Beiträge

Cyber-Angreifer verwenden Social-Engineering-Angriffe, eine Art von Angriffen, die auf das menschliche Element und nicht auf das Computersystem und seine Software abzielen. Der Angreifer versucht, eine Person durch einen Trick dazu zu bringen, eine Aktion auszuführen, die es ihm ermöglicht, Zugang zum Computer des Opfers zu erhalten.

Eine der häufigsten Arten dieser Art von Angriffen ist der Man-in-the-Middle-Angriff. Bei einem Man-in-the-Middle-Angriff gibt sich ein Angreifer als eine andere Person aus, um den Opfern vorzugaukeln, dass sie über Normalisierungsprotokolle wie Interactive Voice Response, E-Mail, Instant Messaging und Webkonferenzen direkt miteinander sprechen.

Hackerangriffe durch menschliche Manipulation sind leichter auszuführen als Hackerangriffe direkt von einer externen Quelle. In diesem Artikel wird erörtert, warum SE-Angriffe auf dem Vormarsch sind und warum Cyber-Angreifer diese Taktik häufig anwenden.

Warum nutzen Cyber-Angreifer Social-Engineering-Angriffe: Wahrscheinliche Ursachen und Gründe

Social-Engineering-Angriffe sind eine der beliebtesten und effektivsten Methoden, die von Hackern heutzutage eingesetzt werden. Bei diesen Angriffen werden häufig zwischenmenschliche Beziehungen ausgenutzt, z. B. das Vertrauen und die Vertrautheit von Mitarbeitern oder die räumliche Nähe zwischen Mitarbeitern und Kunden.

a. Das menschliche Element ist das schwächste Glied in der traditionellen Sicherheit

Angriffe sind in der Regel effektiver, wenn sie auf menschlicher Interaktion beruhen, was bedeutet, dass es für die Technologie keine Möglichkeit gibt, uns vor ihnen zu schützen.

Alles, was ein Angreifer braucht, sind ein paar Informationen über die Gewohnheiten oder Vorlieben seiner Zielperson und etwas Kreativität bei der Art und Weise, wie er sich dem Opfer präsentiert.

Dies führt dazu, dass die Angreifer das bekommen, was sie wollen, ohne auf kompliziertere Techniken zurückgreifen zu müssen, wie z. B. das Hacken des Netzwerks einer Organisation oder das Eindringen in die Systeme eines Unternehmens.

b. Es besteht keine Notwendigkeit für fortgeschrittene Hacking-Techniken

Social-Engineering-Angriffe nutzen das Vertrauen von Menschen aus, um sich Zugang zu einem System oder Netzwerk zu verschaffen. Diese Angriffe sind effektiv, weil es für einen Angreifer einfach ist, sich Zugang zu verschaffen, anstatt sich mit fortgeschrittenen Hacking-Techniken mit roher Gewalt einen Weg in ein Netzwerk zu bahnen.

Wenn ein Angreifer dies tut, verwendet er in der Regel psychologisch manipulative Techniken wie Phishing, Spear Phishing und Pretexting.

Phishing bedeutet, dass ein Angreifer E-Mails verschickt, die legitim erscheinen, aber darauf abzielen, die Benutzer zur Preisgabe ihrer persönlichen Daten wie Passwörter oder Kreditkarteninformationen zu verleiten.

Spear-Phishing bedeutet, dass ein Angreifer die gleichen Methoden wie beim Phishing anwendet, aber mit fortgeschritteneren Techniken, z. B. indem er sich als eine andere Person ausgibt, um Sie dazu zu bringen, Ihre Daten preiszugeben.

Beim Pretexting versucht ein Angreifer, das Vertrauen seiner Opfer zu gewinnen, bevor er versucht, sie zu bestehlen.

Sobald sich Angreifer Zugang zu Ihrem System oder Netzwerk verschafft haben, können sie darin alles tun, was sie wollen, einschließlich der Installation von Programmen, der Änderung von Dateien oder sogar deren Löschung, ohne von einem Sicherheitssystem oder einem Administrator erwischt zu werden, der sie daran hindern könnte, wenn er wüsste, was in seinem Netzwerk vor sich geht!

c. Dumpster Diving ist einfacher als Brute Forcing in ein Netzwerk

Beim Dumpster Diving werden Informationen aus weggeworfenen Materialien entnommen, um Social Engineering-Angriffe durchzuführen. Bei dieser Technik wird der Müll nach Schätzen wie Zugangscodes oder Passwörtern durchsucht, die auf Klebezetteln notiert sind. Mit Dumpster Diving lassen sich solche Aktivitäten leicht durchführen, da der Hacker sich so Zugang zum Netzwerk verschaffen kann, ohne tatsächlich einbrechen zu müssen.

Die Informationen, die Dumpster-Diver ausgraben, können von banalen Daten wie einer Telefonliste oder einem Kalender bis hin zu scheinbar harmloseren Daten wie einem Organigramm reichen. Doch diese scheinbar harmlosen Informationen können einem Angreifer dabei helfen, sich mit Social-Engineering-Techniken Zugang zum Netzwerk zu verschaffen.

Auch wenn ein Computer entsorgt wurde, könnte er eine Fundgrube für Cyberangreifer sein. Es ist möglich, Informationen von Speichermedien wiederherzustellen, auch von Laufwerken, die gelöscht oder unsachgemäß formatiert wurden. Gespeicherte Passwörter und vertrauenswürdige Zertifikate werden oft auf dem Computer gespeichert und sind anfällig für Angriffe.

Die ausrangierten Geräte können sensible Daten auf dem Trusted Platform Module (TPM) enthalten. Diese Daten sind für ein Unternehmen wichtig, da sie die sichere Speicherung sensibler Informationen, wie z. B. kryptografischer Schlüssel, ermöglichen. Ein Social Engineer könnte die Hardware-IDs, denen ein Unternehmen vertraut, ausnutzen, um potenzielle Angriffe auf die Benutzer durchzuführen.

d. Nutzt die Furcht, die Gier und das Gefühl der Dringlichkeit der Menschen

Social-Engineering-Angriffe sind leicht durchzuführen, da sie sich auf das menschliche Element stützen. Der Cyber-Angreifer kann Charme, Überredung oder Einschüchterung einsetzen, um die Wahrnehmung der Person zu manipulieren oder die Emotionen der Person auszunutzen, um wichtige Details über ihr Unternehmen zu erfahren.

So könnte ein Cyber-Angreifer beispielsweise mit einem verärgerten Mitarbeiter eines Unternehmens sprechen, um an versteckte Informationen zu gelangen, die dann zum Einbruch in das Netzwerk genutzt werden können.

Der verärgerte Mitarbeiter kann einem Angreifer Informationen über das Unternehmen geben, wenn er sich von seinem derzeitigen Arbeitgeber ungerecht behandelt oder schlecht behandelt fühlt. Der verärgerte Mitarbeiter kann auch Informationen über das Unternehmen weitergeben, wenn er/sie keinen anderen Job hat und bald arbeitslos sein wird.

Bei den fortgeschritteneren Hacking-Methoden wird mit fortgeschrittenen Techniken wie Malware, Keyloggern und Trojanern in ein Netzwerk eingebrochen. Diese fortgeschrittenen Techniken erfordern viel mehr Zeit und Mühe als das Gespräch mit einem verärgerten Mitarbeiter, um an versteckte Informationen zu gelangen, die für den Einbruch in ein Netzwerk verwendet werden können.

Die sechs wichtigsten Prinzipien der Beeinflussung

Social-Engineering-Betrügereien nutzen sechs spezifische Schwachstellen in der menschlichen Psyche aus. Diese Schwachstellen wurden von dem Psychologen Robert Cialdini in seinem Buch "Influence: The Psychology of Persuasion" beschrieben:

Reziprozität - Reziprozität ist der Wunsch, Gefallen in Form von Gegenleistungen zu erwidern. Wir neigen dazu, Menschen, die uns geholfen haben, etwas zu schulden; wir haben das Gefühl, dass es unsere Pflicht ist, ihnen zu helfen. Wenn uns also jemand um etwas bittet - ein Passwort, Zugang zu Finanzdaten oder irgendetwas anderes - sind wir eher bereit, ihm zu helfen, wenn er uns schon einmal geholfen hat.

Verbindlichkeit und Beständigkeit - Wir neigen dazu, Dinge im Laufe der Zeit zu tun und nicht nur einmal. Wir sind eher bereit, einer Anfrage zuzustimmen, wenn wir bereits einem Teil davon zugestimmt haben - oder sogar mehreren. Wenn jemand schon einmal um Einsicht in Ihre Finanzunterlagen gebeten hat, ist eine erneute Anfrage vielleicht gar nicht so schlimm!

Soziale Beweise - Hierbei handelt es sich um eine Täuschungstechnik, die sich auf die Tatsache stützt, dass wir dazu neigen, dem Beispiel der Menschen in unserer Umgebung zu folgen (auch bekannt als "Mitläufereffekt"). So könnten Mitarbeiter beispielsweise von einem Bedrohungsakteur beeinflusst werden, der falsche Beweise dafür vorlegt, dass ein anderer Mitarbeiter einer Aufforderung nachgekommen ist.

Gefallen an - Wir mögen Menschen, die den Anschein erwecken, als hätten sie das Sagen. Ein Hacker könnte also eine Nachricht an Ihre E-Mail-Adresse senden, die so aussieht, als käme sie von Ihrem Chef oder einem Freund von Ihnen oder sogar von einem Experten auf einem Gebiet, das Sie interessiert. Die Nachricht könnte etwa so lauten: "Hey! Ich weiß, dass du an diesem Projekt arbeitest und wir brauchen etwas Hilfe. Können wir uns bald mal treffen?" In der Regel wird um Ihre Hilfe gebeten - und wenn Sie zustimmen, geben Sie sensible Informationen preis.

Autorität - Menschen unterwerfen sich im Allgemeinen Autoritätspersonen, weil wir sie als die "Richtigen" ansehen, denen wir folgen und gehorchen müssen. Auf diese Weise können Social-Engineering-Taktiken unsere Tendenz ausnutzen, denjenigen zu vertrauen, die autoritär erscheinen, um das zu bekommen, was sie von uns wollen.

Knappheit - Knappheit ist ein menschlicher Instinkt, der in unseren Gehirnen fest verankert ist. Es ist das Gefühl von "Ich brauche das jetzt" oder "Ich sollte das haben". Wenn Menschen also von Social Engineers betrogen werden, verspüren sie ein Gefühl der Dringlichkeit, ihr Geld oder ihre Informationen so schnell wie möglich herauszugeben.

Persönlichkeiten, die anfällig für Social Engineering sind und warum?

Laut Dr. Margaret Cunningham, der leitenden Wissenschaftlerin für menschliches Verhalten bei Forcepoint X-Lab - einem Cybersicherheitsunternehmen - sind Einigkeit und Extravertiertheit die Persönlichkeitsmerkmale, die am anfälligsten für Social-Engineering-Angriffe sind.

Sympathische Menschen sind in der Regel vertrauensvoll, freundlich und bereit, Anweisungen ohne Fragen zu befolgen. Sie sind gute Kandidaten für Phishing-Angriffe, da sie eher bereit sind, auf Links zu klicken oder Anhänge von E-Mails zu öffnen, die echt erscheinen.

Extrovertierte Menschen sind auch deshalb anfälliger für Social-Engineering-Angriffe, weil sie oft lieber mit anderen zusammen sind und anderen eher vertrauen. Sie neigen eher dazu, den Motiven anderer zu misstrauen als introvertierte Menschen, was dazu führen kann, dass sie von einem Social Engineer getäuscht oder manipuliert werden.

Persönlichkeiten, die gegenüber Social Engineering resistent sind und warum?

Menschen, die sich gegen Social-Engineering-Angriffe wehren können, sind in der Regel gewissenhaft, introvertiert und haben eine hohe Selbstwirksamkeit.

Gewissenhafte Menschen sind am ehesten in der Lage, Social-Engineering-Betrug zu widerstehen, indem sie sich auf ihre eigenen Bedürfnisse und Wünsche konzentrieren. Sie sind auch weniger geneigt, sich den Forderungen anderer anzupassen.

Introvertierte Menschen sind in der Regel weniger anfällig für Manipulationen von außen, weil sie sich Zeit für sich selbst nehmen und die Einsamkeit genießen, was bedeutet, dass sie sich weniger leicht von sozialen Signalen oder aufdringlichen Menschen beeinflussen lassen, die versuchen, sie zu beeinflussen.

Selbstwirksamkeit ist wichtig, weil sie uns hilft, an uns selbst zu glauben, so dass wir mehr Vertrauen haben, dass wir dem Druck von anderen oder äußeren Einflüssen widerstehen können.

Schützen Sie Ihr Unternehmen mit PowerDMARC vor Social Engineering-Betrug

Unter Social Engineering versteht man die Manipulation von Mitarbeitern und Kunden, damit diese sensible Informationen preisgeben, die zum Diebstahl oder zur Zerstörung von Daten verwendet werden können. In der Vergangenheit wurden diese Informationen durch das Versenden von E-Mails erlangt, die so aussahen, als kämen sie von legitimen Quellen wie Ihrer Bank oder Ihrem Arbeitgeber. Heute ist es viel einfacher, E-Mail-Adressen zu fälschen.

PowerDMARC schützt vor dieser Art von Angriffen durch den Einsatz von E-Mail-Authentifizierungsprotokollen wie SPF, DKIM und DMARC p=reject-Richtlinie in Ihrer Umgebung, um das Risiko von Direct Domain Spoofing und E-Mail-Phishing-Angriffen zu minimieren.

Wenn Sie sich selbst, Ihr Unternehmen und Ihre Kunden vor Social-Engineering-Angriffen schützen möchten, melden Sie sich für unseren kostenlose DMARC-Testversion noch heute an!

Bevor wir uns mit den Arten von Social-Engineering-Angriffen befassen, denen die Opfer täglich zum Opfer fallen, sowie mit neuen Angriffen, die das Internet im Sturm erobern, sollten wir zunächst kurz erklären, worum es bei Social Engineering überhaupt geht. 

Für den Laien ist Social Engineering eine Taktik zur Durchführung von Cyberangriffen, bei der Bedrohungsakteure psychologische Manipulationen einsetzen, um ihre Opfer auszunutzen und sie zu betrügen.

Social Engineering: Definition und Beispiele

Was ist ein Social-Engineering-Angriff?

Im Gegensatz zu Cyberkriminellen, die sich in Ihren Computer oder Ihr E-Mail-System einhacken, werden Social-Engineering-Angriffe inszeniert, indem versucht wird, die Meinung eines Opfers so zu beeinflussen, dass es sensible Informationen preisgibt. Sicherheitsanalysten haben bestätigt, dass mehr als 70 % der Cyberangriffe, die jährlich im Internet stattfinden, Social-Engineering-Angriffe sind.

Beispiele für Social Engineering

Schauen Sie sich das unten stehende Beispiel an:

 

Hier können wir eine Online-Werbung beobachten, die das Opfer mit dem Versprechen lockt, 1000 Dollar pro Stunde zu verdienen. Diese Anzeige enthält einen bösartigen Link, der eine Malware-Installation auf dem System des Opfers auslösen kann. 

Diese Art von Angriff ist allgemein als Online Baiting oder einfach als Baiting bekannt und ist eine Form des Social Engineering Angriffs. 

Nachstehend ein weiteres Beispiel:

Wie oben gezeigt, können Social-Engineering-Angriffe auch über das Medium E-Mail verübt werden. Ein gängiges Beispiel hierfür ist ein Phishing-Angriff. Auf diese Angriffe werden wir im nächsten Abschnitt näher eingehen.

Arten von Social Engineering-Angriffen

1. Vishing und Smishing

Angenommen, Sie erhalten heute eine SMS von Ihrer Bank, in der Sie (angeblich) aufgefordert werden, Ihre Identität zu überprüfen, indem Sie auf einen Link klicken, andernfalls wird Ihr Konto deaktiviert. Dies ist eine sehr verbreitete Nachricht, die oft von Cyberkriminellen verbreitet wird, um ahnungslose Menschen zu täuschen. Sobald Sie auf den Link klicken, werden Sie auf eine gefälschte Seite weitergeleitet, die Ihre Bankdaten abfragt. Sie können sicher sein, dass die Angreifer Ihr Konto plündern werden, wenn Sie Ihre Bankdaten preisgeben. 

Ähnlich verhält es sich beim Vishing oder Voice-Phishing, das nicht per SMS, sondern per Telefonanruf eingeleitet wird.

2. Online-Köderung / Köderung 

Jeden Tag stoßen wir beim Durchsuchen von Websites auf eine Reihe von Online-Werbungen. Die meisten von ihnen sind zwar harmlos und authentisch, aber es gibt auch ein paar faule Äpfel, die sich in der Menge verstecken. Dies lässt sich leicht erkennen, wenn man Anzeigen entdeckt, die zu gut erscheinen, um wahr zu sein. Sie enthalten in der Regel lächerliche Behauptungen und Verlockungen, wie z. B. den Jackpot zu knacken oder einen großen Rabatt anzubieten.

Denken Sie daran, dass dies eine Falle sein kann (aka a Köder). Wenn etwas zu schön erscheint, um wahr zu sein, ist es das wahrscheinlich auch. Daher ist es besser, sich von verdächtigen Anzeigen im Internet fernzuhalten und nicht auf sie zu klicken.

3. Phishing

Social-Engineering-Angriffe werden in den meisten Fällen über E-Mails durchgeführt und als Phishing bezeichnet. Phishing-Angriffe richten auf globaler Ebene schon fast so lange Schaden an, wie es E-Mails gibt. Seit dem Jahr 2020 ist die Zahl der Phishing-Angriffe aufgrund der zunehmenden E-Mail-Kommunikation sprunghaft angestiegen, so dass große und kleine Unternehmen täglich in die Schlagzeilen geraten. 

Phishing-Angriffe lassen sich in Spear-Phishing, Whaling und CEO-Fraud unterteilen, wobei sich die Angreifer als bestimmte Mitarbeiter eines Unternehmens, als Entscheidungsträger des Unternehmens bzw. als CEO ausgeben.

4. Romantik-Betrug

Das Federal Bureau of Investigation (FBI) definiert Internet-Romantikbetrug als "Betrug, bei dem ein Krimineller eine falsche Online-Identität annimmt, um die Zuneigung und das Vertrauen des Opfers zu gewinnen. Der Betrüger nutzt dann die Illusion einer romantischen oder engen Beziehung, um das Opfer zu manipulieren und/oder zu bestehlen." 

Romance Scams gehören zu den Social-Engineering-Angriffen, da die Angreifer manipulative Taktiken anwenden, um eine enge romantische Beziehung zu ihren Opfern aufzubauen, bevor sie ihr eigentliches Ziel verfolgen, nämlich sie zu betrügen. Im Jahr 2021 belegten Romance Scams den ersten Platz der finanziell schädlichsten Cyberangriffe des Jahres, dicht gefolgt von Ransomware.

5. Spoofing

Domain-Spoofing ist eine hochentwickelte Form des Social-Engineering-Angriffs. Dabei fälscht ein Angreifer eine legitime Unternehmensdomäne, um im Namen der versendenden Organisation E-Mails an Kunden zu senden. Der Angreifer gaukelt den Opfern vor, dass die besagte E-Mail von einer authentischen Quelle stammt, d. h. von einem Unternehmen, auf dessen Dienste sie sich verlassen. 

Spoofing-Angriffe sind schwer nachzuverfolgen, da E-Mails von der eigenen Domäne eines Unternehmens aus gesendet werden. Es gibt jedoch Möglichkeiten, dieses Problem zu beheben. Eine der beliebtesten und von Branchenexperten empfohlenen Methoden ist die Minimierung von Spoofing mit Hilfe eines DMARC Einrichtung.

6. Vorwände

Pretexting kann als Vorläufer eines Social Engineering-Angriffs bezeichnet werden. Dabei spinnt ein Angreifer eine hypothetische Geschichte, um seinen Anspruch auf sensible Unternehmensinformationen zu untermauern. In den meisten Fällen erfolgt das Pretexting über Telefonanrufe, bei denen sich ein Angreifer als Kunde oder Mitarbeiter ausgibt und sensible Informationen von dem Unternehmen verlangt.

Was ist eine gängige Methode des Social Engineering?

Die häufigste Methode des Social Engineering ist das Phishing. Werfen wir einen Blick auf einige Statistiken, um besser zu verstehen, dass Phishing eine zunehmende globale Bedrohung darstellt:

  • Der Bericht "Cybersecurity Threat Trends 2021" von CISCO zeigt, dass satte 90 % der Datenschutzverletzungen auf Phishing zurückzuführen sind.
  • IBM hat in seinem Cost of a Data Breach Report von 2021 Phishing den Titel des finanziell teuersten Angriffsvektors verliehen
  • Nach Angaben des FBI steigt die Zahl der Phishing-Angriffe jedes Jahr um 400 %.

Wie kann man sich vor Social Engineering-Angriffen schützen?

Protokolle und Tools, die Sie konfigurieren können: 

  • Setzen Sie in Ihrem Unternehmen E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC ein. Beginnen Sie noch heute mit der Erstellung eines kostenlosen DMARC-Datensatzes mit unserem DMARC-Datensatz-Generator.
  • Durchsetzung Ihrer DMARC-Richtlinie auf p=reject, um Direct Domain Spoofing und E-Mail-Phishing-Angriffe zu minimieren
  • Stellen Sie sicher, dass Ihr Computersystem mit Hilfe einer Antiviren-Software geschützt ist

Persönliche Maßnahmen, die Sie ergreifen können:

  • Sensibilisierung Ihrer Organisation für gängige Arten von Social Engineering-Angriffen, Angriffsvektoren und Warnzeichen
  • Informieren Sie sich über Angriffsvektoren und -arten. Besuchen Sie unsere Wissensdatenbank, geben Sie "Phishing" in die Suchleiste ein, drücken Sie die Eingabetaste und beginnen Sie noch heute zu lernen!  
  • Übermitteln Sie niemals vertrauliche Informationen auf externen Websites
  • Aktivieren Sie Anwendungen zur Identifizierung von Anrufern auf Ihrem mobilen Gerät
  • Denken Sie immer daran, dass Ihre Bank Sie niemals auffordern wird, Ihre Kontodaten und Ihr Passwort per E-Mail, SMS oder Anruf zu übermitteln.
  • Überprüfen Sie immer wieder die Absenderadresse und den Absenderpfad Ihrer E-Mails, um sicherzustellen, dass sie übereinstimmen. 
  • Klicken Sie niemals auf verdächtige E-Mail-Anhänge oder Links, bevor Sie sich nicht zu 100 % von der Echtheit der Quelle überzeugt haben.
  • Denken Sie zweimal nach, bevor Sie Menschen vertrauen, mit denen Sie online interagieren und die Sie im wirklichen Leben nicht kennen
  • Surfen Sie nicht auf Websites, die nicht über eine HTTPS-Verbindung gesichert sind (z. B. http://domain.com)