Die verheerendsten Online-Verbrechen fußten nicht auf komplexen Codes oder Algorithmen, sondern auf menschlichen Denk- und Verhaltensweisen. Über Social Engineering lernen die Angreifer, welche Schwachstellen sie bei Ihnen ausnutzen können, um Sie zu riskanten Verhaltensweisen zu verleiten. Die Folge solcher Betrügereien reichen von einfacher Malware bis zu Sicherheitsverstößen in großem Ausmaß.
Da Social Engineering sich auf die menschliche Psyche und Motivation verlässt, handelt es sich um eine besonders heimtückische Form von Cyberkriminalität. Je besser Sie diese verstehen, desto besser können Sie sie bekämpfen. In diesem Artikel werden folgende Themen besprochen:
- Was ist Social Engineering und wie funktioniert es
- Arten von Social-Engineering-Attacken
- So erkennen Sie Bedrohungen und schützen sich gegen Attacken
Social Engineering verstehen
Definition von Social Engineering
Beim Social Engineering handelt es sich um eine Manipulationstechnik, mit der man menschliche Schwächen ausnutzt, um Zugriff auf private Daten und Ressourcen zu erhalten. Durch Scams verleitet man die Nutzer dazu, Daten und Systeme preiszugeben oder Malware-Attacken zu verbreiten. Social Engineering ist auch als „menschliches Hacking“ bekannt, da es menschliche Denkmuster und Handlungen ausnutzt.
In der Regel verfolgt ein Angreifer mit Social Engineering zwei Ziele: Schaden anzurichten, den Betrieb zu unterbrechen und wichtige Güter wie Daten, Geld oder die Zugriffskontrolle zu stehlen. Das Charakteristische derartiger Attacken ist, dass man Sie derart in die Irre führt, dass Sie dabei mithelfen, das Verbrechen zu begehen.
Wie Firewall Times berichtet, ist bei über 98 % der Cyberangriffe eine Form von Social Engineering beteiligt. Außerdem werden Unternehmen durchschnittlich mindestens 700 Mal pro Jahr das Ziel einer Social-Engineering-Attacke.
Häufige Social-Engineering-Techniken
Die Angreifer versuchen, Denk- und Verhaltensweisen von Menschen in Situationen auszunutzen, in denen ihnen Wissen fehlt. So erkennen Nutzer beispielsweise möglicherweise nicht, dass sie sich angreifbar machen, wenn sie eine Telefonnummer angeben. Wie wirkungsvoll eine Social-Engineering-Attacke ist, hängt davon ab, wie überzeugend sie wirkt. Je überzeugender, desto wahrscheinlicher handeln Sie auf eine Art und Weise, wie Sie es normalerweise nicht tun würden.
Ein Kennzeichen von Social-Engineering-Attacken ist die emotionale Manipulation. Vielleicht versucht der Angreifer, Gefühle zu erwecken, die Sie zu riskantem Verhalten verleiten. Unter anderem werden folgende Gefühle ausgenutzt:
- Angst
- Aufregung
- Neugier
- Wut
- Schuldgefühle
Außerdem wird gern Dringlichkeit vorgegaukelt. So werden Sie vielleicht in einer E-Mail oder Nachricht aufgefordert, sofort eine Website aufzurufen, da andernfalls ein Produkt oder eine Dienstleistung nur noch bis Mitternacht nutzbar sei. Wenn der Angreifer Dringlichkeit vorgaukelt, handeln Sie möglicherweise irrationaler als sonst und füllen ein Formular aus, das Sie normalerweise ignorieren würden.
Social Engineering fußt auf Vertrauen. Der Angreifer hat sich ausreichend über Sie informiert und weiß genau, wie er sich am besten an Sie wendet und Ihr Vertrauen gewinnt. So könnte es im Rahmen einer „CEO-Fraud“-Attacke dazu kommen, dass sich jemand überzeugend als Ihr CEO ausgibt. Diese Person hat sich über Ihren CEO und Ihr Unternehmen informiert und kann Sie derart täuschen, dass Sie ihr vertrauliche Personaldaten geben.
So funktioniert Social Engineering
Um die Risiken zu minimieren, müssen Unternehmen verstehen, worum es beim Social Engineering im Kern geht. Es wird nicht bloß ein gefährliches Virus in Umlauf gebracht, das ein Netzwerk abschaltet. Sondern der Angreifer versucht, Sie dazu zu verleiten, ihm in die Falle zu gehen, anstatt Ihnen mit Gewalt Ihre Technologie und privaten Daten zu entreißen.
Der typische Ablauf einer Social-Engineering-Attacke beginnt damit, Informationen über Ihren Hintergrund und alle Gruppierungen zu sammeln, denen Sie angehören. Nach diesen Vorbereitungen unterwandert der Angreifer Ihre Schutzmechanismen, indem er scheinbar vertrauenswürdig mit Ihnen interagiert. Sobald er Ihr Vertrauen gewonnen und Ihre Schutzmechanismen überwunden hat, startet er die Attacke und bricht den Kontakt ab, nachdem Sie wie gewünscht gehandelt haben.
Arten von Social-Engineering-Attacken
Phishing-Attacke
Beim Phishing gibt ein Angreifer sich als eine vertrauenswürdige Person oder Organisation aus, um sich Zugriff zu erschleichen und Ihre privaten Daten preiszugeben. Zwei Arten von Phishing-Scams sind Spam-Phishing und Spear-Phishing. Beim Spam-Phishing handelt es sich um eine breit gestreute, unpersönliche Attacke. Beim Spear-Phishing hingegen werden anhand von Personendaten bestimmte Nutzer angegriffen, insbesondere hochwertige Zielpersonen wie Führungspersonal, hohe Regierungsbeamte und Prominente.
Ein Beispiel aus jüngerer Zeit für eine großangelegte Spam-Phishing-Attacke war der „UPS-SMS“-Scam. Dabei handelte es sich um eine Nachricht, die angeblich von UPS stammte und den Empfänger darüber informierte, dass er eine Paketlieferung verpasst habe. Der Link verleitete den Nutzer dazu, sensible Daten einzugeben, infizierte den Computer mit Malware oder forderte dazu auf, eine unnötige Gebühr zu bezahlen.
Baiting und Tailgating
Beim Baiting handelt es sich um eine Attacke, die Sie so manipuliert, dass Sie dem Angreifer persönliche Daten preisgeben. Der „Köder“ ist in der Regel eine angeblich kostenlose oder exklusive Prämie. Als Folge der Attacke wird ihr Computersystem mit Malware infiziert.
Eine Standardmethode des Baiting stellt ein E-Mail-Anhang mit einem kostenlosen Angebot oder einer betrügerischen kostenlosen Software dar. Eine weitere Methode für diesen Betrug ist, USB-Geräte an öffentlichen Orten wie Büchereien oder Parkplätzen zu platzieren.
Pretexting
Beim Pretexting benutzt ein Angreifer eine gefälschte Identität, um sich durch Täuschung das Vertrauen des Nutzers zu erschleichen. So gibt er etwa vor, ein Mitarbeiter oder Zulieferer zu sein, und verleitet Sie so zu einer direkten Interaktion. Nach dem erfolgreichen Betrug ist alles möglich, vom Installieren einer Malware bis zum Extrahieren vertraulicher Daten.
Schutz vor Social Engineering
Starke Passwörter sind wichtig
Viel zu häufig benutzt man ein leicht zu merkendes Passwort, wie den Namen des Haustiers, für mehrere Konten und ändert es über längere Zeit nicht. Cisco schlägt vor, Richtlinien für die Arten von Passwörtern zu erstellen, die die Mitarbeiter benutzen sollen.
Dieser Leitfaden sollte beispielsweise die Anzahl an Buchstaben, Zeichenarten, usw. vorgeben. In der Richtlinie sollte skizziert werden, wie häufig die Mitarbeiter ihr Passwort ändern sollten, oder möglichst regelmäßige Passwortwechsel in der aktuellen Technologie einbetten. Mit einem einfachen Vorschlag wie der dringenden Bitte an alle Mitarbeiter, ihre Passwörter mit niemandem zu teilen, schützt man vertrauliche Daten.
Wo Sie Ihr Passwort speichern, ist genauso wichtig wie die Frage, woraus es besteht. Ein Passwort-Manager hilft Ihnen im Alltag dabei, Ihre Passwörter zu erstellen, schützen, einzugeben und zu aktualisieren. Noch bequemer wird es mit einem Passwort-Manager, der sich auf all Ihren Geräten synchronisiert.
Zwei-Faktor-Authentifizierung
Netzwerkdienste mit hohem Risiko wie VPNs und Modem-Pools sollten eine Multi-Faktor-Authentifizierung nutzen, um eine weitere Sicherheitsebene zu etablieren. Beispielsweise kann ein Mitarbeiter ein Desktop-Passwort mit dem eigenen Mobiltelefon verifizieren. Dann kann ein Angreifer zwar das Passwort ‚raten‘, er hat aber keinen Zugriff auf die Daten, die ein Mitarbeiter nur auf seinem Mobilgerät sieht.
Zu den Methoden der Zwei-Faktor-Authentifizierung gehören Einmal-Zugangscodes, die biometrische Authentifizierung wie ein Fingerabdruck-Scan, SMS-Codes und Push-Benachrichtigungen.
Awareness-Schulungen für Mitarbeiter
Wenn Sie Ihren Mitarbeitern ein Handbuch zu Cybersicherheit mit 50 Seiten vorlegen, ist der Lerneffekt gering und das Thema wird nicht gefestigt. Wahrscheinlich werfen sie nur dann einen Blick hinein, wenn es Probleme gibt – falls sie es überhaupt verstehen. Stattdessen sollten Sie Cybersicherheit zum zentralen Thema der Unternehmenskultur und Abläufe erklären, um so den Schutz Ihrer Systeme zu maximieren. Ihre Mitarbeiter sollten die Frage „Was ist Social Engineering?“ selbstbewusst beantworten können.
Senken Sie das Angriffsrisiko durch Awareness-Schulungen. Diese sollten Sie interessant und interaktiv gestalten, also nicht einfach im Frontalunterricht. Einige Unternehmen führen etwa Online-Schulungen für neue Mitarbeiter durch, bei denen diese in Online-Modulen lernen und ihr Wissen mit Quizfragen festigen. Sprechen Sie über Attacken auf ähnliche Unternehmen in jüngerer Zeit oder frühere Cybersicherheitsprobleme, die es im eigenen Unternehmen gegeben hat.
Werden Sie bei den Cybersicherheitsschulungen kreativ. Viele Unternehmen lassen Attacken simulieren und besprechen diese mit ihrem Techteam oder führen sie als Übung unter Realbedingungen durch.
Anzeichen für Social Engineering erkennen
Auf diese Warnzeichen sollten Sie achten
Webroot nennt unter anderem folgende Anzeichen:
- E-Mails von einer scheinbar vertrauenswürdigen Quelle, in denen um Hilfe gebeten wird. Beispielsweise eine E-Mail von einem „Kollegen“, in der nach den Daten einer Unternehmenskreditkarte gefragt wird.
- Vorgaukeln, zu einer scheinbar legitimen Organisation wie einer Bank zu gehören, um Informationen zu erlangen.
- Eine Handlung oder Reaktion auf etwas, das Sie mit Sicherheit nicht getan haben. Das UPS-Beispiel etwa lenkt Ihre Aufmerksamkeit auf ein wartendes Paket, das Sie allerdings nie bestellt haben.
Verdächtige Online-Anfragen
Einige Beispiele für fragwürdige Anfragen sind:
- Die Bitte um eine Spende für einen wohltätigen oder anderweitigen Zweck. Diese Angreifer nutzen alle möglichen Themen, die in der Gesellschaft gerade hochkochen, um Sie anzulocken.
- Benachrichtigungen über einen „Gewinn“. Um diesen zu erhalten, müssen Sie ein Formular ausfüllen oder Ihre Adress- oder Bankdaten angeben, damit Sie auf das Geld zugreifen können.
- Eine Antwort auf eine Frage, die Sie nie gestellt haben. Vielleicht gibt sich ein Angreifer als Ihre Bank oder eine andere Institution aus, weil er weiß, dass eine E-Mail von diesem Absender Sie eher neugierig macht als irgendein unbekanntes Unternehmen. Möglicherweise fordert man Sie auf, sich zu authentifizieren oder dem Absender Zugriff auf Ihr Unternehmen zu verschaffen.
Ungewöhnliche Anrufe oder E-Mails
Besorgniserregende Anrufe und E-Mails überschneiden sich mit den oben genannten Anzeichen. Manchmal sind sie leichter zu erkennen. Wenn Ihnen beispielsweise ein Krimineller, der sich für Ihre Bank ausgibt, von einer Telefonnummer mit großen Abständen zwischen den Ziffern schreibt, sollte Sie das misstrauisch machen.
Besonders tückisch sind E-Mails, in denen ein Problem beschrieben wird und man Sie auffordert, etwas zu verifizieren. In der Regel muss man dafür auf einen Link klicken oder ein Formular ausfüllen. Diese E-Mails und Formulare imitieren möglicherweise sehr genau das Logo und den Stil eines bekannten Unternehmens, sodass Sie die Nachricht für authentisch halten. Häufig enthalten diese Phishing-Scams die Aufforderung, schnell zu handeln, da andernfalls unangenehme Konsequenzen drohen, was Sie aus Furcht zum Handeln animiert.
So verhindern Sie Social Engineering optimal
Regelmäßige Software-Updates
Verlassen Sie sich nicht auf die automatische Update-Funktion Ihres Computers oder darauf, dass Updates auch in Ihrer Abwesenheit immer installiert werden. Über veraltete Software können Hacker einfacher eindringen. Überprüfen Sie, ob die automatischen Updates tatsächlich regelmäßig durchgeführt werden.
Schutz von sensiblen Daten
Erzwingen Sie für den Datenschutz mehrere Sicherheitsebenen. Eine Möglichkeit besteht in Lösungen mit bestimmten besonders wichtigen Funktionen, um große Mengen sensibler Daten zu schützen. Allerdings sollten Sie bei der Wahl eines Anbieters wie eines Datendienstleisters sehr vorsichtig sein, weil dieser gegebenenfalls auf Ihre Daten zugreifen kann.
Einrichtung von Zugriffskontrollen
Einfach zu verwaltende Maßnahmen sind etwa das Passwort-Management und eine Multi-Faktor-Authentifizierung. Weitere Kontrollen wie die adaptive Authentifizierung überprüfen die Identität eines Nutzers durch Kontextfaktoren wie Ort, Verhaltensanalysen, usw.
Zusätzliche Ressourcen
Sicherheitsfeatures von LastPass
Ein entscheidender Unterschied zwischen LastPass und anderen Passwort-Managern ist die Zero-Knowledge-Verschlüsselung. Sie allein haben über einen einzigen Schlüssel Zugriff auf Ihre Daten und das Master-Passwort. Dadurch werden Ihre nicht-verschlüsselten Daten von unseren Servern separiert und die Integrität Ihrer Daten bleibt geschützt.
Schutz von privaten und Unternehmenskonten
Nachdem Sie nun Ihre Unternehmenskonten besser gesichert haben, überlegen Sie doch, ob Sie auch Ihre persönlichen Daten besser schützen möchten. Ein einfacher Schritt wäre, Ihr E-Mail-Konto oder Online-Banking durch eine Multi-Faktor-Authentifizierung zu schützen. Mit einem Passwort-Manager oder Authenticator müssen Sie sich Ihr Passwort nicht merken und sich keine Sorgen um Sicherheitsverstöße machen.
Dank Social Engineering können Hacker auf immer schlauere Arten angreifen. Doch weil Sie jetzt verstehen, was Social Engineering ist, können Sie erkennen und verhindern, wenn jemand Sie dazu verleiten möchte, Ihre Cybersicherheit aufs Spiel zu setzen. Wenn Ihnen etwas Verdächtiges auffällt, stellen Sie sich folgende Fragen:
- Bin ich emotional aufgewühlter als normalerweise? (Haben Sie etwa plötzlich Angst, werden neugierig, fürchten sich oder fühlen sich bedrängt, usw.)
- Kam diese Nachricht tatsächlich von dieser Person oder diesem Unternehmen?
- Gibt es verdächtige Links oder Anhänge?
- Ist diese Nachricht zu schön, um wahr zu sein?
Denken Sie daran, „menschliches Hacking“ fußt darauf, Ihre Gefühle und Verhaltensweisen auszunutzen. Schalten Sie einen Gang zurück, vertrauen Sie Ihrem Instinkt und bleiben Sie bei der Internetnutzung und Ihren Sicherheitsverfahren stets vorsichtig, damit Sie nicht in die Fallen des Social Engineering tappen.
Behalten Sie das Thema Social Engineering im Blick. Testen Sie LastPass noch heute.
