Warum nutzen Cyberangreifer häufig Social Engineering?
Cyber-Angreifer verwenden Social Engineering, eine Angriffsart, die auf das menschliche Element und nicht auf das Computersystem und seine Software abzielt. Der Angreifer versucht, eine Person zu einer Handlung zu verleiten, die es ihm ermöglicht, Zugang zum Computer des Opfers zu erhalten.
Eine der häufigsten Arten dieser Art von Angriffen ist der Man-in-the-Middle-Angriff. Bei einem Man-in-the-Middle-Angriff gibt sich ein Angreifer als eine andere Person aus, um den Opfern vorzugaukeln, dass sie über Normalisierungsprotokolle wie Interactive Voice Response, E-Mail, Instant Messaging und Webkonferenzen direkt miteinander sprechen.
Hackerangriffe durch menschliche Manipulation sind leichter auszuführen als Hackerangriffe direkt von einer externen Quelle. In diesem Artikel wird erörtert, warum SE-Angriffe auf dem Vormarsch sind und warum Cyber-Angreifer diese Taktik häufig anwenden.
Warum nutzen Cyber-Angreifer Social Engineering: Wahrscheinliche Ursachen und Gründe
Social-Engineering-Angriffe sind eine der beliebtesten und effektivsten Methoden, die von Hackern heutzutage eingesetzt werden. Bei diesen Angriffen werden häufig zwischenmenschliche Beziehungen ausgenutzt, z. B. das Vertrauen und die Vertrautheit von Mitarbeitern oder die räumliche Nähe zwischen Mitarbeitern und Kunden.
a. Das menschliche Element ist das schwächste Glied in der traditionellen Sicherheit
Angriffe sind in der Regel effektiver, wenn sie auf menschlicher Interaktion beruhen, was bedeutet, dass es für die Technologie keine Möglichkeit gibt, uns vor ihnen zu schützen.
Alles, was ein Angreifer braucht, sind ein paar Informationen über die Gewohnheiten oder Vorlieben seiner Zielperson und etwas Kreativität bei der Art und Weise, wie er sich dem Opfer präsentiert.
Dies führt dazu, dass die Angreifer das bekommen, was sie wollen, ohne auf kompliziertere Techniken zurückgreifen zu müssen, wie z. B. das Hacken des Netzwerks einer Organisation oder das Eindringen in die Systeme eines Unternehmens.
b. Es besteht keine Notwendigkeit für fortgeschrittene Hacking-Techniken
Social-Engineering-Angriffe nutzen das Vertrauen von Menschen aus, um sich Zugang zu einem System oder Netzwerk zu verschaffen. Diese Angriffe sind effektiv, weil es für einen Angreifer einfach ist, sich Zugang zu verschaffen, anstatt sich mit fortgeschrittenen Hacking-Techniken mit roher Gewalt einen Weg in ein Netzwerk zu bahnen.
Wenn ein Angreifer dies tut, verwendet er in der Regel psychologisch manipulative Techniken wie Phishing, Spear Phishing und Pretexting.
Phishing bedeutet, dass ein Angreifer E-Mails verschickt, die legitim erscheinen, aber darauf abzielen, die Benutzer zur Preisgabe ihrer persönlichen Daten wie Passwörter oder Kreditkarteninformationen zu verleiten.
Spear-Phishing bedeutet, dass ein Angreifer die gleichen Methoden wie beim Phishing anwendet, aber mit fortgeschritteneren Techniken, z. B. indem er sich als eine andere Person ausgibt, um Sie dazu zu bringen, Ihre Daten preiszugeben.
Beim Pretexting versucht ein Angreifer, das Vertrauen seiner Opfer zu gewinnen, bevor er versucht, sie zu bestehlen.
Sobald sich Angreifer Zugang zu Ihrem System oder Netzwerk verschafft haben, können sie darin alles tun, was sie wollen, einschließlich der Installation von Programmen, der Änderung von Dateien oder sogar deren Löschung, ohne von einem Sicherheitssystem oder einem Administrator erwischt zu werden, der sie daran hindern könnte, wenn er wüsste, was in seinem Netzwerk vor sich geht!
c. Dumpster Diving ist einfacher als Brute Forcing in ein Netzwerk
Beim Dumpster Diving werden Informationen aus weggeworfenen Materialien entnommen, um Social Engineering-Angriffe durchzuführen. Bei dieser Technik wird der Müll nach Schätzen wie Zugangscodes oder Passwörtern durchsucht, die auf Klebezetteln notiert sind. Mit Dumpster Diving lassen sich solche Aktivitäten leicht durchführen, da der Hacker sich so Zugang zum Netzwerk verschaffen kann, ohne tatsächlich einbrechen zu müssen.
Die Informationen, die Dumpster-Diver ausgraben, können von banalen Daten wie einer Telefonliste oder einem Kalender bis hin zu scheinbar harmloseren Daten wie einem Organigramm reichen. Doch diese scheinbar harmlosen Informationen können einem Angreifer dabei helfen, sich mit Social-Engineering-Techniken Zugang zum Netzwerk zu verschaffen.
Auch wenn ein Computer entsorgt wurde, könnte er eine Fundgrube für Cyberangreifer sein. Es ist möglich, Informationen von Speichermedien wiederherzustellen, auch von Laufwerken, die gelöscht oder unsachgemäß formatiert wurden. Gespeicherte Passwörter und vertrauenswürdige Zertifikate werden oft auf dem Computer gespeichert und sind anfällig für Angriffe.
Die ausrangierten Geräte können sensible Daten auf dem Trusted Platform Module (TPM) enthalten. Diese Daten sind für ein Unternehmen wichtig, da sie die sichere Speicherung sensibler Informationen, wie z. B. kryptografischer Schlüssel, ermöglichen. Ein Social Engineer könnte die Hardware-IDs, denen ein Unternehmen vertraut, ausnutzen, um potenzielle Angriffe auf die Benutzer durchzuführen.
d. Nutzt die Furcht, die Gier und das Gefühl der Dringlichkeit der Menschen
Social-Engineering-Angriffe sind leicht durchzuführen, da sie sich auf das menschliche Element stützen. Der Cyber-Angreifer kann Charme, Überredung oder Einschüchterung einsetzen, um die Wahrnehmung der Person zu manipulieren oder die Emotionen der Person auszunutzen, um wichtige Details über ihr Unternehmen zu erfahren.
So könnte ein Cyber-Angreifer beispielsweise mit einem verärgerten Mitarbeiter eines Unternehmens sprechen, um an versteckte Informationen zu gelangen, die dann zum Einbruch in das Netzwerk genutzt werden können.
Der verärgerte Mitarbeiter kann einem Angreifer Informationen über das Unternehmen geben, wenn er sich von seinem derzeitigen Arbeitgeber ungerecht behandelt oder schlecht behandelt fühlt. Der verärgerte Mitarbeiter kann auch Informationen über das Unternehmen weitergeben, wenn er/sie keinen anderen Job hat und bald arbeitslos sein wird.
Bei den fortgeschritteneren Hacking-Methoden wird mit fortgeschrittenen Techniken wie Malware, Keyloggern und Trojanern in ein Netzwerk eingebrochen. Diese fortgeschrittenen Techniken erfordern viel mehr Zeit und Mühe als das Gespräch mit einem verärgerten Mitarbeiter, um an versteckte Informationen zu gelangen, die für den Einbruch in ein Netzwerk verwendet werden können.
Die sechs wichtigsten Prinzipien der Beeinflussung
Social-Engineering-Betrügereien nutzen sechs spezifische Schwachstellen in der menschlichen Psyche aus. Diese Schwachstellen wurden von dem Psychologen Robert Cialdini in seinem Buch "Influence: The Psychology of Persuasion" beschrieben:
➜ Reziprozität - Reziprozität ist der Wunsch, Gefallen in Form von Gegenleistungen zu erwidern. Wir neigen dazu, Menschen, die uns geholfen haben, etwas zu schulden; wir haben das Gefühl, dass es unsere Pflicht ist, ihnen zu helfen. Wenn uns also jemand um etwas bittet - ein Passwort, Zugang zu Finanzdaten oder irgendetwas anderes - sind wir eher bereit, ihm zu helfen, wenn er uns schon einmal geholfen hat.
➜ Verbindlichkeit und Beständigkeit - Wir neigen dazu, Dinge im Laufe der Zeit zu tun und nicht nur einmal. Wir sind eher bereit, einer Anfrage zuzustimmen, wenn wir bereits einem Teil davon zugestimmt haben - oder sogar mehreren. Wenn jemand schon einmal um Einsicht in Ihre Finanzunterlagen gebeten hat, ist eine erneute Anfrage vielleicht gar nicht so schlimm!
➜ Soziale Beweise - Hierbei handelt es sich um eine Täuschungstechnik, die sich auf die Tatsache stützt, dass wir dazu neigen, dem Beispiel der Menschen in unserer Umgebung zu folgen (auch bekannt als "Mitläufereffekt"). So könnten Mitarbeiter beispielsweise von einem Bedrohungsakteur beeinflusst werden, der falsche Beweise dafür vorlegt, dass ein anderer Mitarbeiter einer Aufforderung nachgekommen ist.
➜ Gefallen an - Wir mögen Menschen, die den Anschein erwecken, als hätten sie das Sagen. Ein Hacker könnte also eine Nachricht an Ihre E-Mail-Adresse senden, die so aussieht, als käme sie von Ihrem Chef oder einem Freund von Ihnen oder sogar von einem Experten auf einem Gebiet, das Sie interessiert. Die Nachricht könnte etwa so lauten: "Hey! Ich weiß, dass du an diesem Projekt arbeitest und wir brauchen etwas Hilfe. Können wir uns bald mal treffen?" In der Regel wird um Ihre Hilfe gebeten - und wenn Sie zustimmen, geben Sie sensible Informationen preis.
➜ Autorität - Menschen unterwerfen sich im Allgemeinen Autoritätspersonen, weil wir sie als die "Richtigen" ansehen, denen wir folgen und gehorchen müssen. Auf diese Weise können Social-Engineering-Taktiken unsere Tendenz ausnutzen, denjenigen zu vertrauen, die autoritär erscheinen, um das zu bekommen, was sie von uns wollen.
➜ Knappheit - Knappheit ist ein menschlicher Instinkt, der in unseren Gehirnen fest verankert ist. Es ist das Gefühl von "Ich brauche das jetzt" oder "Ich sollte das haben". Wenn Menschen also von Social Engineers betrogen werden, verspüren sie ein Gefühl der Dringlichkeit, ihr Geld oder ihre Informationen so schnell wie möglich herauszugeben.
Persönlichkeiten, die anfällig für Social Engineering sind und warum?
Laut Dr. Margaret Cunningham, der leitenden Wissenschaftlerin für menschliches Verhalten bei Forcepoint X-Lab - einem Cybersicherheitsunternehmen - sind Einigkeit und Extravertiertheit die Persönlichkeitsmerkmale, die am anfälligsten für Social-Engineering-Angriffe sind.
Sympathische Menschen sind in der Regel vertrauensvoll, freundlich und bereit, Anweisungen ohne Fragen zu befolgen. Sie sind gute Kandidaten für Phishing-Angriffe, da sie eher bereit sind, auf Links zu klicken oder Anhänge von E-Mails zu öffnen, die echt erscheinen.
Extrovertierte Menschen sind auch deshalb anfälliger für Social-Engineering-Angriffe, weil sie oft lieber mit anderen zusammen sind und anderen eher vertrauen. Sie neigen eher dazu, den Motiven anderer zu misstrauen als introvertierte Menschen, was dazu führen kann, dass sie von einem Social Engineer getäuscht oder manipuliert werden.
Persönlichkeiten, die gegenüber Social Engineering resistent sind und warum?
Menschen, die sich gegen Social-Engineering-Angriffe wehren können, sind in der Regel gewissenhaft, introvertiert und haben eine hohe Selbstwirksamkeit.
Gewissenhafte Menschen sind am ehesten in der Lage, Social-Engineering-Betrug zu widerstehen, indem sie sich auf ihre eigenen Bedürfnisse und Wünsche konzentrieren. Sie sind auch weniger geneigt, sich den Forderungen anderer anzupassen.
Introvertierte Menschen sind in der Regel weniger anfällig für Manipulationen von außen, weil sie sich Zeit für sich selbst nehmen und die Einsamkeit genießen, was bedeutet, dass sie sich weniger leicht von sozialen Signalen oder aufdringlichen Menschen beeinflussen lassen, die versuchen, sie zu beeinflussen.
Selbstwirksamkeit ist wichtig, weil sie uns hilft, an uns selbst zu glauben, so dass wir mehr Vertrauen haben, dass wir dem Druck von anderen oder äußeren Einflüssen widerstehen können.
Schützen Sie Ihr Unternehmen mit PowerDMARC vor Social Engineering-Betrug
Unter Social Engineering versteht man die Manipulation von Mitarbeitern und Kunden, damit diese sensible Informationen preisgeben, die zum Diebstahl oder zur Zerstörung von Daten verwendet werden können. In der Vergangenheit wurden diese Informationen durch das Versenden von E-Mails erlangt, die so aussahen, als kämen sie von legitimen Quellen wie Ihrer Bank oder Ihrem Arbeitgeber. Heute ist es viel einfacher, E-Mail-Adressen zu fälschen.
PowerDMARC schützt vor dieser Art von Angriffen durch den Einsatz von E-Mail-Authentifizierungsprotokollen wie SPF, DKIM und DMARC p=reject-Richtlinie in Ihrer Umgebung, um das Risiko von Direct Domain Spoofing und E-Mail-Phishing-Angriffen zu minimieren.
Wenn Sie sich selbst, Ihr Unternehmen und Ihre Kunden vor Social-Engineering-Angriffen schützen möchten, melden Sie sich für unseren kostenlose DMARC-Testversion noch heute an!
- 5 Arten von Sozialversicherungs-E-Mail-Betrug und wie man sie verhindern kann - 3. Oktober 2024
- PowerDMARC erhält das 2024 G2 Fall Leader Badge für DMARC-Software - 27. September 2024
- 8 sichere E-Mail-Marketing-Tipps für Online-Unternehmen - 25. September 2024