Social Engineering

Social Engineering – Freundliche Feinde

Social Engineering ist die gezielte Manipulation von Menschen. Social Engineers versuchen an Daten, Passwörter etc. zu gelangen, um Ihnen oder Ihrem Unternehmen zu schaden. Oft gelingt ihnen das leider auch heute noch. In diesem Artikel beschreiben wir Ihnen, das Social Engineering keine Erfindung des Computerzeitalters ist und erklären die verschiedenen Angriffsarten, wie Sie sich schützen können sowie was einen Social Engineer ausmacht.

Was ist Social Engineering

Social Engineering ist keine Erfindung des Computer-Zeitalters. Letztendlich geht es bei dieser Disziplin darum, dass Menschen betrogen werden. Dabei nutz der Engineer einige menschliche Schwächen aus. Mit der Hilfe der Ausnutzung von Angst, Geltungsdrang und Respekt gelingt es Engineers häufig, wertvolle Informationen herauszubekommen und sich Vorteile zu verschaffen.

Dass diese Art von Manipulation erfolgreich ist, zeigt sich auch an einem Beispiel aus den 1960er Jahren. Der Amerikaner Frank Abagnale gab sich als Arzt oder Pilot aus, obwohl er nie irgendeine Art von Ausbildung genossen hatte. Mit Hilfe dieser Außenwirkung, die die genannten Berufe erzeugen, gelang es ihm beispielsweise gefälschte Schecks einzulösen oder sonstige Gefälligkeiten einzufordern. So schaffte er es als angeblicher Pilot mehrfach kostenfrei befördert zu werden. Sein Leben wurde übrigens verfilmt: „Catch me if you can“, mit Leonardo di Caprio in der Hauptrolle.

Moderne Engineer versuchen vor allem in die Netzwerke von Unternehmen einzudringen, um dort Daten, Passwörter oder ähnliches zu erlangen. Dabei geht es entweder darum Wissen der jeweiligen Unternehmen zu beschaffen oder diese gezielt zu schädigen, etwas durch Diebstahl von Geld.

Mittlerweile sind die meisten Angriffe eine Mischung aus Online-Attacken und vorherigen Informationsbeschaffungen beispielsweise per Telefon oder direkt vor Ort im Unternehmen.

Betrifft mich das überhaupt?

Die Antwort auf die Frage, ob Sie das betrifft ist einfach zu beantworten: Ja, wenn Sie irgendeine Art von Computer nutzen. Es betrifft alle Menschen, die mit Hilfe eines Computers arbeiten. Ihr Rechner ist mit Sicherheit an das firmeneigene Netzwerk angeschlossen. Somit besteht die Möglichkeit, dass Sie ein mögliches Ziel eines Angreifers sein könnten.

Warum Sie oder Ihre Firma? Die letzten Jahre haben gezeigt, dass die Cyberkriminellen mehr auf KMUs setzen, da die Strukturen hier einfacher sind, als in großen Unternehmen.

Angriffe durch Social Engineering

Es gibt zwei Angriffsarten: passive und aktive. Bei den aktiven gibt es keinen direkten Kontakt zwischen Täter und Opfer. Ein Beispiel hierfür, ist der liegengelassen USB-Stick. Hierbei findet ein potentielles Opfer einen solchen Stick und nimmt ihn mit. Dieser war vom Täter absichtlich platziert und ist, wie könnte es anders sein, natürlich kontaminiert. Der USB-Stick enthält einen Schadcode, der aktiviert wird, sobald jemand den Stick benutzt. Weitere passive Angriffe können zum Beispiel mit Hilfe der Durchsuchung von Mülltonnen und ähnlichem erfolgen. Wie diese Angriffe genau erfolgen, dass erklären wir im zweiten Teil.

Bei aktiven Angriffen gibt es einen direkten Kontakt zwischen Opfern und Tätern. Dieser kann unter anderem über eine E-Mail, ein Telefongespräch oder auch die direkte Ansprache auf der Straße erfolgen. Der Täter versucht dabei gezielt Informationen zu erbeuten, die für den weiteren Angriff auf das jeweilige Unternehmen wichtig sein könnten.

Neben der Aufteilung in aktive und passive Angriffe, lassen sich noch zwei Kategorien als Einteilung nutzen. Hierbei wird unterschieden in technische und nicht-technische Angriffe, bzw. in Angriffe, bei denen ein Computer zum Einsatz kommt und diejenigen, die nur über die zwischenmenschlichen Beziehungen stattfinden.

Die Grenzen zwischen den einzelnen Angriffsarten verschwimmen allerdings sehr häufig. Ein direkter Kontakt zwischen Opfer und Täter kann zum Beispiel nur die Basis sein, für einen größeren Angriff. Oft versuchen die Social Engineers in einem ersten Schritt wichtige Daten zu sammeln. Dies kann schon mit einer Manipulation des Opfers einhergehen.

Die Manipulatoren

Es werden nicht immer Computer benötigt, um Menschen gezielt zu manipulieren bzw. Informationen zu erlagen. Für die Vorbereitung des eigentlichen Angriffs werden häufig einfache Wege gesucht, um mit den Mitarbeitern eines Unternehmens in Kontakt zu kommen oder um etwas über das Unternehmen herauszufinden.

Social Engineering direkt vor Ort

Cyberkriminelle verschaffen sich Zugang zu einem Unternehmen. Oftmals nehmen sie dazu die Rolle eines scheinbar beauftragten Service-Unternehmens ein und gelangen so in sensible Bereiche des Unternehmens. Ziel dabei: Möglichst unauffällig Information zu beschaffen. Mitarbeiter die ihre Passwörter auf Klebezetteln an ihrem Monitor befestigt haben sind keine Seltenheit. Ein Krimineller könnte sich auf diese Weise Passwörter besorgen. Auch wenn die Passwörter noch so kompliziert sind, sie gehören, genau wie andere sensible Daten, nicht offen auf den Schreibtisch.

Der unsichtbare Beobachter

Heutzutage ist das Arbeiten praktisch überall möglich. Mit mobilen Geräten kann man noch schnell zwischendurch in der Bahn eine Nachricht an die Kollegen schreiben oder im Café kurz die aktuelle Quartalsbilanz bearbeiten. Doch auch dies machen sich die Angreifer zu Nutzen. Gezielt werden Mitarbeiter ausgespäht. Dabei gucken Ihnen die Kriminellen buchstäblich über die Schulter.

Social Engineering am Telefon

Angreifer können auch am Telefon agieren. Dabei versuchen sie die Mitarbeiter von Unternehmen dazu zu bewegen, bestimmte Handlungen durchzuführen. Oft werden solche Szenarien mit einer druckerzeugenden Stimmung verbunden. Die Angreifer geben sich in solchen Telefonaten unter anderem als Mitarbeiter von beauftragten Serviceunternehmen und ähnliches aus.

Neu ist, dass die Mitarbeiter unter Druck gesetzt werden und größere Summen Geld überweisen sollen. Bei diesem Chef-Trick geben sich die Kriminellen als Vorgesetzte aus. Vorab haben sie schon recherchiert, dass ebendiese Vorgesetzten zu dem Zeitpunkt nicht anwesend sein werden.

Der Chef-Trick

Wie schon in unserem ersten Teil dieser Social Engineering-Serie erwähnt, werden die verschiedenen Angriffsmöglichkeiten häufig kombiniert. Hinter den Angriffen stecken nicht ein paar pubertierende Nachwuchshacker, sondern die organisierte Kriminalität. Nur so ist es möglich großen Schaden anzurichten, wie im Beispiel des Autozulieferers Leoni AG zu sehen. Vor kurzem wurde bekannt, dass das Unternehmen durch den sogenannten Chef-Trick rund 40 Millionen Euro verloren haben.

Das nordrhein-westfälische Landeskriminalamt warnte bereits im Juli 2016 vor diesem Trick. In den Monaten davor erbeuteten die Cyberkriminellen bereits 31 Millionen Euro von 39 Unternehmen aus NRW.

Social Engineering mit Computer-Unterstützung

Mit der Vernetzung von Computern hat der Social Engineer viele weitere Möglichkeiten erhalten, um die Opfer gezielt zu manipulieren. So können beispielsweise auch Telefonnummern von Dritten nachgeahmt werden. Das Opfer denkt, es würde mit dem realen Besitzer der Telefonnummer sprechen, dabei führen sie die Unterhaltung mit dem Kriminellen, der das Gespräch nutzt um Daten zu erhalten. Diese Technik wird Spoofing genannt (=Verschleierung). Es ist technisch möglich ebenso den Urheber einer SMS zu spoofen.

Phishing for Data

Phishing ist die bekannteste Möglichkeit um Daten per E-Mail abzugreifen. Hier geht es darum Passwörter, Kontodaten, Kreditkartendaten und ähnliches beim Nutzer abzurufen.

 

Spear-Phishing – Der gezielte Angriff auf Ihre Mitarbeiter

Etwas spezieller, als das bekannte Phishing ist das Spear Phishing. Hierbei werden die manipulierten E-Mails nicht mehr wahllos verschickt, sondern gezielt an bestimmte Personen. Vorher hat der Social Engineer gründlich recherchiert und nutzt unter anderem Methoden, wie das spoofing um dem Mitarbeiter vorzugaukeln, dass die E-Mail beispielsweise vom Chef kommt. Spear Phishing schließt eine längere und gründlichere Vorbereitungszeit ein, als andere Techniken.

Der Social Engineer – die Qualifikation

Ein Social Engineer kennt die wichtigsten technischen Möglichkeiten um beispielsweise Telefonnummern zu spoofen, Webseiten oder E-Mailadressen zu faken. Der Engineer ist aber auch ein Multitalent. Er kennt psychologische Tricks und weiß wie sie angewendet werden. Das Schauspielern ist dem Manipulator nicht fremd. Dies nutzt er am Telefon oder im Gespräch von Angesicht zu Angesicht, um seine Opfer um den Finger zu wickeln.

Ein großer Angriff ist relativ aufwendig. Die Opfer sollen nach Möglichkeit nichts davon mitbekommen, bzw. ohne Sorgen ihre Daten weitergeben. Wenn die potentiellen Opfer durch Technik gut geschützt sind und zusätzlich besondere Aufmerksamkeit bei menschlichen Kontakten an den Tag legen, dann muss die Attacke sehr gut vorbereitet werden. Da dies ein einzelner Hacker nicht alleine bewerkstelligen kann, ist davon auszugehen, dass bei High-Profile-Opfern in der Regel ein ganzes Team im Hintergrund arbeitet und das Opfer ausspäht.

Wie können sich Nutzer vor einem Social Engineer schützen?

Die Wahrscheinlichkeit von einem Streuangriff erwischt zu werden, ist erst einmal höher, als Opfer eines gezielten Angriffs zu werden. Streuangriffe richten sich nicht an bestimmte Personen. Die Täter versuchen damit nicht gezielt Unternehmen bzw. Personen anzugreifen, sondern „streuen“ zum Beispiel ihre Phishing Mails. Auch mit diesen Angriffen haben Sie häufig Erfolg. Zu viele Menschen klicken sorglos auf Links in Emails oder geben Ihre Passwörter oder ähnliches auf nachgeahmten Login-Seiten ein.

Dennoch besteht immer die Gefahr, dass ein Angriff gezielt gegen einen Geschäftsführer oder einen Mitarbeiter gerichtet ist. Wir empfehlen, dass Sie alle Mitarbeiter sowie die leitenden Angestellten und ebenfalls die Geschäftsführer regelmäßig schulen lassen, damit sie wissen, worauf sie achten müssen.

Einige Tipps für Sie

  • Seriöse Unternehmen und Institutionen werden Sie niemals mit Hilfe von Telefon oder E-Mail dazu auffordern, Ihre Nutzernamen und/oder Passwörter irgendwo einzugeben. Rufen Sie die entsprechenden Unternehmen einfach an, wenn Sie sich unsicher sind. Natürlich nutzen Sie dazu die Kontaktdaten, die Sie schon vorab erhalten haben.
  • Wenn Ihr Chef Ihnen eine E-Mail schickt, die er normalerweise nicht in dieser Form schreiben würde, dann rufen Sie ihn einfach an und erkundigen sich, ob es wirklich seine Nachricht ist. Vor allem dann, wenn Ihr Chef nicht im Haus ist und Sie um etwas Dringendes bittet, wie zum Beispiel eine Überweisung.
    Woran Sie erkennen, ob eine E-Mail echt ist, dass erklären wir Ihnen gerne:

  • Vernichten Sie Ihre Daten! Besonders Rechnungen, Lohnlisten und ähnliches auf Papier sollten nicht einfach in die Abfalltonne wandern. Schreddern Sie das Papier oder lassen Sie es von professionellen Aktenvernichtern entsorgen.
  • Genauso sollten Sie mit ausrangierten Festplatten und Datenträgern umgehen. Eine professionelle Vernichtung ist hier empfehlenswert.
  • Social Engineers nutzen fremde Identitäten, wenn sie ein Unternehmen betreten. Achten Sie darauf, wer durch Ihre Büros läuft. Hacker könnten versuchen, beispielsweise mit Hilfe von USB-Sticks Überwachungssoftware oder Trojaner auf einem Ihrer Rechner zu installieren.
  • Seien Sie nicht digital sorglos. Nutzen Sie fremde USB-Sticks oder andere Speichermedien nur, wenn Ihre IT-Abteilung diese getestet hat. Oft werden auf Parkplätzen von Unternehmen Speichermedien ausgelegt in der Hoffnung, dass ein Mitarbeiter diese mitnimmt. Viele Menschen tun den Engineers diesen Gefallen und benutzen Sie an ihren Rechnern. Damit erhöhen sie die Chance, dass Schadcode auf den Rechnern landet. Dies kann unter Umständen kritische Folgen haben.

Die technische Seite

Aber nicht nur diese „menschlichen“ Tipps sollten Sie beachten. Es ist auch wichtig, dass Ihre technische Grundausstattung stimmt. In unserem Handbuch „IT-Sicherheit – 10 Basics“ geben wir Ihnen Tipps, wie Sie Ihre IT-Sicherheit erhöhen können. Laden Sie es sich ganz einfach kostenlos runter!

Diese Seiten könnten Sie auch interessieren

Ralph Friederichs

1994 gründete er die heutige CYBERDYNE IT GmbH und ist seit dem alleiniger Gesellschafter und Geschäftsführer des Unternehmens. Ralph Friederichs ist Experte und Berater für Cloud Computing, Digitalisierung und Managed IT Services. In seiner Freizeit beschäftigt er sich mit Online Marketing und ist mit dem Mountainbike unterwegs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.