Zunehmende Bedrohung durch Social Engineering – gängige Tricks und Gegenmaßnahmen

Angreifer, die es auf Unternehmensdaten abgesehen haben, verwenden immer öfter Social Engineering, für ihre Ziele. Dieser Begriff umreißt die verschiedenste Tricks, mit denen versucht wird, die Nutzer der anvisierten IT-Systeme so zu manipulieren, dass sie entweder sensible Informationen, wie etwa Zugangsdaten, preisgeben oder ungewollt Schadsoftware installieren, mit denen Daten ausspioniert oder IT-Systeme lahmgelegt werden können.

Social Engineering wird bei Angriffen auf IT-Systeme weltweit immer häufiger verwendet, wie etwa eine aktuelle, internationale Studie des Sicherheitsunternehmens Proofpoint zeigt.

Zum Social Engineering werden eine Reihe von Angriffstechniken gezählt, die sich dadurch auszeichnen, dass sie auf Menschen bzw. Nutzer der anvisierten IT-Systeme zielen und mit denen versucht wird, diese Personen durch psychologische Tricks dazu zu bringen, bestimmte Aktionen durchzuführen.

Social Engineering durch Phishing und Ähnliches 

• Ein großer Teil des Social Engineerings zielt dabei darauf ab, die Zielpersonen dazu zu verleiten, direkt bestimmte sensible Informationen preiszugeben. Besonders im Fokus stehen dabei geheime Zugangsdaten wie Passwörter, durch die die Angreifer in die Lage versetzt werden, einen Identitätsdiebstahl zu begehen und somit auf Daten zugreifen zu können oder weitere Aktivitäten unter der gestohlenen Identität durchzuführen.
• Die zweite Variante besteht darin, die Zielpersonen zu anderen Aktionen zu bewegen, durch die dann üblicherweise eine Schadsoftware auf die genutzten Rechner übertragen wird. Dies ist etwa bei den verschiedenen Phishing-Varianten der Fall, bei denen die Empfänger von E-Mails dazu gebracht werden, Links auf Viren verteilende Webseiten anzuklicken oder verseuchte Dateianhänge zu öffnen.

Unterschiedliche Herangehensweisen beim Manipulieren durch Social Engineering

Beim Social Engineering sind unterschiedliche Vorgehensweisen möglich, die über verschiedene Kommunikationswege und –formen durchgeführt werden können. So gibt es durchaus die Möglichkeit, einen direkten persönlichen Kontakt zum potenziellen Opfer herzustellen, weit häufiger ist allerdings die Kontaktaufnahme auf elektronischem Wege, insbesondere per E-Mail oder auch über Chats bzw. Messenger-Mitteilungen in sozialen Netzen etc. Weitere Methoden sind etwa Telefonanrufe oder auch das Auslegen von manipulierten Datenträgern wie USB-Sticks.

Social Engineering setzt auf das Ausnutzen menschlicher Verhaltensweisen

Ein gemeinsames Merkmal der Social-Engineering-Angriffe ist das Ausnutzen bestimmter menschlicher Verhaltensweisen oder auch Schwächen. Die Angreifer versuchen dabei, meist unter falschen Identitäten, bestimmte Eigenschaften wie Hilfsbereitschaft oder Neugier auszunutzen, versprechen Belohnungen für bestimmte Aktionen oder setzen etwa beim Phishing die Adressaten unter massiven psychologischen Druck, um an ihr Ziel zu kommen. Populäre Tricks sind etwa:

• Baiting: Hier werden die Opfer mit vermeintlichen Belohnungen dazu verführt, bestimmte Aktionen durchzuführen. Links zu angeblich interessanten Websites oder auf Downloadmöglichkeiten mit attraktiver Gratis-Software sind eine dieser Methoden. Mitunter werden auch Dateianhänge mit angeblichen Gutschriften, Gutscheinen oder ähnlichen finanziellen Belohnungen versprochen, die dazu dann natürlich geöffnet werden müssen. Auf die Neugier zielen etwa auch USB-Sticks, die von Angreifern beispielsweise im Umfeld der ins Visier geratenen Unternehmen platziert werden und die mit entsprechenden Beschriftungen dazu verführen sollen, sie z.B. am Arbeitsplatz einzustecken und sich die Dateien anzeigen zu lassen.
• Spear-Phishing: Durch vorhergehende Informationsgewinnung werden hier ganz gezielt Phishing-Mails an ganz bestimmte Adressaten verschickt. Die E-Mails sind weitestgehend individualisiert und sind somit nicht so einfach als Standard-Phishing-Mail zu erkennen, häufig sind auch die Inhalte an die realen Situationen angepasst. Das Spear-Phishing erfordert einen recht großen Aufwand und kam daher bislang nur bei sehr zielgerichteten Attacken auf besonders lohnenswerte Ziele zum Einsatz.
• Dynamite-Phishing: Beim noch recht neuen sogenannten Dynamite-Phishing geraten nicht nur prominente oder große Unternehmen und Organisationen in das Visier der Angreifer, sondern diese Methoden werden automatisiert, indem etwa der E-Mail-Verkehr durch zuvor erfolgte Attacken mitgelesen wird und anschließend passende E-Mails (mit entsprechend gefälschten Absenderadressen und auch inhaltlich zur aktuellen Kommunikation passend) eingeschleust werden, die sich noch schlechter als Phishing-Mails identifizieren.
• Unter Druck setzen: Zunehmend werden die Empfänger von Phishing-Mails auch einem ganz massiven psychologischen Druck ausgesetzt, um sie zu den gewünschten Aktionen (meist das Öffnen des E-Mail-Anhangs) zu bewegen. Da wird in den E-Mails mit Abmahnungen, juristischen Maßnahmen wegen angeblicher Anzeigen oder Maßnahmen aufgrund ausstehender Zahlungen gedroht→ , wobei auf weitere Informationen im mitgeschickten Dateianhang verwiesen wird. Beim Öffnen der Dateien erfolgt dann die Infektion mit einer Schadsoftware.
• Vertrauen erschleichen: Unter falschen Identitäten geben sich die Angreifer beispielsweise als Mitarbeiter der IT-Abteilung oder eines großen Software-Konzerns aus und erfragen unter frei erfundenem Vorwand Zugangsdaten oder andere Informationen. Mitunter geben sich sie sich auch als Vorgesetzter aus und weisen die Mitarbeiter an, Informationen an Dritte zu versenden oder sogar Zahlungen zu tätigen. Besonders die als CEO-Betrug bekannte gewordenen Masche, bei der sich Angreifer als Unternehmenschef ausgaben, und Zahlungen in oftmals beträchtlicher Höhe veranlassten, verursachte in den letzten Jahren erhebliche Schäden.

Vorsichtsmaßnahmen gegen Social Engineering

Einen hundertprozentigen Schutz vor Social Engineering gibt es nicht und technische Sicherheitsmaßnahmen werden durch diese Angriffe ja eben umgangen, sodass sie auch nur bedingt wirken können. Mit einigen grundlegenden Verhaltensregeln lässt sich die Gefahr jedoch zumindest minieren. So sollten etwa folgende Vorgaben beachtet werden:

• Vorsicht bei E-Mail-Dateianhängen. Nicht nur bei E-Mails von unbekannten Absendern oder unverlangt zugesendeten Datei-Anhängen sollten Sie vorsichtig sein, selbst bei scheinbar bekannten Absenderadressen sollten Sie gegebenenfalls diese überprüfen und im Zweifel vor dem Öffnen noch einmal nachfragen. Bei Office-Dokumenten (Word, Excel, PowerPoint) sollten Sie keine Makros aktivieren, da derzeit viele mit Trojanern verseuchte Anhänge in diesen Formaten unterwegs sind.
• Lassen Sie sich nicht unter Druck setzen. Werden in E-Mails bedrohliche Szenarien geschildert, mit denen Sie letztlich motiviert werden sollen, mitgeschickte Dateianhänge zu öffnen oder Links anzuklicken, sollten Sie die Ruhe bewahren und erst einmal abwarten. Starten Sie eine Web-Recherche, etwa anhand des Absender und/oder des Betreffs und überprüfen Sie, ob diese oder ähnliche E-Mails bereits als betrügerische Nachrichten bekannt geworden sind.
• Datenträger wie USB-Sticks, die Sie gefunden haben, oder die Ihnen auf anderem Wege zugespielt wurden, sollten Sie keinesfalls einfach in den Rechner einstecken.

Womit die Gefahr weiter vermindert werden kann

Auch grundsätzliche Verhaltensänderungen erschweren es den Angreifern, an Daten zu kommen.

• Schränken Sie in sozialen Netzwerken die Weitergabe von solchen Informationen ein, die für Angriffe missbraucht werden könnten. Gerade diese Informationsquellen werden von Angreifern bei der Vorbereitung von gezielten Phishing-Attacken immer wieder benutzt.
• Bleiben Sie bei Kontaktaufnahmen von Unbekannten skeptisch und geben Sie hier keine Informationen preis, solange die Identität des Fremden nicht eindeutig geklärt ist.
• Vertrauliche Handy-Gespräche mit sensiblen Informationen sollten Sie nicht an öffentlichen Orten führen, wo diese von anderen Personen mitgehört werden können.
• Bei der Nutzung von Rechnern an öffentlichen Orten sollten Sie möglichst sicher sein, dass keine Dritten die Eingabe von geheimen Daten (z.B. Passwörter) beobachten können. Auch sollten Dritte keine Bildschirminhalte einsehen können, was etwa durch spezielle Displays mit eingeschränktem Blickwinkel möglich wird. Auf besonders sensible Daten sollten unterwegs in keinem Fall zugegriffen werden.

Sensibilisierung und Schulung von Mitarbeiter 

Die Zahl der Hackerangriffe steigt kontinuierlich. Sie richten sich immer öfter direkt gegen die Unternehmen, um sensibles Know-how zu stehlen oder Schaden anzurichten. Das Risiko steigt nicht nur durch neue, ausgefeilte Spionagetechniken, sondern vor allem durch einen nach wie vor oft sorglosen Umgang mit dem Thema IT-Sicherheit. Mitarbeiter sollten regelmäßig auf die Gefahren des Social Engineering aufmerksam gemacht werden und über aktuelle Bedrohungen informiert werden. Auch grundlegende Schulungen zu dem Thema sind sinnvoll. Je wachsamer man ist und je mehr der neuen und alten Tricks der Angreifer man kennt, desto geringer sind deren Erfolgsaussichten.

Strikte Organisation und Verantwortlichkeit

Gegenmittel sind nicht nur aktuelle Sicherungssysteme und Vorgaben, sondern wasserdichte und strenge organisatorischen Maßnahmen für ihre Einhaltung. Sie müssen ausnahmslos jeden im Unternehmen erfassen, vom Hausmeister über den Praktikant bis zum Geschäftsführer.

Flächendeckend Kommunikation und Einhaltung von Regeln und Maßnahmen sind genauso wichtig, wie der neueste Softwareschutz. Dieser läuft leer, wenn aus praktischen Gründen manuell deaktiviert wird oder ungeschützte mobiler Endgeräte bis in höchste Sicherheits- und Hierachieebenen vorkommen.

Sinnvollist ein zentraler Verantwortlicher für IT-Sicherheit, der seine Ziele gegenüber jedermann mit der gebotenen Ernsthaftigkeit umsetzen kann und nicht zurückgepfiffen wird, wenn er mit seinen Vorgaben lästig zu werden droht.

Quelle:

Haufe

Unser Tipp:

Vergleichen Sie hier direkt Ihre Cyberversicherung und verschaffen Sie sich so zusätzlichen Schutz mit der 3. Säule der IT-Sicherheit