Entdecken Sie in diesem Artikel fünf berühmte Beispiele für Social Engineering-Angriffe und erfahren Sie, wie diese Taktiken Menschen täuschen. Der Mensch ist von Natur aus ein soziales Wesen, das sich gerne unter Menschen mischt, kommuniziert, arbeitet und gemeinsame Aktivitäten unternimmt. Diese Geselligkeit, die auf Vertrauen beruht, erleichtert die Zusammenarbeit und das Zusammenleben in menschlichen Gruppen.

Aber genau diese sozialen Eigenschaften werden auch von Cyberkriminellen ausgenutzt, die Schaden anrichten wollen. Social-Engineering-Angriffe nutzen diese Schwachstellen aus, indem sie Menschen durch Täuschung und Nachahmung zu Handlungen verleiten, die den Absichten des Betrügers dienen.

Dies wird durch den Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 2023 bestätigt, in dem festgestellt wurde, dass 82 % der Datenschutzverletzungen ein menschliches Element beinhalten.

Im Folgenden erfahren Sie, wie Social-Engineering-Angriffe ablaufen und was Sie tun können, um zu verhindern, dass Ihre Mitarbeiter Opfer von Social-Engineering werden.

Wie kommt es zu Social Engineering-Angriffen?

Einem aktuellen Bericht zufolge ist ein durchschnittliches Unternehmen jährlich 700 Social Engineering-Angriffen ausgesetzt. Social-Engineering-Angriffe gibt es in vielen Formen und sie entwickeln sich weiter, um der Entdeckung zu entgehen.

Das Ziel eines Social-Engineering-Angriffs ist es, jemanden dazu zu bringen, etwas zu tun, das einem Cyberkriminellen nützt. Zum Beispiel, eine Person dazu zu bringen, finanzielle Details preiszugeben, die dann für einen Betrug verwendet werden.

Social Engineering wird nicht nur mit digitalen Methoden durchgeführt. Social Engineers wenden jede Taktik an, um die Strukturen aufzubauen, die sie benötigen, um Menschen zu täuschen. Dazu kann auch gehören, dass sie das Telefon benutzen oder in ein Büro gehen und mit den Mitarbeitern plaudern.

Zu den derzeit beliebtesten Social-Engineering-Tricks gehören:

Pretexting und Tailgating: Die Angreifer geben sich als Mitarbeiter oder Autoritätsperson aus, z. B. als Polizeibeamter. Sie nutzen diese Tarnung, um über eine digitale Methode, per Telefon oder persönlich Vertrauen zu einer Zielperson aufzubauen. Sobald das Vertrauen hergestellt ist, versucht der Betrüger, Informationen zu erlangen, z. B. persönliche Daten oder finanzielle Details.

Darüber hinaus führen Tailgators oft physische Angriffe auf Unternehmen durch, indem sie Wege finden, unbemerkt oder sogar eingeladen in ein Gebäude einzudringen. Sobald sie in einem Gebäude sind, können sie leicht verfügbare Tools wie RubberDucky USB verwenden, die von legitimen Penetrationstestern eingesetzt werden, um Daten zu stehlen, einschließlich der Anmeldedaten.

Phishing: Es gibt verschiedene Arten von Phishing, darunter E-Mails, Telefonanrufe, Posts in sozialen Medien und Textnachrichten. Phishing-Angriffe basieren auf Social-Engineering-Taktiken, bei denen die Empfänger durch Vortäuschung von Vertrauen und den Drang zu klicken dazu gebracht werden, persönliche Informationen wie Passwörter und Kreditkartendaten preiszugeben.

Eine Studie der britischen Regierung zur Cybersicherheit ergab, dass die überwiegende Mehrheit (83 %) der Unternehmen, die einen Cyberangriff feststellten, angaben, dass Phishing der Hauptvektor des Angriffs war.

Spearphishing ist die gezielte Form des Phishings, bei der Social Engineering den größten Erfolg erzielt. Spearphishing-E-Mails sind nur schwer von legitimen E-Mails zu unterscheiden, denn die Betrüger geben sich große Mühe, sie realistisch aussehen zu lassen, und bauen oft eine vertrauensvolle Beziehung zu ihrer Zielperson auf. Laut dem DBIR 2018 stecken 93 % der Cyberangriffe hinter Spearphishing.

Köder: Dieser Social-Engineering-Angriff nutzt Verlockungen oder die Angst, etwas zu verpassen (FOMO), um bestimmte Verhaltensweisen zu fördern. Einem Mitarbeiter können beispielsweise kostenlose Geschenke angeboten werden, wenn er persönliche oder Unternehmensdaten oder Passwörter preisgibt.

Warum sind Social-Engineering-Angriffe so effektiv?

Der Mensch hat sich so entwickelt, dass er auf bestimmte Weise handelt und sich verhält, um starke und kohäsive soziale Strukturen aufzubauen. Elemente wie Vertrauen sind wichtige Bestandteile einer kohärenten Gesellschaft. Ohne Vertrauen scheitern die Beziehungen.

Betrüger verstehen das menschliche Verhalten und das Bedürfnis, vertrauensvolle Beziehungen aufzubauen. Sie wissen auch, wie sie Menschen manipulieren können, indem sie vorgeben, eine vertrauenswürdige Person zu sein oder Vertrauen aufzubauen.

Auch andere menschliche Verhaltensweisen wie der Drang, einen guten Job zu machen, keinen Ärger zu bekommen oder etwas Gutes zu verpassen, werden von Cyberkriminellen missbraucht. All diese natürlichen Handlungen, die wir täglich in unserem Privat- und Arbeitsleben ausführen, können von Cyberkriminellen ausgenutzt werden, um Daten zu stehlen und auf Netzwerke zuzugreifen, um bösartige Handlungen auszuführen.

5 Beispiele für Social Engineering Angriffe

Beispiele für Social Engineering sind regelmäßig in der Presse zu finden. Hier sind fünf Beispiele, um Ihnen einen Eindruck davon zu vermitteln, wie Social Engineering funktioniert:

Marriott Hotel: Eine Hackergruppe nutzte Social-Engineering-Taktiken, um 20 GB an persönlichen und finanziellen Daten aus einem Marriott Hotel zu stehlen. Die Hacker brachten einen Mitarbeiter des Marriott Hotels dazu, der Hackergruppe Zugang zum Computer des Mitarbeiters zu gewähren.

US Department of Labor (DoL): Hier handelte es sich um einen sozial manipulierten Angriff, bei dem Anmeldedaten für Office 365 gestohlen wurden. Der Angriff basierte auf einem ausgeklügelten Phishing mit gefälschten Domains, die wie die legitime DoL-Domain aussahen. Die E-Mails schienen von einem leitenden DoL-Mitarbeiter zu stammen, der sie aufforderte, ein Angebot für ein Regierungsprojekt abzugeben. Wenn der Mitarbeiter auf die Schaltfläche für das Angebot klickte, wurde er auf eine Phishing-Website weitergeleitet, die dazu diente, Anmeldedaten zu stehlen.

Zoom-Benutzer: Eine Phishing-Kampagne, die auf Mitarbeiter abzielte, betraf mindestens 50.000 Benutzer. Die Social Engineers nutzten die Angst vor Entlassung, um die Mitarbeiter dazu zu bringen, auf einen Link zu klicken, um sich über Zoom mit der Personalabteilung zu treffen. Wenn der Mitarbeiter auf den Link klickte, gelangte er auf eine gefälschte Zoom-Anmeldeseite, um Passwörter zu stehlen.

FACC (österreichischer Flugzeughersteller): FACC verlor rund 42 Millionen Euro , als das Unternehmen Opfer eines ausgeklügelten Business Email Compromise (BEC) Betrugs wurde. Das E-Mail-Konto des Geschäftsführers des Unternehmens wurde gefälscht und dann benutzt, um eine „dringende“ E-Mail-Anfrage für eine Überweisung zu versenden. Mit dieser E-Mail wurde ein Angestellter des Unternehmens getäuscht, der der Aufforderung nachkam und das Geld auf das Konto des Betrügers überwies.

Crowdstrike-Rückruf: Sogar die Anbieter von Sicherheitslösungen bekommen die Macht des Social Engineering zu spüren. Crowdstrike ist unwissentlich zum Spielball der Social Engineers geworden. Betrüger nutzen die vertrauenswürdige Marke von Crowdstrike und anderen Sicherheitsanbietern, um Phishing-E-Mails an Mitarbeiter zu versenden. Die E-Mail enthält Details zu einer möglichen Malware-Infektion und eine Telefonnummer, die angerufen werden soll, um die installierte Malware zu entfernen. Wenn der Mitarbeiter die Nummer wählt, wird er dazu verleitet, dem Angreifer Zugang zu seinem Computer zu gewähren.

Wie Sie sich vor Social Engineering-Angriffen schützen können

Social Engineering ist erfolgreich, weil die Technik unsere alltäglichen Handlungen manipuliert. Das macht es für Mitarbeiter schwierig, zu erkennen, dass sie Teil eines Social Engineering-Angriffs sind.

Social Engineering muss Teil des Gesprächs über das Sicherheitsbewusstsein sein, und die Sicherheitsrichtlinien sollten dies widerspiegeln. Es gibt jedoch praktische Möglichkeiten, um sicherzustellen, dass die Mitarbeiter mit den Tricks der Social-Engineering-Betrüger auf dem Laufenden sind:

Machen Sie Social Engineering zu einem Teil Ihrer Sicherheitskultur:

  1. Informieren Sie Ihre Mitarbeiter regelmäßig über Social Engineering und dessen Funktionsweise.

  2. Stellen Sie sicher, dass Social Engineering Teil Ihrer regelmäßigen Sicherheitsschulungen ist.

  3. Beziehen Sie Social Engineering in die Plakate zum Monat des Sicherheitsbewusstseins ein und versenden Sie Newsletter an Ihre Mitarbeiter, in denen Sie auf die durch Social Engineering verursachten Probleme hinweisen.

Setzen Sie Phishing-Simulationen ein: Verwenden Sie eine fortschrittliche Phishing-Simulationsplattform, um Ihre Mitarbeiter darin zu schulen, wie Phishing-E-Mails aussehen, und um ihre Reaktion auf eine Phishing-E-Mail zu testen. Schneiden Sie diese E-Mails auf die verschiedenen Rollen in Ihrem Unternehmen zu und basieren Sie die Simulationen auf bekannten Taktiken der Betrüger.

Führen Sie Penetrationstests für Ihr Unternehmen und Ihre Mitarbeiter durch: Richten Sie verschiedene Testszenarien ein, um zu sehen, wie gut Ihre Mitarbeiter auf mögliche Social Engineering-Versuche reagieren. Dazu können auch Tests gehören, die zeigen, wie leicht (oder schwer) es ist, in das Gebäude einzudringen.

Testen Sie auch Ihre Mitarbeiter und deren Reaktion auf unbekannte Personen. Geben Sie die Tester zum Beispiel als Reinigungskräfte oder Auftragnehmer aus und sehen Sie, wie weit sie kommen, wenn sie Informationen über Ihr Unternehmen ausspionieren oder um Zugang zu einem Computer bitten.

Phishing Französisch img

[faq_posts]