Social Engineering ist Teil unseres Alltags

Viele Menschen manipulieren gerne andere Menschen, um selbst einen Vorteil aus einer Situation zu ziehen. Dabei können verschiedenste Zwecke im Vordergrund stehen, zum Beispiel der Wunsch eine Verantwortung nicht oder vielleicht eben gerade zu übernehmen, ein Produkt zu vermarkten, Wahlen zu gewinnen oder Informationen zu erlangen. Manipulation ist dabei allgegenwärtig und fast jeder verwendet sie. Manche sind sich dieser Tatsache bewusst und bei anderen geschieht es unbewusst. Die Manipulationsmethoden haben sich nicht nur durch den gesellschaftlichen Wandel, sondern auch durch den technologischen Fortschritt immer weiterentwickelt. Manchmal geschehen Manipulationen sozial adäquat und im Rahmen des Erlaubten. Oftmals wird dieser Rahmen aber auch verlassen und aus Manipulationen werden Angriffe. Hier ist es wichtig, diese zu erkennen und sich davor zu schützen.

Social Engineering 

Ein Beispiel für einen solchen Angriff stellt das sogenannte Social Engineering dar. Dies ist eine der häufigsten modernen Methoden, um durch gezielte Manipulation an schützenswerte Informationen zu kommen. Angreifer versuchen dabei, über eine menschliche Ebene an kritische Informationen zu gelangen. Dies kann zum Beispiel durch Ausnutzung von Hilfsbereitschaft, Angst, Zeitdruck, aber auch durch Ausnutzung von Respekt vor Autoritäten geschehen. Social Engineering weist dabei grundsätzlich ein gewisses Muster auf:

• Zuerst werden Informationen über die Zielperson gesammelt. Dabei werden öffentliche und frei zugängliche Quellen verwendet, um ein besseres Bild von der Person zu erlangen. Dies können Angaben zum Arbeitgeber inkl. Namen von Vorgesetzten, zur Mitarbeiterzahl, zur allgemeinen Firmenstruktur und individuellen Funktion sein, aber auch Arbeitsroutinen, Aktivitäten auf Social Media und damit verbundene Orte und Handlungen.
• Als Nächstes wird ein Kontakt mit der Zielperson aufgebaut. Typischerweise wird hierbei telefoniert oder der Kontakt entsteht via E-Mail.
• Wenn der Kontakt aufgebaut ist, wird sich der Angreifer als eine Person ausgeben, die einen, im ersten Moment, legitimen Grund hat, um nach kritischen Informationen zu fragen. Typische Beispiele wären etwa der Administrator, der für das System einmal das Passwort braucht, ein Dienstleister, der Zugriff auf Systeme benötigt, ein Mitarbeiter einer Behörde, der Informationen anfordert, eine vorgesetzte Person, die schnell noch eine Aufgabe verteilen möchte. Der Angreifer versucht die Situation durch künstlich erzeugten Zeitdruck und/oder durch die Verwendung von Fachjargon als kritisch darzustellen.
• Unter Umständen wird die Zielperson dazu aufgefordert, gewisse Programme auszuführen, die angeblich bei der Problembehebung helfen oder die Zielperson wird angewiesen, eine Überweisung zu veranlassen oder hinterlegte Kontoverbindungen zu ändern.
• Selbst wenn der Angreifer bei einer einzelnen Person nicht zum Ziel kommen sollte, ist der Angriff noch längst nicht vorbei. Denn oftmals werden bei einzelnen Angriffsversuchen unbewusst kleinere Schnipsel an Informationen preisgegeben, die dem Angreifer beim nächsten Versuch nützlich sein können. Das beim Angreifer vorhandene Informationsbild über das Ziel wird dabei womöglich so detailliert, dass der Angreifer in der Lage ist, sich eine glaubhafte Legende aufzubauen.

Phishing-Mails und Spear-Phishing

Anstatt sich die Mühe zu machen und viele Informationen über ein Ziel im Rahmen individueller Telefonate oder E-Mails zu beschaffen, kann ein Angreifer auch einfach eine große Menge an unpersönlichen E-Mails versenden. Solche massenhaft versendeten Phishing-Mails sind dabei für das geschulte Auge häufig als Angriffsversuche erkennbar – insbesondere dann, wenn die Empfänger der E-Mails für Phishing-Mails sensibilisiert sind. Typische Merkmale von Phishing-Mails sind:

• viele Rechtschreibfehler,
• der Absendername stimmt nicht mit der Absenderdomain überein,
• die Absenderdomain ist merkwürdig aufgebaut,
• die E-Mail enthält verdächtige Anhänge (zum Beispiel ausführbare Dateien wie .exe, .scr oder veraltete Word-Dateiformate),
• die E-Mail stammt von einem unbekannten Absender und hat einen unzutreffenden Sachverhalt.

Den Angreifern reicht es, wenn nur ein kleiner Teil der Empfänger auf die E-Mail hereinfällt. Bei zehntausendfach versendeten E-Mails reicht schon ein Treffer – also die eine Person, die auf den Link mit dem vermeintlichen Paketstatus klickt, die die vermeintliche Rechnung herunterlädt oder das vermeintlich veraltete Passwort ändert.

Solche Massen-E-Mails sind noch relativ leicht zu erkennen, schwieriger wird es, gezielte Phishing-Attacken abzuwenden, die mit im Vorfeld gesammelten Informationen individuell an Einzelpersonen verschickt werden. Ein solches Vorgehen nennt sich Spear-Phishing. Dieses Vorgehen setzt mehr Aufwand voraus, verspricht den Angreifern aber auch höhere Erfolgsquoten. Und selbst diese Angriffe können automatisiert werden. Hierzu ein ganz praktisches Beispiel: Meldet ein Unternehmen eine Marke an, so wird die Eintragung mit Unternehmensnamen und Marke veröffentlicht. Angreifer machen sich dies in der Praxis zunutze, um die anmeldenden Unternehmen anzuschreiben und sich dabei als Mitarbeiter des Markenamts auszugeben. Ziel ist es dann zum Beispiel, eine vermeintliche Anmeldegebühr auf das Konto des Angreifers einzufordern oder der Zielperson schädliche Links und Anhänge unterzujubeln.

Einordnung und Gegenmaßnahmen

Wie gefährlich und relevant Social Engineering in der Praxis ist, zeigt sich auch daran, dass das Bundesamt für Sicherheit in der Informationstechnik Social Engineering als eine von 47 Gefahren in den Katalog der elementaren Gefährdungen aufgenommen hat.

Neben technischen Maßnahmen sind auch organisatorische Maßnahmen zum Schutz vor Social Engineering Attacken unerlässlich. Ganz konkret bietet es sich an, dass Unternehmen und Behörden ihre Beschäftigten regelmäßig zur Gefährdung durch Social Engineering sensibilisieren.

Gerne unterstützen wir Sie bei der Planung entsprechender Maßnahmen. Mit unseren eLearnings von DSN train schulen Sie Ihre Mitarbeitenden im Bereich der Informationssicherheit z. B. durch die folgenden Kurse:

• Grundkurs Cybersicherheit
  
• Schutz vor Phishing
  
• Schutz vor Social Engineering
  

Unsere Berater und Beraterinnen können mit Ihnen auch weitere Awareness-Maßnahmen wie z. B. die Umsetzung von Phishing-Simulationen oder Webinaren und Vor-Ort-Schulungen planen.

Weitere spannende Beispiele für verschiedene Angriffsszenarien finden Sie in unseren datenschutz notizen hier für Social Engineering und hier für Phishing.

Bei Fragen sprechen Sie uns gerne an.