Blog

Social Engineering ist die Kunst, Benutzer und Mitarbeitende emotional zu manipulieren, um Zugang zu Unternehmensnetzwerken und Cloud-Ressourcen zu erhalten. Cyberkriminelle nutzen dabei menschliche Eigenschaften wie Neugier, Hilfsbereitschaft, Gier, Höflichkeit, Respekt vor Autoritäten, usw. Oft wird Social Engineering auch als „psychologischer Hack“ bezeichnet. Cyberkriminelle nutzen dabei die menschliche Neigung, vertrauensvoll zu sein und sich von anderen leiten zu lassen, um ihre Opfer zu täuschen. Durch ihr Geschick und ihre Überzeugungskraft gelingt es ihnen häufig, an sensible Informationen oder Zugänge zu gelangen.

Social Engineering läuft in vier Phasen ab

In der Regel durchläuft ein Social Engineering Angriff vier Phasen: 

1. Vorbereitung
   Zu Beginn recherchiert der Angreifer nach möglichen Zielpersonen und versucht, mehr über sie herauszufinden. Als Nächstes erstellt er ein Profil der idealen Zielperson und beginnt mit dem Aufbau einer Beziehung zu ihm oder ihr.
2. Infiltrationsphase
   Wenn der Angreifer glaubt, genug Vertrauen aufgebaut zu haben, wird er versuchen, die Zielperson dazu zu bringen, ihm vertrauliche Informationen zu geben oder eine unerwünschte Aktion durchzuführen.
3. Ausbeutungsphase 
   In dieser Phase nutzt der Angreifer die vertraulichen Informationen oder die unerwünschten Aktionen der Zielperson für seine eigenen Zwecke.
4. Disengagement
   Nachdem der Angreifer alles bekommen hat, was er wollte, trennt er sich von der Zielperson und verschwindet wieder in den Schatten.

Häufig verwendete Social Engineering Techniken

Um einen wirksamen Schutz gegen die verschiedenen Arten von Social Engineering aufzubauen, ist es notwendig, diese zu kennen und zu wissen, wie sie funktionieren. Diese Techniken werden besonders häufig von Kriminellen genutzt:

1) Phishing

Phishing ist eine Form des Social Engineering, mit der Angreifer versuchen, sensible Daten wie Benutzernamen, Passwörter oder Kreditkartendaten zu stehlen. Dazu nutzen sie gefälschte Websites oder E-Mails, die so aussehen, als kämen sie von vertrauenswürdigen Quellen. Wenn Nutzer auf diese Links klicken oder die angehängten Dateien öffnen, installieren sie ungewollt Schadsoftware oder geben ihre Daten freiwillig an die Angreifer weiter.

• Eine häufig genutzte Methode ist das sogenannte „Clone Phishing“. Dabei wird eine bereits existierende E-Mail oder Website dupliziert und anschliessend mit gefälschten Inhalten versehen. Die Angreifer hoffen darauf, dass Nutzer die Fälschung nicht bemerken und auf den Link klicken oder die angehängte Datei öffnen.
• Eine weitere beliebte Phishing-Technik ist das „Typosquatting“. Dabei nutzen Phisher eine verbreitete Tippfehler-Domain, um Nutzer auf ihre gefälschte Website zu leiten. Oftmals handelt es sich hierbei um Domains, die nur ein oder zwei Buchstaben von der eigentlichen Domain abweichen. Beispielsweise könnte ein Phisher eine Website unter www.faceboook.com erstellen, in der Hoffnung, dass Nutzer den Tippfehler nicht bemerken und stattdessen auf die Website gehen.
• Ebenfalls beliebt ist das „Spear Phishing“ oder „Whaling“. Dabei richten sich Phisher gezielt an eine bestimmte Person oder Organisation und versuchen, an sensible Daten wie Benutzernamen und Passwörter zu gelangen. Spear Phishing-Angriffe sehen oft sehr professionell aus und können daher schwer zu erkennen sein.
• „Voice Phishing“, auch bekannt als Vishing, ist eine Social Engineering-Technik zur Kompromittierung von Benutzern durch gefälschte Telefonanrufe. Die Angreifer geben sich meistens als legitimer Mitarbeitender der IT-Abteilung oder eines anderen Unternehmens aus, um an wertvolle Informationen zu gelangen. Sie nutzen die Tatsache aus, dass die meisten Menschen am Telefon nicht misstrauisch sind und schnell bereit sind, Informationen weiterzugeben.
• SMS Phishing ist eine gefährliche Methode des Social Engineering. Dabei verschickt der Angreifer anhand einer gefälschten Identität SMS-Nachrichten, in denen er um sensible Informationen bittet. Die Nachrichten sehen oft harmlos aus und können daher leicht übersehen werden. In den SMS-Nachrichten können auch Links eingebettet sein, welche auf eine Internetseite weiterleitet, welche Benutzernamen und Passwort verlangen oder aber auch Schadsoftware auf dem Smartphone installieren können.
• Die Wichtigkeit von Suchmaschinen-Phishing im Social Engineering wird oft unterschätzt. Dabei versuchen Angreifer, Opfer dazu zu bringen, auf gefälschte Websites zu gelangen, indem sie gefälschte Suchergebnisse bereitstellen. Diese Angriffsmethode ist besonders effektiv, da die meisten Menschen vertrauen, dass die ersten Suchergebnisse in einer Suchmaschine relevant und sicher sind. Sobald ein Opfer auf eine gefälschte Website gelangt ist, können Angreifer versuchen, ihm sensible Informationen zu entlocken oder Schadsoftware auf seinem Computer zu installieren.

2) Pretexting

Auch Pretexting ist eine Social Engineering Technik, die von Hackern verwendet wird, um an vertrauliche Informationen zu gelangen. Dabei versuchen die Angreifer, das Vertrauen der Opfer zu gewinnen, indem sie eine glaubwürdige Geschichte erfinden. Ziel ist es, an sensible Daten, wie z.B. Passwörter oder Kreditkartennummern zu gelangen.

3) Watering-Hole-Angriffe

Ein Watering-Hole-Angriff ist eine Art von Social Engineering Angriff, bei dem Cyberkriminelle eine vertrauenswürdige Website infizieren, die von ihrer Zielgruppe regelmässig besucht wird. Die Website oder der Online-Dienst werden gehackt und dann auf andere Websites oder Dienste verlinkt, um Benutzer zu infizieren. Diese Art von Angriff ist besonders gefährlich, da die Benutzer möglicherweise nicht wissen, dass sie auf eine gefährdete Website zugreifen.

4) Scareware

Die Angreifer benutzen Scareware, um ihre Opfer dazu zu bringen, bestimmte Aktionen auszuführen, die sie normalerweise nicht tun würden. Dazu gehört zum Beispiel die Erstellung gefälschter Warnungen. Die Angreifer erstellen Warnungen, die so aussehen, als stammten sie von einer legitimen Sicherheitssoftware. Diese Warnungen enthalten oft Drohungen wie „Ihr Computer wird bald abstürzen“ oder „Ihre Daten sind in Gefahr“. Die Angreifer hoffen, dass die Opfer diese Warnungen ernst nehmen und handeln, indem sie ihren Computer herunterfahren oder Schadsoftware installieren.

Eine weitere Technik, die Angreifer verwenden, ist das Erstellen gefälschter Updates. Sie erstellen Updates für bestehende Software-Programme und verteilen sie an ihre Opfer. Diese Updates sehen oft legitim aus und enthalten tatsächlich echte Sicherheitsupdates. Allerdings enthalten sie auch Schadsoftware im Hintergrund, die unbemerkt installiert wird, sobald das Update ausgeführt wird. Die Angreifer hoffen, dass die Opfer diese Updates installieren und dadurch Schadsoftware auf ihrem Computer installieren.

5) DNS-Spoofing

Cache-Poisoning oder DNS-Spoofing ist eine Social Engineering Attacke, die darauf abzielt, einem Benutzer schadhaften Inhalt unter einer vertrauenswürdigen Internet-Adresse vorzustellen. Der Angreifer leitet den DNS-Traffic an einen anderen Server um und erstellt einen Eintrag für eine gefälschte Website, sodass die IP-Adresse der falschen Website mit der URL der Ziel-Website verknüpft wird. Wenn ein Benutzer die betroffene Website aufruft, wird er zur IP-Adresse des Angreifers umgeleitet und sieht stattdessen die gefälschte Website. Cache Poisoning kann zu ernsthaften Sicherheitsproblemen führen, da es dem Angreifer ermöglicht, eine Vielzahl von verschiedenen Arten von Schadsoftware auf das System des Opfers zu installieren.

6) Köder- und Quid-pro-Quo-Attacken

Köder-Angriffe basieren auf dem Versprechen einer attraktiven Belohnung, um das Opfer dazu zu bringen, bestimmte Aktionen auszuführen. Diese Art von Angriff ist sehr verlockend für Menschen, die an Geld oder anderen materiellen Dingen interessiert sind.
Quid-pro-quo-Angriffe sind ähnlich wie Köder-Angriffe, mit dem Unterschied, dass das Opfer im Gegenzug für seine Handlungen etwas erhält. In der Regel ist dies etwas, das das Opfer sowieso haben möchte oder braucht. Ein typischer Quid-pro-quo-Angriff sieht so aus: Der Hacker schickt eine E-Mail an sein Opfer, in der behauptet wird, dass er Zugang zu einem gesuchten Dokument hat. Wenn das Opfer den Hacker kontaktiert und um das Dokument bittet, fordert der Hacker im Gegenzug eine Gegenleistung für seine Hilfe. Das Opfer kann zum Beispiel gezwungen sein, sein Passwort preiszugeben oder andere vertrauliche Informationen herauszugeben.

7) Physische Verstösse und Tailgating

Der Begriff Social Engineering wird zumeist nur auf Online-Angriffe bezogen. Tatsächlich finden Social Engineering Attacken aber auch in der physischen Welt statt. Tailgating etwa ist eine physische Methode. Dabei versucht ein Angreifer, in ein gesichertes Gebäude oder einen abgeschlossenen Bereich zu gelangen, indem er sich an eine Person anschliesst, die bereits Zutritt hat.

Wie Ihre Mitarbeitenden Social Engineering Angriffe erkennen können

Die wichtigsten Erkennungsmerkmale von Social Engineering Angriffen sind:

• Ein verdächtiges oder ungewöhnliches Ereignis
• Eine Nachricht oder ein Anruf von jemandem, den sie nicht kennen
• Eine verdächtige Website oder E-Mail
• Ein Anruf oder eine Nachricht, in der sie aufgefordert werden, sensible Daten preiszugeben
• Ein Anruf oder eine Nachricht, in der sie aufgefordert werden, etwas herunterzuladen oder zu installieren

Schützen Sie Ihr Unternehmen vor Social Engineering

Unternehmen sollten alles ihnen mögliche unternehmen, um sich vor Social Engineering Angriffen zu schützen. Zu den wichtigsten Schutzmassnahmen gehören:

1. Informieren Sie Ihre Mitarbeitenden über die Bedrohung Social Engineering
   Dazu gehört, ihnen zu erklären, wie Angreifer versuchen, an vertrauliche Informationen zu gelangen. Ausserdem sollten Sie Ihre Mitarbeitenden darüber informieren, was sie tun können, um sich vor Social Engineering Angriffen zu schützen.
    
2. Schulen Sie Ihre Mitarbeitenden
   Nachdem Sie Ihre Mitarbeitenden über die Bedrohung von Social Engineering informiert haben, sollten Sie sie auch schulen. Dabei geht es vor allem darum, ihnen beizubringen, wie sie sich vor Social Engineering Angriffen schützen können. Dazu gehört beispielsweise das Erkennen von gefälschten E-Mails oder Anrufen. Ausserdem sollten Ihre Mitarbeitenden lernen, wie sie mit verdächtigen E-Mails oder Anrufen umgehen sollen.
    
3. Umsetzen von technische Massnahmen
   Neben den oben genannten Massnahmen sollten Sie auch technische Massnahmen ergreifen, um Ihr Unternehmen vor Social Engineering Angriffen zu schützen. Dazu gehört beispielsweise die Implementierung einer Firewall oder eines Intrusion Detection Systems. Auch die Verschlüsselung von vertraulichen Daten kann helfen, Social Engineering Angriffe zu verhindern.
    
4. Betroffenheit schaffen
   Erklären Sie den Mitarbeitenden, dass diese Angriffe sie auch privat treffen können und geben Sie Handlungsempfehlungen ab. Sobald Mitarbeitende privat von einem Problem betroffen sind, haben Sie ihre Aufmerksamkeit. Die Attacken sind meist ähnlich wie im Unternehmensumfeld.

Zusammen. Sicher.

Benötigen Sie Unterstützung, um die Awareness Ihrer Mitarbeitenden zu verbessern? Oder bei der Planung und Implementierung von Sicherheitstechnologie? Kontaktieren Sie uns. Unsere erfahrenen Cybersecurity Experten helfen Ihnen gerne. 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.