Jul
26

7 Arten sozialtechnischen Betrugs, die Ihre Mitarbeiter kennen sollten

7 Arten sozialtechnischen Betrugs, die Ihre Mitarbeiter kennen sollten

July 26
By

Übersetzung eines auf Englisch verfassten Artikels von Contel Bradford für die Recovery Zone. Den Originalartikel finden Sie hier.

Ein Social Engineer arbeitet mit einer Reihe von geschickten Techniken, mit denen das Opfer davon überzeugt werden soll, Anmeldeinformationen und andere sensible Daten preiszugeben. Während der traditionelle Hacker geschickt Software einsetzt, arbeiten Social Engineering-Scammer mit reiner Psychologie. Als wir klein waren und unsere Mutter uns gewarnt hat, nicht mit Fremden zu reden, da wusste sie, wovon sie redet. Diese uralte Sicherheitsstrategie kann jetzt auch auf die Arbeitsumgebung übertragen werden.

Hier stellen wir Ihnen sieben Arten sozialtechnischen Betrugs vor, auf die Sie Ihre Mitarbeiter vorbereiten sollten:

  1. Phishing

Die wohl beliebteste Art des Social Engineering-Scams sind Phishing-Mails. Ein Scammer sendet eine E-Mail, die auf den ersten Blick von PayPal oder einer anderen legitimen Quelle zu kommen scheint. Ziel des Phishing-Angriffs ist es, den Empfänger davon zu überzeugen, vertrauliche Informationen preiszugeben. Diese werden dann für betrügerische Aktionen oder einen ausgewachsenen Identitätsmissbrauch zu begehen.

Wie erkennt man einen Phishing-Scam?

Abfrage vertraulicher Daten: Phishing-Scams zielen darauf ab, dem Empfänger in einer E-Mail vertrauliche und finanzielle Informationen zu entlocken. Oft werden die Opfer direkt zu einer betrügerischen Website geführt, wo sie ihre Daten in ein Formular eingeben. Kein ernst zu nehmendes Unternehmen wird Ihre Anmeldeinformationen je per E-Mail erbitten. Bei derartigen Anfragen sollten Sie sofort Alarm schlagen.

Verdächtige Anhänge: Einige Phishing-Aktionen zielen darauf ab, das System durch E-Mail-Anhänge anzugreifen. Diese Anhänge enthalten oft gefährliche Dateien, die, wenn sie ausgeführt werden, ihre Inhalte auf Ihren Computer laden. Und auch hier gilt: Nur wenige Unternehmen werden ungebetene E-Mails mit unerwarteten Dateien versenden. E-Mails mit Anhängen, deren Sender Ihnen nicht bekannt ist, sollten Sie einfach ignorieren.

Widersprüchliche URLs: Scammer sind inzwischen unglaublich kreativ, wenn es darum geht, Phishing-E-Mails zu erstellen. Manchmal kann man sie nur über die URLs erkennen, die darin enthalten sind. Der Link, auf den man dann klicken soll, scheint korrekt zu sen. Wenn man aber mit der Maus über den Link fährt, findet man schnell heraus, dass er zu einer ganz anderen Domäne führt. Falsche URLs sind fast immer ein sicherer Hinweis auf Scam.

Dringlichkeit: Phishing-Scams sind bekannt dafür, dass darin angedroht wird, dass man harte Konsequenzen zu befürchten hat, wenn man nicht sofort reagiert. Durch diesen Trick will man Sie dazu bringen, schnelle Entscheidungen zu treffen, die dann eher von Sorge denn von gesundem Menschenverstand gerpägt sind. Achten Sie auf diese Taktik und Sie schützen sich sehr viel effektiver davor, vertrauliche Informationen weiterzugeben.

  1. Tailgating

Nicht alle Social Engineering-Angriffe werden von einem Computer oder mobilen Geräte aus initiiert. Tailgaiting wird auch als Huckepackübertragung bezeichnet. Dabei versucht der Angreifer, physischen Zugriff auf ein Unternehmen zu erhalten, indem er die Zugangsdaten eines anderen benutzt. Der Scammer wird sich dabei zum Beispiel mit einer Gruppe von Mitarbeitern beim Mittagessen befreunden und dann versuchen, nach der Pause mit ihnen zurück ins Gebäude zu gelangen. Oder er gibt vor, ein Mitarbeiter zu sein, der seine Zugangskarte vergessen hat. Wenn er erst einmal im Gebäude ist, kann er andere Arten der Manipulation einsetzen, um Vertrauen zu gewinnen und sich entsprechend Zugriff auf die gewünschten Daten zu verschaffen.

Tailgaiting baut auf Freundlichkeit, um von Punkt A nach Punkt B zu gelangen. Auch Sie würden vermutlich einer Person nicht einfach die Tür vor der Nase zuschlagen, selbst, wenn Sie diese Person noch nie gesehen haben. Während diese Art des Angriffs in gut überwachten Bereichen des Unternehmens keinerlei Zukunft hat, können entschlossene Tailgater oft bei kleineren Unternehmen mit laxen Sicherheitsvorkehrungen großen Schaden anrichten.

  1. Planted Media

Dieser nächste Trick aus dem Bereich Social Engineering erscheint zunächst viel harmloser. Auf dem Parkplatz liegt ein USB-Stick herum, den Frank auf dem Weg zur Arbeit aufhebt und mitnimmt. An seinem Arbeitsplatz angekommen steckt er ihn dann in seinen Computer. Frank merkt gar nicht, dass er damit einen miesen Computervirus auf seinen Computer lädt, der dann einen Weg findet, in alle an das Netzwerk angeschlossenen Geräte im Büro einzudringen. Das klingt völlig absurd? Nun ja, nur so lange, bis wir ehrlich zu uns selber sind und zugeben, dass auch wir uns manchmal genau so verhalten. Dann wird einem schnell bewusst, warum dieser Scam so unglaublich erfolgreich ist.

Malware muss normalerweise von Hand ausgeführt werden. Es braucht dazu aber nur einen ansprechenden Dateinamen, der die Neugier des Mitarbeiters weckt. Es ist schon erschreckend, wie einfach Tailgaiting im Grunde ist. IT-Manager sollten das aber eher als eine Herausforderung ansehen, um die Computerbenutzer auf allen Ebenen entsprechend zu schulen.

  1. Whaling

Whaling oder auch whale hunting (Waljagd) ist dem Phishing nicht unähnlich. Der Unterschied besteht darin, dass Whaling direkt auf die Führungskräfte des Unternehmens abzielt. So setzt sich ein Hacker zum Beispiel mit einem IT-Manager in Verbindung und gibt vor, ein vertrauenswürdiger Anbieter zu sein. Dann schickt er meist einen Link, über den sie ihre Kontodetails aktualisieren oder eine Rechnung einsehen können. Die Führungskraft lässt sich von dem professionellen Design und dem bereits bekannten Logo blenden und gibt diese Daten ein. Dabei liefert er aber seine vertraulichen Daten aus.

Da von den Führungskräften oft noch mehr zu holen ist, geben sich Whaling-Hacker sehr viel Mühe damit, den Angriff effizient vorzubereiten. Die Hacker besorgen sich die Daten aus Google-Suchen, Profilen in den sozialen Medien und von Kollegen. So können sie einen ausgeklügelten Angriff vorbereiten, der speziell auf diese Person ausgerichtet ist. Selbst IT-erfahrene Führungskräfte lassen sich von den personalisierten Anschreiben täuschen und klicken auf den Link. Die wenigsten Führungskräfte wurden im Bereich Sicherheitsvorkehrungen ausgebildet. Sie sind also ein leichtes Ziel für Whaling-Angriffe.

  1. Erpressung

Erpressung ist eine Form des Social Engineering, die oft eine Kombination aus Phishing und Malware nutzt, um arglose Opfer zu täuschen. So empfängt ein Mitarbeiter vielleicht eine E-Mail, in der damit gedroht wird, dass er hohe Strafen oder sogar Strafverfolgung befürchten muss, wenn er nicht den Anweisungen im beigefügten Dokument Folge leistet. In dem Moment, wo er dieses Dokument öffnet, wird Ransomware auf seinem Computer installiert, ohne, dass er das merkt. Dieselbe Ransomware droht dann damit, seine Dateien zu löschen, wenn er nicht einen bestimmten Betrag überweist.

Erpressung ist der Freddy Krüger des Social Engineering, da er Angst nutzt, um sein Ziel zu erreichen. Die Sorge, den Zugriff auf wichtige Dateien zu verlieren oder dass private Daten veröffentlicht werden, ist sehr groß. Das Opfer muss sich jetzt für das kleinere der beiden Übel entscheiden und den geforderten Betrag zahlen.

Ransomware ist inzwischen derat effizient, dass man ihr oft nur mti einer guten Backup- und Business Continuity-Lösung begegnen kann.

  1. Quid pro quo

Quid pro quo ist ein lateinischer Begriff für ‚dies für das‘ und genau so funktioniert auch dieser Social Engineering-Trick. Ein Angreifer wird Ihnen etwas vermeintlich wertvolles im Ausgleich für wertvolle Informationen versprechen. Er tarnt sich dabei als IT-Supportmitarbeiter. Ein Scammer wird dabei zum Beispiel ein Unternehmen ins Visier nehmen, indem er so lange wahllos verschiedene Telefonnummern anruft, bis er einen Mitarbeiter erwischt, der tatsächlich ein Problem hat. Ab jetzt wird er versuchen, dem Mitarbeiter die Zugangsdaten zu entlocken und ihn dabei davon überzeugen, dass Veränderungen vorgenommen werden müssen, um Schwachstellen in der Netzwerk-Sicherheit zu beheben.

Quid pro quo ist deshalb so interessant, weil es gleichzeitig überprüft, wie hoch das Sicherheitsbewusstsein ist, aber auch, wie integer ihre Mitarbeiter sind. Einer der überraschend erfolgreichen Angriffe in dieser Kategorie besteht darin, dass der Betrüger angeblich wichtige Untersuchungen für eine gute Sache durchführt. Er befragt die Mitarbeiter und ist dabei so geschickt, dass sie vertrauliche Informationen über ihren Vorgesetzten im Austausch für ein paar Hundert Euro oder das neueste iPhone preisgeben.

  1. Umgekehrtes Social Engineering

Meist wird Social Engineering per E-Mail abgewickelt. Aber einige Scammer bevorzugen auch das Telefon, besonders diejenigen, die sich mit dem so genannten umgekehrten Social Engineering befassen. Dieser Trick heißt so, weil der Angreifer so tut, als wolle er dem potenziellen Opfer helfen, ein Problem zu lösen. Der Gauner ruft dabei zum Beispiel wahllos einen Konsumenten an und gibt vor, ein Supportmitarbeiter eines Unternehmens zu sein, das Antiviren-Software vertreibt. Manchmal behauptet er auch, von einem der ganz großen Unternehmen, wie z. B. Microsoft, anzurufen. Während des Anrufs erbittet er den Remotezugriff auf den Computer des Angerufenen, um eine angebliche Malware-Infektion genauer zu untersuchen. Mit diesem Zugriff kann er dann Scamware installieren, die dann die Behauptung unterstützt, dass Malware auf dem Computer gefunden wurde und schon wird eine hohe Summe verlangt, um diese wieder zu entfernen. Das klingt an sich ja nicht unseriös.

Bedenken Sie dabei jedoch immer, dass ein ehrliches Unternehmen Sie niemals wegen eines angeblichen Malware-Angriffs anrufen wird.

Sie können Ihr IT-System mit modernsten Sicherheitsvorkehrungen schützen und die straffsten Vorgaben in Bezug auf den Schutz der Systeme ausgeben. Fakt ist jedoch, dass Ihre Infrastruktur, unabhängig davon, welche Mechanismen Sie auch implementieren, niemals so angreifbar ist wie gerade an der menschlichen Seite. Wenn Sie Ihre Mitarbeiter nicht regelmäßig über neue Bedrohungen informieren und entsprechend schulen, wird Ihr Unternehmen unter Umständen Opfer eines oder mehrerer dieser Social Engineering-Scams.