Es ist Montagmorgen; Sie haben eine frische Tasse Kaffee in der Hand und sind bereit, die E-Mails vom Wochenende zu überprüfen. Es ist eine E-Mail vom CFO eingegangen, in der um die umgehende Zahlung einer angehängten überfälligen Rechnung gebeten wird, die vom Finanzteam übersehen wurde.
Es würde eine massive Nachlieferungsgebühr anfallen, wenn die Rechnung für die ausstehenden Produkte nicht bezahlt werde. Als die Person, die normalerweise für die Bezahlung solcher Rechnungen zuständig ist, spüren Sie ein mulmiges Gefühl im Magen, und befürchten, dass Sie einen massiven Fehler gemacht haben.
In dem Bestreben, diese Angelegenheit so schnell wie möglich zu klären und das Team nicht im Stich zu lassen, antworten Sie auf die E-Mail des CFO, um einige Details zu klären. Sie erhalten prompt eine Antwort mit Lob, dass Sie diese Aufgabe so schnell aufgegriffen haben, und man ist dankbar, dass die Angelegenheit gelöst wird.
Mit dem Selbstvertrauen, das Sie aus der Bestätigung der Details durch den CFO gewonnen haben, autorisieren Sie schnell die Zahlung der Rechnung und geben die Zahlungsanweisung in das System ein. Nach einem tiefen Atemzug und einem langen Schluck Kaffee fühlen Sie sich viel besser und entgehen knapp einer möglichen Katastrophe am Morgen.
Dieses Gefühl hält nicht lange an, denn Sie erhalten einen Anruf vom CFO, der die Zahlung einer vermeidlich betrügerischen Rechnung in Frage stellt.
Nach der Untersuchung der E-Mail durch das IT-Team stellt sich heraus, dass Sie das Opfer eines Spear-Phishing-Social-Engineering-Angriffs geworden sind, bei dem der Angreifer eine E-Mail-Domain verwendete, die der des Unternehmens ähnlich war und die Sie in der anfänglichen Panik kaum bemerken konnten.
Obwohl dies nur eine hypothetische Geschichte ist, ist dieses Szenario im modernen Arbeitsleben allzu häufig anzutreffen. Einer der bekannteren Social-Engineering-Angriffe war der auf Ubiquiti (UBNT) im Jahr 2015.
Der Angreifer richtete sich an die Finanzabteilung und sandte eine Unternehmens-E-Mail, die so aussah, als käme sie von einem leitenden Angestellten. Ubiquiti hat nie die genauen Details der E-Mail preisgegeben, aber es wurde spekuliert, dass der Domainname der E-Mail-Adresse so gestaltet war, dass er der Unternehmensdomain ähnelte.
Die Betrüger überzeugten das interne Team, Benutzernamen und Passwörter für Finanzsysteme zu teilen, was den Angreifern ermöglichte, etwa 46,7 Millionen US-Dollar auf ausländische Konten zu überweisen.
Diese Arten von Social-Engineering-Angriffen nehmen zu, wobei jedes Jahr komplexere und ausgeklügelte Methoden von Angreifern eingesetzt werden. Wir werden einige der Arten von Social-Engineering-Angriffen behandeln und erklären, wie diese erkannt und verhindert werden können.
Wie funktionieren Social-Engineering-Angriffe?
Social-Engineering stellt eine Form des Hacking dar, die unmittelbar auf die menschliche Komponente abzielt. Ihr Hauptziel besteht darin, Informationen zu erlangen, Geld zu gewinnen oder Identitätsdiebstahl zu begehen.
Die Absicht des Hackers besteht darin, psychologische Manipulationen einzusetzen, um Gefühle wie Dringlichkeit, Angst, Neugier oder Verlegenheit zu wecken und den Empfänger emotional zu überlasten. Diese starken Emotionen können in uns Reaktionen in Form von Kampf oder Flucht auslösen und den Amygdala-Teil des Gehirns aktivieren, der für instinktive Entscheidungsfindung zuständig ist, anstatt den präfrontalen Kortex, der für rationale Entscheidungen verantwortlich ist.
Durch die Ausnutzung menschlicher Schwachstellen und die Umgehung bewusster Entscheidungsprozesse im präfrontalen Kortex wird unser Urteilsvermögen beeinträchtigt, was zu unlogischen Entscheidungen führen kann.
Im heutigen modernen Arbeitsumfeld sind die meisten von uns kontinuierlich kleinen, stressigen Situationen ausgesetzt, die dazu führen, dass die Amygdala mehrmals am Tag aktiviert wird. Bei geringfügigen zusätzlichen oder überraschenden Belastungen kann dies ausreichen, um Menschen zu irrationalen Reaktionen zu veranlassen, die sie im Nachhinein nur schwer erklären können.
Dies verdeutlicht die Effektivität von Social-Engineering in den meisten Organisationen und unterstreicht die Bedeutung von Investitionen in die Achtsamkeit und das Bewusstsein der Mitarbeiter, um sich gegen bösartige Absichten von Cyberkriminellen zu schützen.
Angesichts der zunehmenden Vielfalt von Social-Engineering-Angriffen kann es für Organisationen eine herausfordernde Aufgabe sein, ihre Abwehrmaßnahmen auf dem neuesten Stand zu halten.
Die verschiedenen Techniken der Social-Engineering-Angriffe
Es existieren zahlreiche Arten von Social-Engineering-Arten und -Techniken, die alle auf unsere psychologischen Schwachstellen abzielen. Häufig wird betont, dass unabhängig davon, wie viel Zeit, Geld oder Ressourcen in die IT-Sicherheit investiert werden, der größte Angriffspunkt nach wie vor der Mitarbeiter ist.
Daher ist es von entscheidender Bedeutung, die Angriffstechniken und aktuellen Bedrohungen zu verstehen und stets auf dem neuesten Stand zu bleiben. Um zu begreifen, wie diese Angriffe die Organisation beeinflussen können, ist es ratsam, sich mit den von Angreifern verwendeten Methoden vertraut zu machen.
Obgleich diese Liste kontinuierlich erweitert wird, skizzieren die folgenden Punkte die verschiedenen Arten von Social-Engineering-Angriffen, die heutzutage beobachtet werden.
Phishing
Phishing-Angriffe sind wahrscheinlich die am weitesten verbreitete Methode des Social-Engineerings. Sie erfolgen in der Regel über E-Mail- oder SMS-Kampagnen, mit dem Ziel, beim Empfänger ein Gefühl von Dringlichkeit, Angst, Neugierde oder Verlegenheit zu erzeugen.
In der Regel wird der Empfänger aufgefordert, eine bestimmte Aufgabe oder Aktion durchzuführen, die dazu führen kann, dass sensible Informationen preisgegeben werden, bösartige Links angeklickt oder Anhänge mit eingebetteter Malware geöffnet werden.
Spear Phishing
Der Spear-Phishing-Angriff ist eine gezieltere Variante des Phishing-Angriffs. Er richtet sich in der Regel explizit auf ein bestimmtes Ziel innerhalb einer Organisation, basierend auf dessen Rolle oder Position.
Im Vergleich zum herkömmlichen Phishing erfordert Spear-Phishing einen erheblich größeren Aufwand von Seiten des Angreifers. Die Nachrichten werden in der Regel mithilfe im Laufe der Zeit gesammelter Informationen erstellt, um die Erfolgschancen zu maximieren. Oft geht dies so weit, dass der Angreifer zwischen verschiedenen potenziellen Zielen wechselt, um letztendlich sein Hauptziel zu erreichen, um einen höheren Gewinn zu erzielen.
Diese Art von Angriffen ist in der Regel schwieriger zu erkennen als andere Formen des Social-Engineerings und enthält oft Formulierungen oder Verhaltensweisen, die auch von internen Mitarbeitern verwendet werden.
Whaling
Das sogenannte Whaling kommt zum Einsatz, wenn das Hauptaugenmerk auf den „großen Fisch“ innerhalb eines Unternehmens gerichtet ist, normalerweise sind dies hochrangige Führungskräfte, Regierungsbeamte oder hohe Autoritätspersonen. Das Ziel des Angreifers in einem Whaling-Angriff besteht darin, den “Wal” zu täuschen, sodass dieser eine erhebliche finanzielle Auszahlung leistet oder sensible Informationen preisgibt. Beim Whaling handelt es sich in der Regel um eine Kombination verschiedener Social-Engineering-Angriffsarten, wie z.B. Baiting, um die Erfolgschancen zu maximieren.
Smishing & Vishing
Smishing ist die Methode des Phishings, die über SMS-Textnachrichten erfolgt. Angreifer verwenden häufig gefälschte Telefonnummern, um umfangreiche Smishing-Kampagnen durchzuführen, die in der Regel Links zu schädlichen Websites enthalten.
Vishing hingegen ist die sprachliche Variante des Phishings und wird über das Telefon durchgeführt. Diese Art von Social-Engineering-Angriffen zielt normalerweise auf die Personalabteilung oder die IT-Abteilung eines Unternehmens ab, mit dem Ziel, Informationen zu extrahieren oder unbefugten Zugriff auf Systeme zu erlangen.
Baiting
Baiting (“Ködern”) beinhaltet in der Regel die Methode des falschen Versprechens, um das Interesse eines Opfers durch Gier oder Neugier zu wecken. Das Hauptziel besteht darin, persönliche Informationen zu extrahieren oder schädliche Software auf das Gerät des Opfers zu installieren.
Die gebräuchlichste Methode des Baitings ist die Verwendung von scheinbar harmlosen USB-Sticks, die auf Parkplätzen oder in Firmen platziert werden. Der Angreifer bestückt diese USB-Sticks mit Malware und beschriftet sie in einer Weise, die das Interesse des potenziellen Opfers weckt. Sobald der USB-Stick in einen Computer eingesteckt wird, kann die Malware übertragen und das Opfer infiltriert werden.
Andere Formen des Baitings beinhalten verlockende Werbeanzeigen oder sogar QR-Codes in öffentlichen Bereichen. Das Ergebnis ist in allen Fällen dasselbe: Das Zielgerät wird mit Malware infiziert.
Piggybacking & Tailgating
Eine weitere Methode des physischen und socialen Engineerings ist das Piggybacking und Tailgating. Bei diesen Methoden folgt der Angreifer einfach anderen Mitarbeiter beim Betreten des Firmengebäudes und schleicht sich so heimlich in gesicherte Bereiche. In manchen Fällen verkleiden sich Angreifer als Wartungspersonal, Lieferfahrer oder Servicemitarbeiter, um die Chancen, erwischt zu werden, zu verringern.
Pretexting
Pretexting ist eine Form des Social-Engineerings, bei der ein Angreifer eine falsche Identität oder eine erfundene Geschichte verwendet, um das Vertrauen einer Person zu gewinnen und sie dazu zu bringen, sensible Informationen preiszugeben oder bestimmte Handlungen auszuführen.
Dies kann beispielsweise die Darstellung als vertrauenswürdige Person oder als Mitarbeiter eines Unternehmens umfassen. Pretexting nutzt oft Manipulation und Täuschung, um die Opfer dazu zu bringen, Informationen preiszugeben oder Handlungen auszuführen, die sie normalerweise nicht tun würden.
Business Email Compromise (BEC) & Email Account Compromise (EAC)
Business-E-Mail-Kompromittierung (BEC) ist ein Betrug, bei dem Angreifer das E-Mail-Konto einer Person oder eines Unternehmensmitarbeiters übernehmen, um betrügerische E-Mails zu senden.
E-Mail-Konto-Kompromittierung (EAC) bezieht sich auf den allgemeinen Akt des Konto-Hackens, bei dem Angreifer Zugriff auf E-Mail-Inhalte erhalten und E-Mails im Namen des Benutzers versenden können. In beiden Fällen können sie Geldtransfers oder den Diebstahl sensibler Informationen initiieren.
Quid Pro Quo
„Quid Pro Quo“, ein lateinischer Ausdruck, der „etwas für etwas“ bedeutet, wird vor allem dann angewendet, wenn ein Angreifer dem Opfer einen Gefallen in Aussicht stellt, um Informationen zu erhalten.
Einige Beispiele hierfür sind das Angebot von Geschenkkarten im Austausch für die Teilnahme an einer Umfrage, das Testen von Software oder das Verbessern der Internetverbindung durch Erlaubnis für einen Techniker, bestimmte Dinge auf dem Computer auszuprobieren.
Honeytraps
Die Honeytraps, vor allem im Zusammenhang mit gefälschten romantischen Beziehungen, nutzt das romantische oder körperliche Interesse des Opfers aus, um Geld, Geschenke oder kompromittierende Informationen zu erpressen, die dann für weitere Ausbeutungszwecke verwendet werden können.
Obwohl dies in der Regel nicht unmittelbar Unternehmen betrifft, kann es dennoch Auswirkungen auf das berufliche Leben des Opfers haben und in einigen Fällen sogar zur Entnahme von Unternehmensgeldern oder sensiblen Informationen führen.
Scareware
Scareware wird oft als getarntes Antivirenprogramm oder irreführende Anzeige wahrgenommen. Diese Anzeigen tauchen üblicherweise mit Warnungen über angeblich auf dem System vorhandene Viren auf, um die Nutzer dazu zu verleiten, die gefälschte Antivirensoftware herunterzuladen.
In vielen Fällen veranlasst die heruntergeladene Software die Nutzer auch dazu, das Antivirenprogramm käuflich zu erwerben, um die vermeintlichen Viren zu beseitigen. Dies führt in der Regel dazu, dass Kreditkartendaten erlangt werden oder Geld von Konten gestohlen wird.
Watering-Hole Angriff
Der Begriff Watering-Hole Angriff wird abgeleitet von „Vergiftung der Wasserstelle“ und impliziert damit die Infiltrierung einer scheinbar guten Quelle. Bei einem Watering-Hole-Angriff werden bekannte Webseiten bewusst manipuliert, sodass Besucher dazu gebracht werden, auf dort enthaltene Links zu klicken.
Auf diese Weise kann der Angreifer das System der Zielpersonen mit bösartigem Code infizieren.
So erkennt und verhindert man die meisten Arten von Social-Engineering-Angriffen
Eine effektive Methode zur Erkennung von Social-Engineering-Angriffen besteht darin, den Inhalt auf folgende Merkmale zu prüfen:
- Überprüfen Sie die E-Mail-Adresse des Absenders, indem Sie mit der Maus über den Namen des Absenders fahren. Ist die E-Mail-Domain falsch, fehlerhaft geschrieben oder leicht abweichend?
- Achten Sie auf die Betreffzeile der E-Mail. Enthält sie dringliche oder stark emotional aufgeladene Formulierungen?
- Finden sich Rechtschreib- oder Grammatikfehler im Text der E-Mail?
- Stellen Sie eine Verbindung zwischen der Nachricht und Ihrer Rolle oder Situation fest?
- Gibt es verdächtige Links oder Anhänge?
- Haben Sie den Absender zuvor gesehen, getroffen oder mit ihm interagiert?
- Klingt das Angebot zu gut, um wahr zu sein?
Obwohl diese Fragen vor allem auf Phishing abzielen, ist es ratsam, sich von der emotionalen Intensität, die der Angreifer erzeugen möchte, nicht beeinflussen zu lassen. Es ist wichtig, bei unbekannten Kontakten oder unerwünschter Kommunikation grundsätzlich skeptisch zu sein.
In physischen Szenarien sollten Sie eine Identifizierung verlangen und immer persönlich oder telefonisch Kontakt mit Kollegen aufnehmen, wenn Ihnen etwas verdächtig erscheint. Verzögern Sie Handlungen und nehmen Sie sich einen Moment Zeit, um die Situation zu analysieren, damit Ihr präfrontaler Kortex die Hauptrolle übernehmen kann.
Diese Herangehensweise trägt dazu bei, Social-Engineering-Angriffe erfolgreich zu reduzieren.
Warum Hacker Ihre Passwörter nicht benötigen
Ein vorrangiges Ziel für viele Social-Engineering-Hacker besteht darin, sich innerhalb einer Organisation seitwärts zu bewegen. Wenn sie einmal Zugriff auf die Daten eines Opfers haben, suchen sie oft nach weiteren Zielen mit erweiterten Systemberechtigungen oder Zugriffsrechten.
In diesem Zusammenhang treten Social-Engineering-Angriffe in Verbindung mit Techniken wie „Pass the Hash“ (PtH) auf.
Wenn ein Hacker Zugriff auf ein System mit lokaler Verwaltung oder auf ein Konto mit ausreichenden Berechtigungen hat, um nach Hashwerten anderer Benutzer zu suchen, kann dies dem Angreifer ermöglichen, diese Hashwerte in einem „Pass the Hash“ (PtH)-Angriff zu verwenden.
Dabei werden die gehashten Anmeldeinformationen zur Authentifizierung über NTLM für andere Ressourcen wiederverwendet. Der Angreifer muss das Passwort nicht entschlüsseln oder sogar kennen, da das gehashte Passwort verwendet werden kann, um die Authentifizierungsprotokolle zu manipulieren.
Dieser Angriff kann sich in der gesamten Umgebung fortsetzen und dem Angreifer potenziell ermöglichen, höhere Berechtigungen zu erlangen, bis er möglicherweise die gehashten Anmeldeinformationen eines Domänenadministrators findet.
Obwohl das Feld des Sczial-Engineerings und die von Angreifern verwendeten Techniken vielfältig sind, können Sie bestimmte Strategien implementieren, um die Angriffsfläche zu reduzieren.
Die Liste der Social-Engineering-Angriffe wird ständig erweitert, daher ist die Aufklärung von Benutzern und Administratoren entscheidend, um Ihre Verwundbarkeit zu minimieren.
Security-Awareness-Training und regelmäßige Testkampagnen stellen die besten Methoden dar, um Social-Engineering-Angriffe zu verhindern. Zur umfassenden Sicherung Ihrer Cyber-Umgebung empfehlen wir die kombinierte Nutzung von Advanced Threat Protection, Security Awareness Service und VM-Backup von Hornetsecurity.
Um stets auf dem neuesten Stand bezüglich aktueller Artikel und bewährter Praktiken zu bleiben, besuchen Sie jetzt unseren Hornetsecurity-Blog.
Häufig gestellte Fragen
Was versteht man unter Social Engineering?
Der Begriff Social Engineering bezieht sich auf das Hacking der menschlichen Komponente innerhalb einer Organisation. Dies umfasst eine breite Palette von psychologischen Tricks sowie Techniken zur Manipulation der Zielperson.
Welche Arten von Social-Engineering-Angriffen gibt es?
- Phishing
- Spear Phishing
- Whaling
- Smishing
- Vishing
- Baiting
- Piggybacking/Tailgating
- Pretexting
- Business Email Compromise (BEC)
- Email Account Compromise (EAC)
- Quid Pro Quo
- Honeytraps
- Scareware
- Watering Hole
Was ist die häufigste Art von Social-Engineering-Angriffen?
Phishing ist die häufigste Art von Social-Engineering-Angriffen, mit etwa 3,4 Milliarden täglich versendeten E-Mails.
