Social Engineering
Wie Hacker ohne Programmierkenntnisse mittels Social Engineering an Daten gelangen
„Es gibt heute keine Technologie, die nicht durch Social Engineering überwunden werden kann.“ (Kevin Mitnick, ehemaliger Hacker & Experte im Bereich Social Engineering)
Selbst mit den besten technischen Sicherheitsvorkehrungen besteht in jedem Unternehmen ein Risikofaktor, der nur schwer kontrolliert werden kann: der Mensch.
Um Zugriff auf wichtige Daten oder Zugänge zu erhalten, muss ein Hacker nicht nur Computer verstehen, sondern den Menschen an sich.
Was genau ist Social Engineering und wie kann man sich davor schützen? Im folgenden Beitrag klären wir die wichtigsten Fragen dazu.
Inhaltsverzeichnis

Social Engineering findet nicht nur im Internet statt, sondern ist eine Betrugsmasche, die schon seit vielen Jahrzenten genutzt wird. Eine der bekanntesten Maschen ist der Enkel-Trick, bei der Trickbetrüger über einen Telefonanruf ältere Menschen davon überzeugen, dass sie ein Verwandter seien und dringend Geld benötigen (Polizeiliche Kriminalprävention, 2017).
Auch auf Online-Partnerbörsen wird Social Engineering von Kriminellen immer wieder angewandt, um sich finanziell zu bereichern. Eine vermeintlich junge, attraktive Frau kontaktiert einen Mann, der offensichtlich auf der Suche nach einer neuen Partnerin ist. Der Betrüger spielt seine Rolle als verliebte Single-Frau so gut, dass das Vertrauen des Opfers nach einem relativ kurzen Zeitraum gewonnen wird. Beispielsweise für eine Reise zum „neuen Partner“, bittet der Kriminelle schließlich um die finanzielle Unterstützung durch das Opfer. Danach wird der Kontakt häufig abgebrochen.
Durch die mutmaßliche Dringlichkeit des Anliegens befindet sich der Empfänger der E-Mail nun in der Situation, dem Auftrag des Vorgesetzten zügig nachzukommen, ohne eventuell große Rückfragen zu stellen. Sind die Daten erst einmal übermittelt, macht sich der Cyberkriminelle direkt ans Werk oder die Überweisung geht direkt auf das Konto der „Social-Hacker“. Große Unternehmen wie der österreichische Luftfahrtzulieferer FACC und der Nürnberger Kabelhersteller Leoni machten 2016 finanziell schwerwiegende Erfahrungen mit der Vorgehensweise des Social Engineerings und mussten einen Verlust von mehreren Millionen Euro erleiden.
Aber Achtung, denn nicht nur Personen aus der Buchhaltung und Geschäftsführer sind gefährdet:
„Hey, hier ist Felix aus der IT-Abteilung. Mir sind bei deinem Account in unserem System ein paar Unregelmäßigkeiten aufgefallen, kannst du mir einmal deine Zugangsdaten geben, damit ich das einmal überprüfen kann?
Gruß Felix“
Wie würden Sie auf solch eine Nachricht reagieren? Würden Sie antworten? Sie kennen zwar nicht alle IT-Mitarbeiter, aber Felix ist scheinbar ein Kollege und möchte Ihnen helfen, die Sicherheit der internen IT zu gewährleisten.
Insbesondere in großen Unternehmen kennen die Mehrzahl der Mitarbeiter nicht alle IT-Mitarbeiter. Wer solch einer E-Mail vertraut, ermöglicht den Diebstahl sensibler Daten und gefährdet neben der IT-Sicherheit auch viele weitere Bereiche eines Unternehmens immens.
Social Engineering erfordert keine Programmierkenntnisse
Allein durch das Anwenden psychologischer Tricks werden technische Hürden überwunden. Der Hacker nutzt den Menschen als das schwächste Glied der IT-Sicherheits-Kette. Selbst der sicherste Tresor der Welt kann geöffnet werden, wenn die Zugangsdaten an unbefugte Personen weitergegeben werden. So spart sich der Kriminelle einen großen technischen Aufwand und das Risiko durch die IT-Sicherheitsvorkehrungen entdeckt zu werden.
Wenn Sie auf die obige E-Mail von Felix geantwortet hätten, wäre der Hacker innerhalb von wenigen Minuten in das Unternehmensnetzwerk eingedrungen. Ohne Aufwand, ohne Programmierkenntnisse, ohne großes Risiko. Kriminelle nutzen das Grundvertrauen und die Neugier der Mitarbeiter, um Daten oder Geld stehlen zu können.
Phishing Quiz von Google: Der kostenlose Awareness-Check
Vor wenigen Wochen hat Google auf das starke Wachstum von Phishing Angriffen mit einem Security Quiz reagiert. In diesem Quiz müssen Sie versuchen eine Phishing E-Mail zu erkennen. Durchschauen Sie jeden Social Engineering Angriff? Finden Sie es hier heraus.Zusätzlicher Schutz mit Advanced Threat Protection von Hornetsecurity
Klassische Phishing E-Mails werden in aller Regel von einem guten Spamfilter erkannt und direkt aussortiert. Ein personalisierter Social Engineering Angriff unterscheidet sich aber nicht groß von einer ganz normalen E-Mail. So landen, trotz Spamfilter, die ungewollten E-Mails im eigenen Postfach.
Advanced Threat Protection geht einen Schritt weiter: Verschiedene tiefgreifende Filter und heuristische Erkennungsmechanismen enttarnen fast jede gefälschte E-Mail. Mit der Unterstützung von AI lernt der Filter mit jedem Angriff dazu und steigert so täglich seine Erkennungsrate. Advanced Threat Protection übernimmt viele der oben genannten Punkte vollständig automatisiert.
Am Ende gilt aber immer, jede E-Mail zu hinterfragen und bei der Weitergabe von Daten mit Bedacht vorzugehen.
Besuchen Sie unsere Wissensdatenbank
Hat Ihnen unser Beitrag aus der Wissensdatenbank zum Thema Was ist Phishing gefallen? Dann gelangen Sie hier zur Übersichtsseite unserer Wissensdatenbank. Dort erfahren Sie mehr über Themen, wie IT-Sicherheit, Crypto Mining, DDoS-Attacken, Cryptolocker Virus, Kryptographie, Spear-Phishing, Brute-Force-Angriffe, GoBD, Cyber Kill Chain, Ransomware, Computervirus und Ransomware Kill Chain. Jetzt mehr erfahren.
Social Engineering Attacken auf Unternehmen
Wenn der Social Hack im privaten Umfeld funktioniert, dann sind Unternehmen das nächst höhere Ziel für Kriminelle – vor allem weil hier oftmals höhere Geldbeträge zu erbeuten sind. Das Vorgehen der Hacker verläuft ähnlich wie bei Privatpersonen, wobei das Einholen der nötigen Informationen für einen professionellen Angriff beim Social Engineering wesentlich mehr Zeit in Anspruch nimmt. So sind hauptsächlich folgende Angaben für Cyberkriminelle relevant:
Mit einer gefälschten E-Mail-Adresse, ähnlich der des Vorgesetzten, wendet sich der Hacker mit dringenden Worten zumeist an einen Mitarbeiter, der befugt ist finanzielle Transaktionen durchzuführen.