+49 (0)421.2 38 04-60 datasec@merentis.com

Social Engineering

Angriffe auf Unternehmen sind keine Seltenheit und deshalb fahren immer mehr Unternehmen große Geschütze auf, um ihre IT-Bereiche besonders zu schützen. Daher mussten sich Angreifer neue Methoden ausdenken, um Unternehmen schaden zu können. Anstelle die IT-Bereiche direkt anzugreifen, wird nun der Weg über die Mitarbeiter persönlich gewählt. Angreifer nutzen menschliche Charakterzüge wie Neugier, Angst, Druck, aber auch Hilfsbereitschaft aus, um an Daten zu kommen. Hierbei hilft das sogenannte Social Engineering. Doch was ist das überhaupt?

Datengewinnung

Angreifer sammeln Daten aus sozialen Netzwerken, um so möglichst spezifisch anzugreifen. Zunächst wird beispielsweise über LinkedIn oder XING herausgefunden, welcher Mitarbeiter bei welchem Arbeitgeber angestellt ist. Teilweise wird auch noch die Position im jeweiligen Unternehmen mit veröffentlicht. Ein Mitarbeiter aus dem IT-Bereich stellt sich dabei als besonders „nützlich“ heraus. Durch spezifische Angaben insbesondere von IT-Mitarbeitern zu Erfahrungen und Qualifikationen lässt sich erkennen, welche Software im Unternehmen eingesetzt wird.

Aus der Webseite des Arbeitgebers lassen sich dann leicht Informationen darüber entziehen, wer der Geschäftsführer ist und wie E-Mail-Adressen aufgebaut sind. In Kombination mit Vorname und Nachnamen aus dem Social Media-Profil kann so die E-Mail-Adressen des spezifischen Mitarbeiters erkannt werden. Häufig wird für das Social Engineering ein Bot verwendet, der automatisch all diese Informationen zusammenstellen kann.

Der Angriff als solcher

Liegen alle Informationen vor, wird der Angriff auf das Unternehmen gestartet. Der betreffende Mitarbeiter als Nutzer von Informationssystemen wird durch psychologische Tricks manipuliert, um Daten herauszugeben. Hat der Angreifer erstmal einen betreffenden Mitarbeiter inklusive persönlicher Daten wie Interessen und E-Mail-Adresse gefunden, sind die Möglichkeiten zur weiteren Informationsgewinnung durch Manipulation schier unendlich:

  • Pretexting: Geschicktes Vortäuschen falscher Tatsachen, z.B. Eingabe der Bankdaten zur Identitätsbestätigung
  • Baiting: Der physische Köder, z.B USB-Stick in der Tiefgarage
  • Tailgating: Angreifer erschleicht sich physischen Zugang, gibt beispielsweise vor die Zugangskarte verloren zu haben
  • „Quid pro quo“-Angriff: Das Locken mit einer Gegenleistung, z.B. Gewinnspiele
  • Watering-Hole-Attacke: Auf eine präparierte Webseite locken, z.B. unsichtbaren Rahmen über einem Eingabefeld
  • Phishing,B. E-Mail mit Spendenaufruf
  • Spear Phishing: Gezieltes Ausspähen und Angreifen eines Opfers, durch gute recherchierte und glaubwürdige personalisierte Attacke

Wie kann man sich als Einzelner vor Social Engineering schützen?

Zunächst sollten die offensichtlichen Anhaltspunkte geprüft werden: Gibt es Auffälligkeiten im Erscheinungsbild, der Rechtschreibung oder passt der Kontext nicht? Auch der Absender sollte genau betrachtet werden, teilweise kommt es zu leichten Abweichungen von der originalen E-Mail-Adresse durch Zusatz einer Zahl o.Ä.. Wenn etwas auffällig erscheint, sollte der Absender auf einem anderen Wege kontaktiert werden, um sich abzusichern. Zur Gefahrenabwehr sollte die IT-Abteilung ebenfalls informiert werden. Außerdem sollten auch weder Links noch ausführbare Anhänge oder Dateien, die Makros enthalten könnten, geöffnet werden.

Allgemein gilt, dass Nutzer mit persönlichen Daten in den sozialen Medien vorsichtig umgehen und nicht zu viel preisgeben sollten. Das schützt einerseits vor Angriffen im unternehmerischen Umfeld, aber auch im Privaten. Die Angreifer können auf die gleiche Art und Weise auch persönliche Daten erlangen und Betrugsversuche beginnen.