Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Social Engineering

Wie Cyberkriminelle die menschliche Psychologie ausnutzen

Immer häufiger bereiten Cyberangreifer ihre Attacken über Social Engineering vor. Manche Angriffsmuster können jeden Mitarbeiter treffen – wobei richtiges Verhalten die Angriffe meist recht schnell in Leere laufen lässt.

Bild: ©adrian_ilie825/Fotolia.com

Bild: ©adrian_ilie825/Fotolia.com

Im Wesentlichen ist Social Engineering eine Methode, um Zugriff auf Netzwerke, Systeme oder Daten zu erhalten, indem anstelle von technischen Hacking-Techniken die menschliche Psychologie und Neugierde ausgenutzt werden. Hierbei kommt eine Vielzahl an Methoden zum Einsatz, einschließlich Telefonanrufen und Nachrichten in den sozialen Medien, wodurch die Angreifer Personen dazu überlisten, ihnen Zugriff auf persönliche Informationen oder Daten des Unternehmens zu geben.

Phishing

Phishing ist die wohl beliebteste Art von Social Engineering. Dabei werden gefälschte E-Mails versendet, die sich als legitime Nachrichten ausgeben und oft von einer Bank oder Behörde zu sein scheinen. Auf diese Art und Weise zielen Hacker darauf ab, dass die Personen ihre wertvollen Informationen, wie Kreditkarteninformationen, mit ihnen teilen, oder aber auf einen schädlichen Link klicken.

Phishing wird in deutschsprachigen Regionen besonders häufig gemeldet. Die Angreifer sind oft gebildet, nutzen gestohlenes Branding und sorgfältig kreierte Websites, Domains und Social Engineering, um ihre Opfer dazu zu verleiten, eine Reihe von Informationen preiszugeben. Die Hauptthemen für betrügerische E-Mails in Deutschland betreffen Zahlungen, Forderungen zur Erneuerung von verschiedenen Konten, Bankbriefe und sogar Grußkarten.

„Manche Phishing-E-Mails sind sehr schlecht zusammengestellt und man kann sie leicht erkennen. Allerdings gibt es dann wiederum andere, die echt aussehen, sodass sie selbst erfahrene Internetnutzer reinlegen können“, sagt Daniel Markuson, Experte für digitalen Datenschutz bei NordVPN. Seit Kurzem stehen auch Klage-E-Mails bei Hackern hoch im Kurs. Diese Art von E-Mail gibt vor, dass der Empfänger verklagt werden würde. Die Person wird dazu angehalten, die angehängten, betrügerischen Dokumente zu öffnen und durchzulesen, und die E-Mail innerhalb von sieben Tagen zu beantworten. Gemäß diesen gefälschten Klage-E-Mails wird der Empfänger verklagt, sofern er nicht die Anweisungen befolgt.

Baiting

Baiting bezeichnet eine Art des Social Engineering mit der geringsten menschlichen Interaktion. Die sogenannten Baiters bieten Nutzern kostenlose Downloads für Filme, Musik oder Software an; in anderen Fällen nutzen sie physische Medien, wie USB-Sticks, um die menschliche Neugierde für sich zu nutzen. „Sie lassen einen infizierten USB-Stick in einem Café, einem Flur in einem Bürogebäude oder einem ähnlichen Ort liegen, wo eine hohe Möglichkeit besteht, dass ihn jemand finden wird“, schildert Markuson. „Dann nimmt ihn jemand mit, steckt ihn in den Computer und schon wird die Malware installiert. Wenn es sich hierbei um ein Büro handelt, dann besteht die Möglichkeit, dass Malware in wichtige Systeme und Dateien eindringt.“

Ein interessanter Baiting-Angriff, der tatsächlich lediglich ein Test war, wurde von dem Sicherheitsexperten Steve Stasiukonis durchgeführt, der diesen Angriff bei einem Finanzunternehmen durchführte, das sein Kunde war. Sein Team ließ mit Trojanern infizierte USB-Sticks auf dem Parkplatz in der Nähe des Bürogebäudes liegen. Viele neugierige Mitarbeiter nahmen die USB-Sticks mit und steckten sie in ihre Computer. Dadurch wurde ein Keylogger aktiviert, der Steve die Anmeldedaten der Mitarbeiter übermittelte.

Pretexting

Pretexting-Angriffe sind auf das Vertrauen der Zielperson ausgerichtet und sie erfordern normalerweise eine Recherche zum Hintergrund der Person und eine vertrauenswürdige Geschichte. Für gewöhnlich geben Betrüger vor, dass sie gewisse Informationen benötigen, um die Identität zu bestätigen, um eine Transaktion durchzuführen oder um ein Problem zu lösen. Laut dem Untersuchungsbericht zu digitalen Verstößen von Verizon für das Jahr 2018 hat sich die Anzahl der erfolgreichen Pretexting-Angriffe seit 2017 verdreifacht.

2017 haben viele Menschen Geld mit Kryptowährung verloren, nachdem die Ethereum Classic-Website gehackt wurde. Hacker gaben sich durch die Erstellung eines falschen Kontos und durch die Pretexting-Methode als Eigentümer von Classic Ether Wallet aus. Sie erhielten Zugriff auf das Domain-Register und leiteten es an ihren eigenen Server weiter. Cyberkriminelle extrahierten die Kryptowährung Ethereum von den Leuten, nachdem sie einen Code auf der Website eingegeben hatten, der ihnen ermöglichte, private Passwörter für Transaktionen einzusehen

Ein weiterer bekannter Fall von Pretexting war der News of the World-Skandal, bei dem Mitglieder der britischen Presse Mobilfunkbetreiber hereinlegten, damit sie ihnen ihre PIN-Codes aushändigten, wodurch diese Journalisten schließlich die Sprachnachrichten der königlichen Familie belauschen konnten. „Anders als bei Phising-E-Mails, die Angst und Dringlichkeit auslösen, ist Pretexting auf den Aufbau von Vertrauen mit den Zielpersonen ausgerichtet. Hacker kreieren eine glaubwürdige Geschichte, wodurch die Opfer ihnen vertrauen und in ihre Falle geraten“, so Markuson weiter.

Basisschutz vor Social-Engineering

Obwohl sich Social Engineering weiterentwickelt und gerade Firmen vor spezifischen Bedrohungen stehen, sind die naheliegen Schutzmaßnahmen noch immer die wichtigsten. Dazu zählt, Laptops und Smartphones zu sperren, wenn der Arbeitsplatz verlassen wird, und Passworte sowie sonstige Anmeldedaten niemals sichtbar an einem Ort aufzubewahren. Auch sollten niemals dieselben Passworte für verschiedene Konten verwendet werden. E-Mails von einer nicht vertrauenswürdigen Quelle sollten Mitarbeiter nicht öffnen und auch keine verdächtigen Links anklicken. Unternehmen sollten zudem klare Regeln für den Umgang mit Informationen festlegen und ihre Mitarbeiter regelmäßig in Schulungen auf gängige Angriffsmuster vorbereiten.


Das könnte Sie auch interessieren:

Im Juli lagen die Auftragseingänge in der deutschen Elektroindustrie um 1,9% unter ihrem Vorjahreswert. Die Inlandsbestellungen gaben um 1% nach, die Auslandsbestellungen um 2,5%.‣ weiterlesen

Mit der Inbetriebnahme eines IBM Q System One wollen IBM und die Fraunhofer-Gesellschaft das Thema Quantencomputing für die Industrie vorantreiben. Durch die Kooperation entsteht zudem ein neues Kompetenzzentrum für Quantentechnologie.‣ weiterlesen

Das neue Siemens Opcenter der Softwaresparte des Münchener Technologieunternehmens bringt zahlreiche Anwendungen wie Camstar, Simatik IT und Preactor in einer einheitlichem Umgebung und Benutzerführung zusammen. René Wolf von Siemens Digital Industries Software schildert, was die Kunden davon haben - und was sich funktional getan hat.‣ weiterlesen

Der Schärfspezialist Vollmer stellt auf der Emo Hannover seine Digitalinitiative V@dison in den Mittelpunkt. In Halle 6, Stand F66 finden Besucher das neu entwickelte IoT-Gateway des Herstellers. Schleif- und Erodiermaschinen lassen sich damit plattformunabhängig in IoT-Umgebungen einbinden.‣ weiterlesen

Die Landschaft für Endgeräte zur mobilen Datenerfassung hat sich im letzten Jahrzehnt fast genauso rasant entwickelt wie im Consumer-Bereich. In der Lagerlogistik oder der Produktion zählen neben Stapler-Terminals gerade mobile Handhelds zu den gängigsten Gerätetypen. Um aber das passende Gerät für das eigene Unternehmen zu identifizieren, lohnt der Blick auf die mobilen Prozesse, die Integration in die Unternehmens-IT und vor allem die Arbeitsumgebung der Mitarbeiter.‣ weiterlesen

In Wertanalyseprojekten erfolgt eine Bewertung an vielen Stellen des Arbeitsplans. Die VDI-Richtlinienreihe 2808 hilft, reproduzierbare Ergebnisse durch strukturierte Vorgehensweisen zu erzielen und diese Ergebnisse kundenorientiert darzustellen.‣ weiterlesen

Auf der diesjährigen Emo präsentiert die HSi GmbH ihre Softwarelösungen zur automatisierten Planzeit- und Kostenermittlung, Arbeitsplanerstellung sowie Auftragssteuerung. Am Stand C20 in Halle 9 werden auch Erweiterungen des Systems zu sehen sein, etwa bei der Zeitübergabe an SAP: Werden im Stufeneditor NC-Grundzeiten in den Rüst- und Spannbausteinen eingegeben, erfolgt die Summierung dieser Zeiten parallel zu den Hauptzeiten (th), Nebenzeiten (tn) und Grundrüstzeiten (trg).‣ weiterlesen

Obwohl das MQTT-Protokoll bereits seit etwa zwei Jahrzehnten existiert, ist es durch sein Konzept bestens für moderne IIoT-Anwendungen geeignet. Vor allem für solche, die sich auf eine aktive Benachrichtigung stützen. Also dort, wo Geräte nur bei Bedarf Daten bereitstellen und nicht regelmäßig, wie bei der passiven Benachrichtigung. Doch wie lässt sich der Erfolg von MQTT im IIoT erklären, und was sollte man vor dem Einsatz des Übertragungsprotokolls wissen?‣ weiterlesen

Auf der Emo zeigt TDM Systems (Halle 9, Stand F24) erstmals den TDM WebCatalog einer breiten Öffentlichkeit. Ab August steht die Cloud-Anwendung nach Registierung den Anwendern von TDM Global Line 2019 und TDM 2019 (und höher) zur Verfügung.‣ weiterlesen

DMG Mori wird auf der Emo in Halle 2, Stand A21 über 30 digitale Innovationen zeigen. Darunten sind neue Celos APPs, Werkzeuge zum Monitoring, der Produktionsplanung und -steuerung sowie webbasierte Instandhaltungstools.‣ weiterlesen

Nachdem Produzenten schon ihre Waschmaschinen, Kühlschränke und Rollläden IoT-fähig ausliefern, wollen viele auch im eigenen Werk von der Vernetzung profitieren. Anhand eines beispielhaften Projektes klärt dieser Beitrag, wie das schnell und günstig gelingen kann.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige