Der Mensch ist ein soziales Tier; wir mögen es, zusammenzukommen, zu kommunizieren, zu arbeiten und Spaß zu haben. Dieses sozialisierte Verhalten, das auf vertrauensvollen Beziehungen beruht, sorgt dafür, dass menschliche Gruppen kooperieren und koexistieren.
Leider sind es auch diese sozialen Aspekte des menschlichen Verhaltens, die Cyberkriminelle, die Schaden anrichten wollen, ausnutzen können. Bei Social-Engineering-Angriffen werden Menschen durch Tricks und Nachahmung dazu gebracht, eine Handlung auszuführen, die dem Betrüger zugute kommt.
Dies wird durch den Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 2022 bestätigt, in dem festgestellt wurde, dass 82 % der Datenschutzverletzungen ein menschliches Element beinhalten.
Im Folgenden wird erläutert, wie Social-Engineering-Angriffe ablaufen und was Sie tun können, um zu verhindern, dass Ihre Mitarbeiter Opfer von Social-Engineering werden.
Wie kommt es zu Social Engineering-Angriffen?
Einem Bericht zufolge ist ein Unternehmen im Durchschnitt 700 Social-Engineering-Angriffen pro Jahr ausgesetzt. Social-Engineering-Angriffe kommen in vielen Formen vor und entwickeln sich zu neuen, um der Entdeckung zu entgehen.
Die Aufgabe eines Social-Engineering-Angriffs besteht darin, jemanden dazu zu bringen, etwas zu tun, das einem Cyberkriminellen nützt. Zum Beispiel soll eine Person dazu gebracht werden, finanzielle Details preiszugeben, die dann für Betrugszwecke verwendet werden.
Social Engineering wird nicht nur mit digitalen Methoden durchgeführt. Social Engineers wenden jede Taktik an, um die Strukturen aufzubauen, die sie brauchen, um Menschen zu täuschen. Dazu kann es gehören, das Telefon zu benutzen oder in ein Büro zu gehen und mit dem Personal zu sprechen.
Zu den derzeit beliebtesten Social-Engineering-Tricks gehören:
Pretexting und Tailgating: Die Angreifer geben sich als Mitarbeiter oder Autoritätsperson aus, z. B. als Polizeibeamter. Unter diesem Deckmantel bauen sie über eine digitale Methode, per Telefon oder persönlich Vertrauen zu einer Zielperson auf. Sobald das Vertrauen hergestellt ist, versucht der Betrüger, Informationen wie persönliche Daten oder finanzielle Details zu erlangen.
Darüber hinaus führen Tailgators häufig physische Angriffe auf Unternehmen durch, indem sie Wege finden, unbemerkt oder sogar eingeladen in ein Gebäude einzudringen. Sobald sie in einem Gebäude sind, können sie leicht verfügbare Tools wie RubberDucky verwenden, die von legitimen Penetrationstestern eingesetzt werden, um Daten, einschließlich Anmeldedaten, zu stehlen.
Phishing: Phishing gibt es in verschiedenen Varianten, z. B. per E-Mail, Telefonanruf, in sozialen Medien und per SMS. Phishing-Nachrichten basieren auf Social-Engineering-Taktiken, bei denen die Empfänger durch Vortäuschung von Vertrauen und den Drang zu klicken dazu gebracht werden, persönliche Informationen wie Passwörter und Kreditkartendaten preiszugeben.
Eine Studie der britischen Regierung zur Cybersicherheit ergab, dass die überwiegende Mehrheit (83 %) der Unternehmen, die einen Cyberangriff feststellten, angaben, dass Phishing der primäre Vektor des Angriffs war.
Spearphishing ist die gezielte Form des Phishings, bei der Social Engineering den größten Erfolg erzielt. Spearphishing-E-Mails sind nur schwer von legitimen E-Mails zu unterscheiden, da die Betrüger große Anstrengungen unternehmen, um sie realistisch aussehen zu lassen, und oft eine vertrauensvolle Beziehung zu ihrem Ziel aufbauen. Laut dem DBIR 2018 stecken 93 % der Cyberangriffe hinter Spearphishing.
Köder: Dieser Social-Engineering-Angriff nutzt Verlockungen oder die Angst, etwas zu verpassen (FOMO), um bestimmte Verhaltensweisen zu fördern. So können einem Mitarbeiter beispielsweise kostenlose Geschenke angeboten werden, wenn er persönliche oder Unternehmensdaten oder Passwörter preisgibt.
Warum sind Social-Engineering-Angriffe so effektiv?
Der Mensch hat sich so entwickelt, dass er auf bestimmte Weise handelt und sich verhält, um starke und kohäsive soziale Strukturen aufzubauen. Elemente wie Vertrauen sind wesentliche Bestandteile einer kohärenten Gesellschaft. Ohne Vertrauen scheitern die Beziehungen.
Betrüger verstehen das menschliche Verhalten und das Bedürfnis, vertrauensvolle Beziehungen aufzubauen. Sie wissen auch, wie sie Menschen manipulieren können, indem sie vorgeben, eine vertrauenswürdige Person zu sein oder Vertrauen aufzubauen.
Auch andere menschliche Verhaltensweisen wie der Drang, einen guten Job zu machen, nicht in Schwierigkeiten zu geraten oder etwas Gutes zu verpassen, werden von Cyberkriminellen missbraucht. All diese natürlichen Handlungen, die wir täglich in unserem Privat- und Arbeitsleben ausführen, können von Cyberkriminellen ausgenutzt werden, um Daten zu stehlen und auf Netzwerke zuzugreifen, um bösartige Handlungen auszuführen.
5 Beispiele für Social-Engineering-Angriffe
Beispiele für Social Engineering sind regelmäßig in der Presse zu finden, aber hier sind fünf, um Ihnen einen Eindruck davon zu vermitteln, wie Social Engineering funktioniert:
Marriott Hotel: Eine Hackergruppe nutzte Social-Engineering-Taktiken, um 20 GB persönlicher und finanzieller Daten aus einem Marriott-Hotel zu stehlen. Die Hacker brachten einen Mitarbeiter des Marriott-Hotels dazu, der Hackergruppe Zugriff auf den Computer des Mitarbeiters zu gewähren.
US-Arbeitsministerium (DoL ): Es handelte sich um einen sozial manipulierten Angriff, bei dem Anmeldedaten für Office 365 gestohlen wurden. Der Angriff nutzte ein ausgeklügeltes Phishing, das auf geschickt gefälschten Domains basierte, die wie die legitime DoL-Domain aussahen. Die E-Mails schienen von einem leitenden DoL-Mitarbeiter zu stammen und forderten ihn auf, ein Angebot für ein Regierungsprojekt abzugeben. Durch Anklicken der Schaltfläche für die Angebotsabgabe gelangte der Mitarbeiter auf eine Phishing-Website, über die Anmeldedaten gestohlen wurden.
Zoom-Nutzer: Eine Phishing-Kampagne, die sich an Mitarbeiter richtete, betraf mindestens 50.000 Nutzer. Die Social Engineers nutzten die Angst vor Entlassung, um die Mitarbeiter dazu zu bringen, auf einen Link zu klicken, um sich über Zoom mit der Personalabteilung zu treffen. Wenn der Mitarbeiter auf den Link klickte, gelangte er auf eine gefälschte Zoom-Anmeldeseite, um Passwörter zu stehlen.
FACC (österreichischer Flugzeughersteller): FACC verlor rund 42 Millionen Euro , als das Unternehmen Opfer eines ausgeklügelten Business Email Compromise (BEC)-Betrugs wurde. Das E-Mail-Konto des Geschäftsführers des Unternehmens wurde gefälscht und dann benutzt, um eine "dringende" E-Mail-Anfrage für eine Geldüberweisung zu senden. Mit dieser E-Mail wurde ein Angestellter des Unternehmens getäuscht, der der Aufforderung nachkam und das Geld auf das Konto des Betrügers überwies.
Crowdstrike-Rückruf: Sogar Sicherheitsanbieter bekommen die Macht des Social Engineering zu spüren. Crowdstrike ist unwissentlich zum Spielball der Social Engineers geworden. Betrüger nutzen die vertrauenswürdige Marke von Crowdstrike und anderen Sicherheitsanbietern, um Phishing-E-Mails an Mitarbeiter zu senden. Die E-Mail enthält Details zu einer möglichen Malware-Infektion und eine Telefonnummer, die angerufen werden soll, um die installierte Malware zu entfernen. Wenn der Mitarbeiter die Nummer wählt, wird er dazu verleitet, dem Angreifer Zugang zu seinem Computer zu gewähren.
Wie man sich vor Social-Engineering-Angriffen schützt
Social Engineering ist erfolgreich, weil die Technik unsere alltäglichen Handlungen manipuliert. Dadurch ist es für die Mitarbeiter schwierig zu erkennen, dass sie Teil eines Social-Engineering-Angriffs sind.
Social Engineering muss Teil des Gesprächs über das Sicherheitsbewusstsein sein, und die Sicherheitsrichtlinien sollten dies widerspiegeln. Es gibt jedoch praktische Möglichkeiten, um sicherzustellen, dass die Mitarbeiter mit den Tricks der Social-Engineering-Betrüger auf dem Laufenden sind:
Machen Sie Social Engineering zu einem Teil Ihrer Sicherheitskultur:
- Informieren Sie Ihre Mitarbeiter regelmäßig über Social Engineering und dessen Funktionsweise.
- Stellen Sie sicher, dass Social Engineering Teil Ihrer regelmäßigen Sicherheitsschulungen ist.
- Beziehen Sie Social Engineering in die Plakate zum Monat des Sicherheitsbewusstseins ein und versenden Sie Newsletter an die Mitarbeiter über die durch Social Engineering verursachten Probleme.
Einsatz von Phishing-Simulationen: Verwenden Sie eine fortschrittliche Plattform für Phishing-Simulationen, um Mitarbeiter darin zu schulen, wie Phishing-E-Mails aussehen, und um ihre Reaktion auf eine Phishing-E-Mail zu testen. Passen Sie diese E-Mails an die verschiedenen Rollen in Ihrem Unternehmen an und stützen Sie sich bei den Simulationen auf bekannte Taktiken von Betrügern.
Führen Sie Penetrationstests für Ihr Unternehmen und Ihre Mitarbeiter durch: Richten Sie verschiedene Testszenarien ein, um zu sehen, wie gut die Mitarbeiter auf mögliche Social-Engineering-Versuche reagieren. Dazu können auch Tests gehören, um festzustellen, wie leicht (oder schwer) es ist, sich Zugang zum Gebäude zu verschaffen.
Testen Sie auch das Personal und seine Reaktion auf unbekannte Personen. Geben Sie sich z. B. als Reinigungskräfte oder Auftragnehmer aus und prüfen Sie, wie weit sie kommen, wenn sie Informationen über Ihr Unternehmen abfragen oder um Zugang zu einem Computer bitten.
