunden. Die Angreifer geben sich in solchen Telefonaten unter anderem als Mitarbeiter von beauftragten Serviceunternehmen und ähnliches aus.

Neu ist, dass die Mitarbeiter unter Druck gesetzt werden und größere Summen Geld überweisen sollen. Bei diesem Chef-Trick geben sich die Kriminellen als Vorgesetzte aus. Vorab haben sie schon recherchiert, dass ebendiese Vorgesetzten zu dem Zeitpunkt nicht anwesend sein werden.

Der Chef-Trick

Wie schon in unserem ersten Teil dieser Social Engineering-Serie erwähnt, werden die verschiedenen Angriffsmöglichkeiten häufig kombiniert. Hinter den Angriffen stecken nicht ein paar pubertierende Nachwuchshacker, sondern die organisierte Kriminalität. Nur so ist es möglich großen Schaden anzurichten, wie im Beispiel des Autozulieferers Leoni AG zu sehen. Vor kurzem wurde bekannt, dass das Unternehmen durch den sogenannten Chef-Trick rund 40 Millionen Euro verloren haben.

Das nordrhein-westfälische Landeskriminalamt warnte bereits im Juli 2016 vor diesem Trick. In den Monaten davor erbeuteten die Cyberkriminellen bereits 31 Millionen Euro von 39 Unternehmen aus NRW.

Social Engineering mit Computer-Unterstützung

Mit der Vernetzung von Computern hat der Social Engineer viele weitere Möglichkeiten erhalten, um die Opfer gezielt zu manipulieren. So können beispielsweise auch Telefonnummern von Dritten nachgeahmt werden. Das Opfer denkt, es würde mit dem realen Besitzer der Telefonnummer sprechen, dabei führen sie die Unterhaltung mit dem Kriminellen, der das Gespräch nutzt um Daten zu erhalten. Diese Technik wird Spoofing genannt (=Verschleierung). Es ist technisch möglich ebenso den Urheber einer SMS zu spoofen.

Phishing for Data

Phishing ist die bekannteste Möglichkeit um Daten per E-Mail abzugreifen. Hier geht es darum Passwörter, Kontodaten, Kreditkartendaten und ähnliches beim Nutzer abzurufen.

 

Spear-Phishing – Der gezielte Angriff auf Ihre Mitarbeiter

Etwas spezieller, als das bekannte Phishing ist das Spear Phishing. Hierbei werden die manipulierten E-Mails nicht mehr wahllos verschickt, sondern gezielt an bestimmte Personen. Vorher hat der Social Engineer gründlich recherchiert und nutzt unter anderem Methoden, wie das spoofing um dem Mitarbeiter vorzugaukeln, dass die E-Mail beispielsweise vom Chef kommt. Spear Phishing schließt eine längere und gründlichere Vorbereitungszeit ein, als andere Techniken.

Ausblick

Die hier genannten Tricks sind natürlich nur ein Teil derjenigen, die im Social Engineering angewendet werden. Im dritten Teil unserer Serie werden wir erklären, was ein Engineer alles kann und wie Sie sich vor einem solchen Angriff schützen können.

Angriffe können heutzutage auf vielerlei Wegen erfolgen. Immer beliebter werden dabei die mobilen Geräte. Haben Sie sich schon einmal gefragt, ob sie wirklich sicher sind? Wir beantworten diese Frage bei unserem Live-Hacking-Event. Ein White-Hat-Hacker wird vor unserem Publikum ein fiktives System angreifen. Melden Sie sich kostenlos an!

Berichten Sie und über ihre Erfahrungen mit dem Thema Social Engineering!

Diese Seiten könnten Sie auch interessieren

Ralph Friederichs

1994 gründete er die heutige CYBERDYNE IT GmbH und ist seit dem alleiniger Gesellschafter und Geschäftsführer des Unternehmens. Ralph Friederichs ist Experte und Berater für Cloud Computing, Digitalisierung und Managed IT Services. In seiner Freizeit beschäftigt er sich mit Online Marketing und ist mit dem Mountainbike unterwegs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.