Cyber Security Month: Social Engineering Angriffe
Social Engineering Angriffe? In dem diesjährigen „Cyber Security Month“ steht das Thema Social Engineering im Fokus und ist unser letzter Teil der gleichnamigen Blog-Serie im Oktober 2023. Was Sie genau unter dem Begriff „Social Engineering“ verbirgt, erfahren Sie im Blogbeitrag „Identitätsdiebstahl im Internet: Was ist Social Engineering?“.
In dem nachfolgenden Beitrag gehen wir auf die häufigsten Social Engineering Angriffe im Alltag näher ein und stellen diese im Einzelnen vor.
Social Engineering Angriffe: Welche Szenarien gibt es?
Social Engineering kann heutzutage als bildende Maßnahme für die Allgemeinen und ebenfalls als Dienstleistung an Unternehmen genutzt werden. Sogenannte Social Engineers finden Schwachstellen und Einfallstore im Netzwerk oder Systems, bevor Hackende diese für ihre kriminellen Absichten ausnutzen können. Das Unternehmen kann die vom Social Engineer gefundenen Schwachstellen „reparieren“ und das Unternehmensnetzwerk sicherer machen.
Social Engineering vs. Hacking: Angriffe und Praktiken
Im Endendeffekt nutzen Social Engineers die gleichen Praktiken und Vorgehensweise, wie die hackenden Kriminellen selbst, allerdings um unsere Welt ein Stück sicherer zu machen. Denn diese testen und hacken auf Wunsch des in auftraggebendes Unternehmen und in dessen festgelegten vertraglichen Rahmen und Richtlinien.
Dabei sind die gängigsten Social Engineering Angriffe, die durch Cyberkriminellen erfolgen:
- Phishing
- Spear-Phishing
- Vishing
- Pretexting
- Baiting
- Tailgating
- Quid pro Quo
- Impersonation
- Pharming
- Watering Hole-Angriffe
Natürlich gibt es eine Vielzahl von unterschiedlichen und kombinierten Varianten der Social Engineering Angriffe. Wie oben beschrieben, sind dies die häufigsten Angriffe in unserem Alltag, bei denen Kriminellen erfolgreich in Ihr Unternehmensnetzwerk sich einschleusen, ihr Netzwerk kompromittieren oder gar schädigen können.
Es ist wichtig zu verstehen, sich der Risiken bewusst zu machen und sich auf die möglichen Szenarien vorzubereiten. Nur wer die Angriffe kennt, kann sich gegen die wahre Bedrohung der kriminellen erfolgreich wehren, verteidigen oder gar diese verhindern.
Im Nachfolgenden Abschnitt stellen wir Ihnen diese im Einzelnen vor:
Phishing Angriffe kommen fast täglich vor, besonders in der E-Mail-Kommunikation!
Phishing Angriffe sind tatsächlich die häufigste Bedrohung in unserer digitalen Welt. Bei der Methode versucht der Angreifer, Personen dazu zu verleiten, vertrauliche Informationen, wie beispielsweise Passwörter, Kreditkartendaten oder auch persönliche Daten abzugreifen.
Der Angreifer sendet Ihnen eine gefälschte E-Mail zu, die Sie nur schwer von einer „echten“ E-Mail erkennen können. Der Angreifer manipuliert den Absender, damit dieser von legitimen und glaubwürdigen Organisationen und Personen stammt. Besonders auffällig ist hierbei der Drang eine Handlung auszuführen. Der Klassiker ist hierbei, dass Sie einen augenscheinlich harmlosen Link in der E-Mail anklicken sollen. Das ist der sogenannte VIP-Pass für die Kriminellen. Einmal von Ihnen geklickt, baut sich für diesen ein Zugang auf, welcher der Angreifer nutzen kann, in Ihr Netzwerk zu gelangen und Ihnen zu schaden.
Phishing, Spear Phishing, Whaling, Pharming, Link-Manipulation & Cross-Site-Scripting
In unserem Blogbeitrag „Phishing-Schutz: So erkennen Sie Phishing und schützen sich“ erhalten Sie weitere Informationen zum Thema Phishing und wie Sie die Manipulation erkennen.
Spear-Phishing: Das abgreifen von vertraulichen Informationen über Scam & Malware
Spear-Phishing gehört, wie der Name schon sagt, zum Phishing. Bei der Art von Scam wird der Empfänger verleitet, dem Angreifer vertrauliche Informationen zu übergeben. Hierbei liegt der Fokus auf den Anmeldeinformationen der Zielperson.
In Kombination nutzen die Angreifer meist Links oder Anhänge in den jeweiligen E-Mails, sodass der Empfänger Malware herunterlädt. Diese Malware ermöglicht es dem Angreifer, Zugriff auf das Computersystem des Benutzers zu bekommen, im Firmennetzwerk einzudringen und vertrauliche Informationen abzugreifen. Die zielgerichtete Ausführung von Spear-Phishing unterscheidet sich von einer herkömmlichen Phishing-Mail. Der Angreifer sammelt in Vorfeld zielgerichtete Informationen über Sie zur Recherche und schickt Ihnen im Angriffsszenario eine persönlich an Sie andressierte Nachricht, um die Wahrscheinlichkeit eines Erfolgs zu erhöhen.
Spear Phishing als konkreten Angriff: Sie sind die Zielperson!
In unserem Beitrag „Spear Phishing mit Emotet“ erhalten Sie einen detaillierten Einblick in das Vorgehen eines Spear Phishing Angriffs, was Sie präventiv und im Falle eines erfolgreichen Angriffs des Kriminellen umsetzen können, um sich und Ihr Netzwerk zu schützen.
Vishing: Angriffe auch über das Telefon „Hallo Kollege/Kunde“
Bei einem Vishing Angriff versucht der Angreifer, Informationen über das Telefon vom Opfer zu erhalten. Der Begriff „Vishing“ leitet sich von „Voice Phishing“ ab.
Das meistbekannteste Vorgehen bei Vishing ist wie folgt: Die Angreifer geben sich oft als vertrauenswürdige Person der Organisation aus, um ihre Opfer dazu zu bringen, sensible Daten preiszugeben. Diese erhalten sie meist durch einen gründlichen und guten Backgroundcheck der Person, sowie auf diese Person angepasster Geschichte. Den Angriff verschleiern diese durch eine angepasste IP-Telefonat, welches sie manipulieren. Spricht die Nummer, die Ihnen angezeigt wird, ist nicht die gleiche Nummer, die Sie wirklich anruft.
Hier ein Beispiel für ein „Vishing-Szenario“:
Der Angreifer gibt sich zum Beispiel als Bankmitarbeiter aus und behauptet, es gäbe ein Problem mit dem Konto des Opfers. Das Opfer wird dabei aufgefordert, die entsprechende Kontonummer und PIN über das Telefon zu bestätigen, um das benannte Problem zu lösen. In Wirklichkeit handelt es sich jedoch um einen Betrugsversuch, bei dem der Angreifer lediglich die persönlichen Informationen des Opfers stiehlt, um damit kriminelle Transaktionen durchzuführen.
Pretexting: Angriff durch glaubwürdigen Vorwand
Bei „Pretexting“ steckt ein Angriff dahinter, bei dem Angreifer durch das Erfinden einer glaubwürdigen Geschichte oder eines Vorwands versuchen, persönliche Informationen des Opfers zu erhalten. Im Gegensatz zu Vishing wird hier das Opfer im Vorfeld beispielsweise per E-Mail kontaktiert und auf den Missstand aufmerksam gemacht. Das Ziel des Angreifers ist auch hier die vertraulichen Daten, wie beispielsweise persönliche Identifikationsnummern (PINs), Passwörter oder andere sensible Informationen.
Ein Beispiel für Pretexting könnte sein, wenn ein Angreifer sich im Anschluss am Telefon als IT-Supportmitarbeiter ausgibt und behauptet, dass das Opfer ein dringendes Sicherheitsproblem auf seinem Computer hat. Hier wird meist auf eine E-Mail verwiesen, die bereits vor mehreren Tagen an das Opfer geschickt worden ist und dass genau jener Fall eingetreten ist.
Der Angreifer bittet das Opfer, sich in sein Online-Bankkonto einzuloggen, um angebliche Sicherheitsprobleme zu überprüfen, um diese schnellstmöglich zu beheben. Währenddessen fordert der Angreifer das Opfer auf, seine Anmeldedaten preiszugeben, indem er vorgibt, diese Informationen für die „Überprüfung“ zu benötigen. In Wirklichkeit handelt es sich jedoch um einen Betrugsversuch, bei dem der Angreifer persönliche Daten stiehlt. Die Dringlichkeit ist hierbei ebenfalls ein entscheidender Faktor, da man umgehen möchte, dass das Opfer zu sehr nachdenkt und lieber handelt im Sinne des Angreifers.
Baiting: Das verlockende Angebot als Köder für deine Daten
„Baiting“ ist eine Betrugsmethode, bei der Angreifer schädliche Inhalte oder Dateien bereitstellen, welche von dem Opfer heruntergeladen und installiert werden. Der Begriff leitet sich von „Bait“ (Köder) ab, da die Angreifer Opfer mit verlockenden Angeboten oder Inhalten ködern, um ihre persönlichen Informationen preiszugeben oder Schadsoftware auf deren Geräte zu schleusen.
Ein Beispiel für Baiting wäre, wenn ein Angreifer eine gefälschte Datei mit einem irreführenden Namen, wie „Kostenlose Film-Streaming-Software“ in einer Online-Tauschbörse oder auf einer Website zum Download anbietet. Nutzer, die auf den Köder hereinfallen, laden die Datei herunter und installieren sie auf ihrem Computer. In Wirklichkeit handelt es sich jedoch um schädliche Software, die vertrauliche Daten stiehlt oder den Computer des Opfers infiziert.
Tailgating: Einschleusen bei der Zugangskontrolle
„Tailgating“ ist eine physische Sicherheitsbedrohung, bei der eine Person unbefugten Zugang zu einem gesicherten Bereich oder Gebäude erhält, indem sie sich hinter einer autorisierten Person durch eine Zugangskontrolle schleust. Der Begriff leitet sich von der Idee ab, dass die unbefugte Person „auf den Fersen“ der autorisierten Person geht, um Zugang zu erhalten.
Ein Beispiel für Tailgating wäre, wenn ein Mitarbeiter eines Bürogebäudes seine Sicherheitskarte benutzt, um die Eingangstür zu öffnen, und eine unbekannte Person, die sich als Besucher ausgibt, direkt hinter ihm hereinschlüpft, ohne eine eigene Sicherheitskarte zu verwenden. Diese unbefugte Person nutzt die Gelegenheit, um Zugang zum Gebäude zu erhalten, ohne die erforderlichen Berechtigungen zu haben. Tailgating kann die physische Sicherheit eines Gebäudes gefährden und sollte daher vermieden werden, indem strenge Zugangskontrollen und Aufklärung der Mitarbeiter durchgeführt werden.
Quid pro Quo: Eine Hand wäscht die Andere!
Bei diesem Angriff verspricht der Angreifer eine Gegenleistung im Austausch für bestimmte Informationen oder Aktionen von der Zielperson. Der Ausdruck „Quid pro Quo“ leitet sich von Latein ab und bedeutet „etwas für etwas“.
Ein Beispiel für „Quid pro Quo“ wäre, wenn ein Angreifer sich als IT-Supportmitarbeiter ausgibt und anruft, um einem Opfer zu versprechen, seine Computerprobleme zu beheben, wenn das Opfer seine Anmeldedaten (Benutzername und Passwort) preisgibt. Das Opfer könnte versucht sein, auf das Angebot einzugehen, da es Hilfe bei seinen Problemen sucht. In Wirklichkeit ist dies jedoch ein Betrugsversuch, bei dem der Angreifer die Anmeldedaten erhält, um unbefugten Zugriff auf das System des Opfers zu erhalten und Schaden anzurichten.
Impersonation: Nutzung falscher Identitäten
„Impersonation“ bezieht sich auf die Täuschung, bei der eine Person oder Entität vorgibt, jemand oder etwas anderes zu sein. Dies wird oft in der Cyberkriminalität und im Bereich der Social Engineering-Angriffe verwendet, um Vertrauen zu gewinnen oder Opfer in die Irre zu führen. Impersonation kann in verschiedenen Kontexten auftreten, einschließlich gefälschter Identitäten, gefälschter E-Mails oder gefälschter Websites.
Ein konkretes Beispiel für Impersonation wäre ein Phishing-Angriff, bei dem ein Angreifer eine E-Mail sendet, die vorgibt, von einer bekannten Bank zu stammen. Die E-Mail könnte den Empfänger auffordern, dringende Maßnahmen zu ergreifen, indem er auf einen Link klickt und seine Bankdaten eingibt. In Wirklichkeit handelt es sich jedoch um eine gefälschte E-Mail, bei der der Angreifer die Identität der Bank impersoniert, um vertrauliche Informationen zu stehlen. Die Opfer könnten in die Falle tappen, da sie glauben, dass die E-Mail tatsächlich von ihrer Bank stammt.
Pharming: Umleiten auf Fake-Seiten und Fake-Shops
Angreifer manipuliert DNS-Einträge oder verwenden schädliche Software, um Benutzer auf gefälschte Webseiten umzuleiten, wo diese ihre regulären Anmeldedaten eingeben und somit den Kriminellen preisgeben.
„Pharming“ ist eine Art von Cyberangriff, bei dem Angreifer versuchen, den Datenverkehr von Benutzern umzuleiten, um sie auf gefälschte Websites oder Server umzuleiten. Ziel des Pharming ist es, persönliche Informationen, wie Anmeldeinformationen oder Kreditkartendaten, abzugreifen. Im Gegensatz zum Phishing, bei dem Benutzer auf gefälschte Websites gelockt werden, ändert beim Pharming der Angreifer die DNS-Einträge oder verwendet andere Methoden, um den Datenverkehr umzuleiten, ohne dass die Benutzer dies bemerken.
Ein Beispiel für Pharming wäre, wenn ein Angreifer schädliche Software auf dem Computer eines Opfers installiert, die heimlich die DNS-Einstellungen des Systems ändert. Dadurch wird der Datenverkehr, wenn das Opfer beispielsweise versucht, die Website seiner Bank zu besuchen, auf eine gefälschte Bankwebsite umgeleitet, die genauso aussieht wie die echte Website. Das Opfer gibt dann unwissentlich seine Anmeldeinformationen auf der gefälschten Website ein, und die Angreifer können diese Daten erfassen und missbrauchen. Pharming-Angriffe sind besonders gefährlich, da sie Benutzer auf gefälschte Websites umleiten, ohne dass sie Verdacht schöpfen.
Watering Hole-Angriffe: Taktisch ausgeklügelte Angriffe gegen Personengruppen
„Watering Hole-Angriffe“ sind zielgerichtete Cyberangriffe, bei denen Angreifer Websites oder Online-Ressourcen ins Visier nehmen, die von den potenziellen Opfern regelmäßig besucht werden. Die Angreifer kompromittieren diese vertrauenswürdigen Websites, um Malware auf den Geräten der Besucher zu verbreiten und vertrauliche Informationen zu stehlen. Der Name „Watering Hole“ leitet sich von der Analogie ab, dass Angreifer an einer Wasserstelle auf Beute warten, ähnlich wie Raubtiere an Wasserstellen auf Beute warten.
Ein Beispiel für einen Watering Hole-Angriff könnte sein, wenn Angreifer eine Website eines Branchenverbandes infiltrieren, die von vielen Fachleuten in einer bestimmten Branche besucht wird. Die Angreifer könnten schädliche Software auf der Website platzieren, um Besucher mit Malware zu infizieren, wenn sie die infizierte Website aufrufen. Diese Besucher könnten sich in der Branche gut vernetzt und hochrangig in Unternehmen sein, was es den Angreifern ermöglicht, wertvolle Informationen zu sammeln oder Zugriff auf geschützte Systeme zu erlangen. Watering Hole-Angriffe sind heimtückisch, da sie auf vertrauenswürdigen Quellen basieren und Opfer oft nichtsahnend die infizierten Websites besuchen.
Fazit: Gesunde Skepsis bleibt die beste Verteidigung!
Egal, welche Angriffsszenarien Sie in Ihrem Unternehmen haben, bleiben Sie immer misstrauisch. Diese gesunde Skepsis kann Ihnen und Ihrem Unternehmen dabei helfen, als Prävention erst gar keine Möglichkeit den Kriminellen zu bieten, sich in Ihr Unternehmen einzuschleusen.
Bei persönlichen Daten, Ihren Zugangsdaten, Dokumenten oder auch bei Software sollten bei Ihnen die innerlichen „Alarmglocken“ klingen. Öffnen Sie unter keinen Umständen die Anhänge oder Links solcher E-Mail. Überprüfen Sie immer den Absender, rufen Sie ggf. bei genannter Person oder Unternehmen an und lassen Sie sich die E-Mail verifizieren, dass diese kein Scam oder Phishing-E-Mail ist. Ebenfalls ist es auch ratsam, Ihre IT-Abteilung oder das Anti-Phishing-Team über die verdächtigen Ereignisse zu informieren, damit entsprechende Maßnahmen ergriffen werden können.
Prävention: Das können Sie immer gegen Social Engineering Angriffe tun!
- Halten Sie stets Ihre Software, insbesondere Betriebssysteme und Antivirenprogramme auf dem neusten Stand der Technik; ebenfalls aktualisieren Sie stets Ihre Treiber, Programme und Plugins.
- Verwenden Sie stehts Multi-Faktor-Authentifizierungen (MFA), um Ihre Konten zusätzlich abzusichern.
- Wechseln Sie regelmäßig Ihre Passwörter.
- Sensibilisieren Sie sich und Benutzer in Ihrem Unternehmen und Organisation durch Schulungen und Tests im Hinblick auf die Angriffe.
- Integrieren Sie ein Notfallmanagement und schaffen Sie Prozesse im Incident-Management.
Haben Sie Fragen rund um IT-Security? Nehmen Sie gerne Kontakt zu uns auf!
Schreibe einen Kommentar