Angreifer, die es auf Unternehmensdaten abgesehen haben, verwenden immer öfter Social Engineering, für ihre Ziele. Dieser Begriff umreißt die verschiedenste Tricks, mit denen versucht wird, die Nutzer der anvisierten IT-Systeme so zu manipulieren, dass sie entweder sensible Informationen, wie etwa Zugangsdaten, preisgeben oder ungewollt Schadsoftware installieren, mit denen Daten ausspioniert oder IT-Systeme lahmgelegt werden können.
Social Engineering wird bei Angriffen auf IT-Systeme weltweit immer häufiger verwendet, wie etwa eine aktuelle, internationale Studie des Sicherheitsunternehmens Proofpoint zeigt.
Zum Social Engineering werden eine Reihe von Angriffstechniken gezählt, die sich dadurch auszeichnen, dass sie auf Menschen bzw. Nutzer der anvisierten IT-Systeme zielen und mit denen versucht wird, diese Personen durch psychologische
Tricks dazu zu bringen, bestimmte Aktionen durchzuführen.
Social Engineering durch Phishing und Ähnliches
- Ein großer Teil des Social Engineerings zielt dabei darauf ab, die Zielpersonen dazu zu verleiten, direkt bestimmte sensible Informationen preiszugeben.
Besonders im Fokus stehen dabei geheime Zugangsdaten wie Passwörter,
durch die die Angreifer in die Lage versetzt werden, einen Identitätsdiebstahl zu begehen und somit auf Daten zugreifen zu können oder weitere Aktivitäten unter der gestohlenen Identität durchzuführen.
- Die zweite Variante besteht darin, die Zielpersonen zu anderen Aktionen zu bewegen, durch die dann üblicherweise eine Schadsoftware auf die genutzten Rechner übertragen wird.
Dies ist etwa bei den verschiedenen Phishing-Varianten der Fall, bei
denen die Empfänger von E-Mails dazu gebracht werden, Links auf Viren verteilende Webseiten anzuklicken oder verseuchte Dateianhänge zu öffnen.
Unterschiedliche Herangehensweisen beim Manipulieren durch Social Engineering
Beim Social Engineering sind unterschiedliche Vorgehensweisen möglich, die über verschiedene Kommunikationswege und –formen durchgeführt werden können. So gibt es durchaus die Möglichkeit, einen direkten persönlichen Kontakt zum potenziellen Opfer herzustellen, weit häufiger ist allerdings die Kontaktaufnahme auf elektronischem Wege, insbesondere per E-Mail oder auch über Chats bzw. Messenger-Mitteilungen in sozialen Netzen etc. Weitere Methoden sind etwa Telefonanrufe oder auch das Auslegen von manipulierten Datenträgern wie USB-Sticks.
Social Engineering setzt auf das Ausnutzen menschlicher Verhaltensweisen
Ein gemeinsames Merkmal der
Social-Engineering-Angriffe ist das Ausnutzen bestimmter menschlicher
Verhaltensweisen oder auch Schwächen. Die Angreifer versuchen dabei,
meist unter falschen Identitäten, bestimmte Eigenschaften wie Hilfsbereitschaft oder Neugier auszunutzen, versprechen Belohnungen für bestimmte Aktionen oder setzen etwa beim Phishing die Adressaten unter massiven psychologischen Druck, um an ihr Ziel zu kommen. Populäre Tricks sind etwa:
- Baiting: Hier werden die Opfer mit vermeintlichen Belohnungen dazu verführt,
bestimmte Aktionen durchzuführen. Links zu angeblich interessanten
Websites oder auf Downloadmöglichkeiten mit attraktiver Gratis-Software sind eine dieser Methoden. Mitunter werden auch Dateianhänge mit angeblichen Gutschriften, Gutscheinen oder ähnlichen finanziellen Belohnungen versprochen, die dazu dann natürlich geöffnet werden müssen. Auf die Neugier zielen etwa auch USB-Sticks, die von Angreifern beispielsweise im Umfeld der ins Visier geratenen Unternehmen platziert werden und die mit entsprechenden Beschriftungen dazu
verführen sollen, sie z.B. am Arbeitsplatz einzustecken und sich die
Dateien anzeigen zu lassen.
- Spear-Phishing:
Durch vorhergehende Informationsgewinnung werden hier ganz gezielt
Phishing-Mails an ganz bestimmte Adressaten verschickt. Die E-Mails sind
weitestgehend individualisiert und sind somit nicht so einfach als
Standard-Phishing-Mail zu erkennen, häufig sind auch die Inhalte an die
realen Situationen angepasst. Das Spear-Phishing erfordert einen recht
großen Aufwand und kam daher bislang nur bei sehr zielgerichteten Attacken auf besonders lohnenswerte Ziele zum Einsatz.
- Dynamite-Phishing: Beim noch recht neuen sogenannten Dynamite-Phishing geraten nicht nur
prominente oder große Unternehmen und Organisationen in das Visier der
Angreifer, sondern diese Methoden werden automatisiert, indem etwa der E-Mail-Verkehr durch zuvor erfolgte Attacken mitgelesen wird und anschließend passende E-Mails (mit entsprechend gefälschten
Absenderadressen und auch inhaltlich zur aktuellen Kommunikation
passend) eingeschleust werden, die sich noch schlechter als
Phishing-Mails identifizieren.
- Unter Druck setzen: Zunehmend
werden die Empfänger von Phishing-Mails auch einem ganz massiven
psychologischen Druck ausgesetzt, um sie zu den gewünschten Aktionen
(meist das Öffnen des E-Mail-Anhangs) zu bewegen. Da wird in den E-Mails
mit Abmahnungen, juristischen Maßnahmen wegen
angeblicher Anzeigen oder Maßnahmen aufgrund ausstehender Zahlungen
gedroht→ , wobei auf weitere Informationen im mitgeschickten Dateianhang
verwiesen wird. Beim Öffnen der Dateien erfolgt dann die Infektion mit
einer Schadsoftware.
- Vertrauen erschleichen: Unter
falschen Identitäten geben sich die Angreifer beispielsweise als
Mitarbeiter der IT-Abteilung oder eines großen Software-Konzerns aus und
erfragen unter frei erfundenem Vorwand Zugangsdaten oder andere
Informationen. Mitunter geben sich sie sich auch als Vorgesetzter aus
und weisen die Mitarbeiter an, Informationen an Dritte zu versenden oder
sogar Zahlungen zu tätigen. Besonders die als CEO-Betrug bekannte gewordenen Masche,
bei der sich Angreifer als Unternehmenschef ausgaben, und Zahlungen in
oftmals beträchtlicher Höhe veranlassten, verursachte in den letzten
Jahren erhebliche Schäden.
Vorsichtsmaßnahmen gegen Social Engineering
Einen hundertprozentigen Schutz vor Social
Engineering gibt es nicht und technische Sicherheitsmaßnahmen werden
durch diese Angriffe ja eben umgangen, sodass sie auch nur bedingt
wirken können. Mit einigen grundlegenden Verhaltensregeln lässt sich die Gefahr jedoch zumindest minieren. So sollten etwa folgende Vorgaben beachtet werden:
- Vorsicht bei E-Mail-Dateianhängen. Nicht
nur bei E-Mails von unbekannten Absendern oder unverlangt zugesendeten
Datei-Anhängen sollten Sie vorsichtig sein, selbst bei scheinbar
bekannten Absenderadressen sollten Sie gegebenenfalls diese überprüfen
und im Zweifel vor dem Öffnen noch einmal nachfragen.
Bei Office-Dokumenten (Word, Excel, PowerPoint) sollten Sie keine Makros
aktivieren, da derzeit viele mit Trojanern verseuchte Anhänge in diesen
Formaten unterwegs sind.
- Lassen Sie sich nicht unter Druck setzen. Werden in E-Mails bedrohliche Szenarien geschildert, mit denen Sie
letztlich motiviert werden sollen, mitgeschickte Dateianhänge zu öffnen
oder Links anzuklicken, sollten Sie die Ruhe bewahren und erst einmal
abwarten. Starten Sie eine Web-Recherche, etwa anhand des Absender
und/oder des Betreffs und überprüfen Sie, ob diese oder ähnliche E-Mails
bereits als betrügerische Nachrichten bekannt geworden sind.
- Datenträger wie USB-Sticks, die Sie gefunden haben, oder die Ihnen auf anderem Wege zugespielt wurden, sollten Sie keinesfalls einfach in den Rechner einstecken.
Womit die Gefahr weiter vermindert werden kann
Auch grundsätzliche Verhaltensänderungen erschweren es den Angreifern, an Daten zu kommen.
- Schränken Sie in sozialen Netzwerken die Weitergabe von solchen Informationen ein, die für Angriffe
missbraucht werden könnten. Gerade diese Informationsquellen werden von
Angreifern bei der Vorbereitung von gezielten Phishing-Attacken immer
wieder benutzt.
- Bleiben Sie bei Kontaktaufnahmen von Unbekannten skeptisch und geben Sie hier keine Informationen preis, solange die Identität des Fremden nicht eindeutig geklärt ist.
- Vertrauliche Handy-Gespräche mit sensiblen Informationen sollten Sie nicht an öffentlichen Orten führen, wo diese von anderen Personen mitgehört werden können.
- Bei der Nutzung von Rechnern an öffentlichen Orten sollten Sie möglichst sicher sein, dass keine Dritten die Eingabe von
geheimen Daten (z.B. Passwörter) beobachten können. Auch sollten Dritte
keine Bildschirminhalte einsehen können, was etwa durch spezielle
Displays mit eingeschränktem Blickwinkel möglich wird. Auf besonders
sensible Daten sollten unterwegs in keinem Fall zugegriffen werden.
Sensibilisierung und Schulung von Mitarbeiter
Die Zahl der Hackerangriffe steigt kontinuierlich. Sie richten sich immer öfter direkt gegen die Unternehmen, um sensibles Know-how zu stehlen oder Schaden anzurichten. Das Risiko steigt nicht nur durch neue, ausgefeilte Spionagetechniken, sondern vor allem durch einen nach wie vor oft sorglosen Umgang mit dem Thema IT-Sicherheit. Mitarbeiter sollten regelmäßig auf die Gefahren des Social Engineering aufmerksam gemacht werden und über aktuelle Bedrohungen informiert werden. Auch grundlegende Schulungen zu dem Thema sind sinnvoll. Je wachsamer man ist und je mehr der neuen und alten Tricks der Angreifer man kennt, desto geringer sind deren Erfolgsaussichten.
Strikte Organisation und Verantwortlichkeit
Gegenmittel sind nicht nur aktuelle
Sicherungssysteme und Vorgaben, sondern wasserdichte und strenge
organisatorischen Maßnahmen für ihre Einhaltung. Sie müssen ausnahmslos
jeden im Unternehmen erfassen, vom Hausmeister über den Praktikant bis
zum Geschäftsführer.
Flächendeckend Kommunikation und Einhaltung von Regeln und Maßnahmen sind genauso wichtig, wie der neueste Softwareschutz.
Dieser läuft leer, wenn aus praktischen Gründen manuell deaktiviert
wird oder ungeschützte mobiler Endgeräte bis in höchste Sicherheits- und
Hierachieebenen vorkommen.
Sinnvollist ein zentraler Verantwortlicher für IT-Sicherheit, der seine Ziele gegenüber jedermann mit der gebotenen Ernsthaftigkeit umsetzen kann und nicht zurückgepfiffen wird, wenn er mit seinen Vorgaben lästig zu werden droht.
Quelle:
Haufe
Unser Tipp:
Vergleichen Sie hier direkt Ihre Cyberversicherung und verschaffen Sie sich so zusätzlichen Schutz mit der 3. Säule der IT-Sicherheit
Ähnliche Beiträge