Social Engineering – der Weg für Hacker in Ihr Unternehmen
Worum geht’s?
Social Engineering ist eine Methode, bei der Cyberkriminelle menschliche Schwächen ausnutzen, um vertrauliche Informationen zu erhalten oder unerlaubten Zugang zu Systemen zu erlangen. Im Gegensatz zu technischen Hacking-Methoden zielt Social Engineering darauf ab, das Vertrauen oder die Gutgläubigkeit von Personen zu manipulieren.
Was sind gängige Methoden des Social Engineering?
Ein häufiges Beispiel ist das Phishing, bei dem Angreifende gefälschte E-Mails versenden, die aussehen, als kämen sie von vertrauenswürdigen Quellen. Diese E-Mails fordern die Empfänger auf, persönliche Daten preiszugeben oder schädliche Links zu öffnen.
Außerdem wird Vishing (Voice Phishing) mit der Verbreitung leistungsstarker künstlicher Intelligenzen immer geläufiger. Dabei wird mit öffentlichem Tonmaterial die Stimme einer Person imitiert um dann eine andere Person damit zu manipulieren.
Eine weitere Form des Social Engineering ist der CEO-Fraud, also ein Betrug bei dem sich Kriminelle als die Geschäftsleitung eines Unternehmens ausgibt. Es wird also eine Nachricht, per E-Mail oder per SMS an Mitarbeiter:innen geschickt, in der sie dazu aufgefordert werden, der Geschäftsleitung zeitnah eine Antwort zu geben. Sie sollen dann entweder Gutscheinkarten kaufen, oder Log-In-Daten zu einem internen System übermitteln. Die Masche des CEO-Frauds kann vor allem in mittleren Unternehmen erfolgreich sein, wenn es keine strikte Hierarchie gibt, und alle Mitarbeiter:innen in direktem Kontakt mit der Geschäftsleitung stehen könnten, aber das Unternehmen zu groß ist, um schnell nachzufragen, ob die Nachricht legitim ist.
Welche Strategien nutzen Cyberkriminelle?
Die Psychologie hinter Social Engineering setzt auf menschliche Verhaltensweisen, die viele von uns aufweisen. So wird in Nachrichten oft Dringlichkeit suggeriert, es wird Zeitdruck aufgebaut. Es soll vermittelt werden: Es besteht Eile, und wir haben keine Zeit zu prüfen, ob das wirklich Sinn ergibt. In einem stressigen Arbeitsalltag kann das dazu führen, dass Warnzeichen ignoriert werden.
Außerdem versuchen Cyberkriminelle Vertrauen aufzubauen. Das kann z. B. dadurch passieren, dass zunächst Kontakt hergestellt wird, es allerdings noch nicht zum Angriff kommt. Somit besteht vor dem Angriff bereits eine persönliche Beziehung.
Bei bestimmten Formen des Social Engineering soll ein Sinn von Autorität vermittelt werden. Das kann dann der Fall sein, wenn Cyberkriminelle sich als Behörde oder Institution ausgeben, z. B. als das Finanzamt, ihre Bank oder die Polizei.
Ein Social Engineering Angriff kann sich beispielsweise folgendermaßen darstellen:
Sie erhalten eine E-Mail, in der Sie darauf hingewiesen werden, dass es Unregelmäßigkeiten in Ihrem Bankkonto gibt, und dass Sie sich in Ihrem Online-Banking einloggen sollen, um zu sehen, ob alles mit rechten Dingen zu geht. Diese E-Mail enthält klassischerweise einen Link, über den Sie sich scheinbar direkt in Ihrem Online-Banking einloggen können. Dieser Link führt jedoch nicht zur sicheren Eingabemaske Ihrer Bank, sondern ist eine Eingabemaske von Cyberkriminellen. Geben Sie Ihre Zugangsdaten hier ein, werden diese durch die Cyberkriminellen gespeichert. Diese können sich nun in Ihre Online-Banking einloggen und haben Zugriff auf Ihre Finanzen.
Wie kann ich mich vor Social Engineering Angriffen schützen?
Um Schaden durch Social Engineering zu vermeiden, müssen Sie diese zunächst erkennen. Folgende Merkmale können auf Phishing hinweisen:
- Der Absender der E-Mail ist nicht Teil Ihres Adressbuches und entspricht nicht dem, was Sie erwarten würden.
- Es befinden sich Anhänge an der E-Mail, mit denen Sie nichts anfangen können. Das bedeutet entweder, dass Sie eigentlich keine Anhänge vermuten würden, oder dass das Dateiformat nicht Ihren Erwartungen entspricht.
- Apropos Anhänge: Werden Sie von Ihrem Betriebssystem darauf hingewiesen, dass Sie eine .exe -Datei ausführen möchten, ist das ein starker Hinweis auf Schadsoftware.
- Sie würden eigentlich keine E-Mail von diesem Absender erwarten. Sind Sie zum Beispiel nicht der Ansprechpartner Ihrer Bank, erhalten aber eine Nachricht zu Ihrem Bankkonto, deutet das darauf hin, dass es sich um Phishing handelt.
Auch technische Mittel können dabei helfen, Angriffe durch Social Engineering zu vermeiden. Das kann zum Beispiel durch einen effektiven Spam-Filter und eine Firewall erreicht werden.
Außerdem hilft es, Mehr-Faktoren-Authentifizierung für alle Konten und Zugriffe zu aktivieren, um sicherzustellen, dass Angreifer auch dann keinen Zugriff zu Ihren Systemen bekommen, wenn sie über Zugangsdaten verfügen.
Schulen Sie Ihre Mitarbeiter:innen zum sicheren Umgang mit E-Mails, und erreichen Sie so ein höheres Cybersicherheitsniveau.
In unserem Blogartikel erklären wir, wie sie in wenigen einfachen Schritten eine Weiterbildungsstrategie für Ihr Unternehmen entwickeln und so Ihre Mitarbeiter:innen sensibilisieren können!
