Was ist Social Engineering?

, , , , ,
phishing 3390518 640

Bei Social Engineering handelt es sich um einen Oberbegriff, mit dem eine Vielzahl unterschiedlicher sozialer Manipulations- und Betrugstechniken beschrieben wird. Diese Methoden zielen in erster Linie darauf aus, den gutgläubigen Menschen als „Schwachstelle“ auszunutzen. Social Engineering ist keine neue Technik. Sie wurde schon lange vor dem Aufkommen des World Wide Web in Zusammenhang mit sensiblen Informationen angewandt.

Allgemeine Informationen zu Social Engineering

Heutzutage stellen insbesondere Unternehmen aufgrund ihrer kostbaren Daten ein äußerst beliebtes Angriffsziel für Social Engineering-Attacken dar. In diesem Kontext kommen in der Regel folgende Techniken zum Einsatz:

–       Baiting

–       Phishing

–       CEO-Fraud

hacker 1952027 640

Mit diesen Angriffen versuchen Hacker die Schwachstelle „Mensch“ auszunutzen, um sich unerlaubten Zugriff zu sensiblen Informationen zu verschaffen. Aufgrund des speziellen Charakters dieser Angriffe, stoßen viele Antiviren– und Malware-Programme an ihre Grenzen, da es keinen Exploit oder keinen Virus gibt, der mit einer Sicherheits-Software eliminiert werden könnte. Schulungen der Mitarbeiter und ein Bewusstsein für diese potenzielle Gefahrenquelle sind die wichtigsten Voraussetzungen, um diese Form der Cyber-Kriminalität zu unterdrücken.

 

Begriffserklärung Social Engineering

Die Methoden und Techniken des Social Engineering zielen als sogenannte „soziale Beeinflusstechniken“ auf den Faktor Mensch ab. Die unterschiedlichen Arten und Formen des Betrugs werden sowohl im Online- als auch im Offline-Bereich seit Jahrzehnten äußerst erfolgreich eingesetzt. In der modernen Verwendung des Begriffs „Social Engineering“ werden damit jedoch die verschiedenen Formen der Cyber-Kriminalität bezeichnet. Sowohl Privatpersonen als auch internationale Großunternehmen sehen sich mit immer raffinierteren Methoden der sozialen Manipulation konfrontiert. All diese Methoden teilen sich die Gemeinsamkeit, dass sie explizit die menschliche Willensschwäche bzw. die Naivität ahnungsloser Mitarbeiter ausnutzen. Einige bekannte Beispiele hierfür sind:

–       E-Mail Phishing

–       Voice Phishing

Mit diesen Methoden hat nahezu jeder private Internetnutzer bereits Erfahrung.

 

Betrugsziele

In den Anfängen des World Wide Web in den 1990er Jahren waren Internet-Verbindungen im Allgemeinen minimal verbreitet und waren in der Regel sehr langsam. Aus diesem Grund fungierten damals im Rahmen des Social Engineering oftmals größere Universitäten oder Telefonkonzerne als Ziele für Hacker. Ein Ziel der Hackerangriffe war es, unerlaubten Zugriff auf schnelle Internetverbindungen und große Rechenleistungen zu erlangen. Heute zielen Cyber-Kriminelle in erster Linie auf Daten und Informationen, die sich gut verkaufen oder für illegale Zwecke nutzen lassen. Dazu zählen zum Beispiel:

Mehr zum Thema:
Was ist ein SOC Report? Erklärung und Insights

–       sensible Unternehmensinformationen

–       Kreditkarten- und Bankkontodaten

–       Zugangsdaten (Nutzernamen und Passwörter) zu Accounts

hacker 2300772 640

Grundsätzlich sind  Informationen für Hacker interessant, die sich für illegale Zwecke nutzen lassen. Menschliche Ziele sind primär Mitarbeiter, die im häufigen Kontakt zu Anrufern stehen und für die es selbstverständlich ist, Anfragen zu beantworten. Support-Mitarbeiter stellen aus diesem Grund ein besonders populäres Ziel dar. Sie verfügen in der Regel über ausreichende Informationen und Befugnisse, um dem Cyber-Kriminellen Zugriff zu den gewünschten Informationen zu ermöglichen. In vielen Fällen reicht schon die Offenlegung bestimmter Rufnummern oder E-Mail-Adressen aus, um den Angriff fortzuführen. Auch Informationen über den Internet Service Provider (ISP) oder über die Sicherheits-Software, die in der Firma eingesetzt wird, sind für Hacker interessant.

 

Techniken und Beispiele für Social Engineering

Im Laufe der Jahre haben sich im Rahmen des Social Engineering folgende drei Techniken als besonders effektiv erwiesen:

–       Phishing: Hierbei handelt es sich um eine bekannte und äußerst wandlungsfähige Form der sozialen Manipulation. Mit den sogenanntenPhishing-Mails versuchen Hacker, Mitarbeitern und Anwendern sensible Informationen zu entlocken. In diesem Kontext kommen oft Angst und Dringlichkeit zum Einsatz, um beispielsweise an Kreditkartennummern oder Online-Banking-Informationen zu gelangen.

–       Köder (Baiting): Im Rahmen dieser Social Engineering-Technik setzen Hacker auf Köder. Cyber-Kriminelle zielen hier explizit auf die Neugier des Menschen ab, die ausgenutzt wird, um Zugang zu sensiblen Informationen zu erhalten oder Schadsoftware auf dem Rechner des Opfers zu installieren.

–       CEO-Fraud: Der CEO-Fraud lehnt sich von seiner Vorgehensweise an den sogenannten „Enkel-Trick“ an, der außerhalb der IT seit Jahrzehnten eingesetzt wird. Hier geben sich Kriminelle als Geschäftsführer oder sonstige Vorgesetzte aus, indem sie deren Identität annehmen, beispielsweise durch gefälschte oder gehackte E-Mail-Adressen der betroffenen Personen.

Prävention

Der Bedrohungslage durch soziale Manipulation kann nur mit einem ausgeprägten Gefahrenbewusstsein effektiv entgegengewirkt werden. Ein sicheres Passwort oder eine performante Antiviren-Software bieten gegen Social Engineering-Techniken so gut wie keinen Schutz. Die größte Vulnerability ist der ahnungslose Mitarbeiter. Aus diesem Grund existieren auch keine Sicherheits-Lösungen, die einen zuverlässigen Schutz vor Social Engineering bieten. Insbesondere in Großunternehmen stellt die Tatsache eine gewaltige Herausforderung dar, einen guten Schutz vor Social Engineering und zugleich auch effiziente Arbeitsabläufe gewährleisten zu können.

Mehr zum Thema:
Was sind Wissensmanagement-Tools? Unser Leitfaden erklärt es.

Ab einer bestimmten Größe des Unternehmens wird es immer wahrscheinlicher, dass sich sämtliche Mitarbeiter nicht untereinander kennen, sodass solche Mitarbeiter ein ideales Ziel für Methoden der sozialen Manipulation darstellen. Aus diesem Grund ist es wichtig, bei jedem Kontakt die Identität des anderen zu erfragen und zu bestätigen.