Was sind Social Engineering Attacken?

Die Häufigkeit von erfolgreichen und versuchten Cyberangriffen nimmt jedes Jahr zu. Dabei reichen die Angriffe von Angriffe auf Computersysteme und Netzwerke bis hin zu Angriffen auf diese Systeme über Nutzer selbst. Dabei darf man sich die Angriffe nicht wie Raubüberfälle vorstellen. Im Gegenteil. Meist sind diese Angriffe gut geplant und werden sehr subtil durchgeführt.

 

Was ist Social Engineering?

 

Diese Angriffe werden gemeinhin unter dem Sammelbegriff Social Engineering zusammengefasst. Ein anderer Begriff für Social Engineering ist Human Hacking oder Social Hacking und stellt den Zusammenhang zu Hackerangriffen her. Auf Deutsch wird dieser Begriff häufig mit Soziale Manipulation übersetzt. Dieser Begriff ist schon sehr nahe dran, wenn es darum geht die Frage “Was ist Social Engineering” zu beantworten.

 

Hier geht es darum, menschliche Charakterzüge wie Vertrauen, Angst, Respekt vor Autoritäten oder Hilfsbereitschaft auszunutzen. Das bedeutet, dass die Kriminellen versuchen, das Opfer einer Social Engineering Attacke dazu zu verleiten wichtige Informationen preiszugeben, wie Passwörter, oder Überweisungen zu tätigen. Dies passiert sehr häufig dahingehend, dass die Kriminellen oft sogar die Opfer direkt ansprechen und sie gerne auch persönlich um Hilfe bitten.

 

Wie funktioniert Social Engineering?

 

Ein Social Engineering Angriff legt den Fokus auf die Täuschung des Opfers über die Absicht und/oder Identität des Täters. So könnten sich Cyberkriminelle beispielsweise als Techniker oder als Mitarbeiter von Telekommunikationsunternehmen ausgeben. Damit bringen sie ihre Opfer gerne dazu, Kontoinformationen preiszugeben oder besonders präparierte Webseiten zu besuchen.

 

Das Problem bei Social Engineering Angriffen ist, sie sind in unterschiedlichsten Formen zu finden, sodass es sehr schwierig ist sich dagegen zu wappnen, insbesondere, wenn sie Nutzer ungeübt sind oder im schlimmsten Fall noch nichts von Social Engineering gehört haben. Außerdem gibt es viele Arten von Angriffen, die sich grob in zwei Typen unterscheiden lassen:

 

Ungezielte Attacken

 

Ungezielte Attacken sind andauernd zu finden. Ihr Ziel ist es, möglichst viele Rechner von möglichst vielen Opfern zu identifizieren. Die klassischen Beispiele für ungezielte Attacken sind Spam Mails oder Bank Trojaner. Obwohl diese Arten von Angriffen hohen Streuverlusten unterliegen – da viele Opfer nicht darauf hereinfallen – vertrauen Angreifer darauf, dass ausreichend Personen unvorsichtig sind und die gewünschten Aktionen durchführen.

 

Gezielte Attacken

 

Im Gegensatz dazu sind gezielte Attacken deutlich perfider. Sie haben eine klare Absicht – zum Beispiel der Diebstahl von Zugangsdaten oder geistigem Eigentum. Hier wollen die Angreifer möglichst lange unerkannt bleiben. Diese Arten von Attacken bezeichnet man als Advanced Persistent Threats (APT).

 

Die häufigsten Methoden der Attacken

 

Für IT Dienstleister oder MSPs ist es allerdings nicht ausreichend, lediglich über diese grobe Einteilung der Social Engineering Angriffe Bescheid zu wissen. Sie müssen in der Lage sein, Social Engineering zu erkennen, sich selbst und Ihre Kunden davor zu schützen und Ihre Kunden am besten sogar noch darin schulen, wie Social Engineering aussehen kann.

Um Ihnen diese Aufgabe etwas zu erleichtern, haben wir die wichtigsten Social Engineering Beispiele für Sie zusammengefasst:

 

Phishing

 

Bei Phishing Attacken tarnen sich Angreifer als scheinbar vertrauenswürdige Personen und versuchen ihre Opfer dadurch dazu zu verleiten Malware zu installieren oder Informationen wie Bankdaten preiszugeben. Am beliebtesten sind hierbei Emails, aber auch gefälschte Webseiten, Telefon Anrufe oder Chat Programme kommen hierfür zum Einsatz. Lesen Sie mehr hier.


Baiting

 

Baiting Attacken laufen über physische Köder, die Opfer in die Falle locken sollen. So werden zum Beispiel USB Sticks an Plätzen zurück gelassen, wo sie bestimmt gefunden werden. Nun hoffen die Angreifer, dass die Opfer die USB Sticks an ihre Computer anstecken, sodass heimlich eine schädliche Software installiert werden kann. Dabei kann es sich um Trojaner handeln, oder aber um Möglichkeiten, die Kriminellen ab sofort Zugriff auf die Maschine bieten.

Tailgating

 

Beim Tailgaiting werden die Opfer von den Tätern meist vor einem gesicherten Ort abgepasst. Dann geben die Täter häufig vor, sie hätten ihre Zugangskarten vergessen, oder bräuchten einen Moment lang das Handy. Oft erlangen die Täter so – durch die hilfsbereiten Opfer – Zugang zu abgesperrten Bereichen, oder aber sie verwenden das Handy dazu, Schadsoftware darauf zu spielen, die die Nutzerdaten abgreifen kann.

Quid pro Quo

 

Beliebt ist auch das locken mit Gegenleistungen. Das passiert beispielsweise im Zuge einer Umfrage, für die eine Gegenleistung geboten wird. Vielleicht müssen Sie sogar noch die Bankdaten preisgeben, damit der Kriminelle Ihnen das Geld “überweisen” kann. Hier ist gesunder Menschenverstand Ihre beste Waffe: Wenn etwas zu schön ist um wahr zu sein, ist es meist auch nicht wahr. Punkt.

 

Pretexting

 

Hier werden scheinbar sinnvolle Szenarien erschaffen, die den User dazu verleiten sollen, Nutzernamen und Passwörter zu teilen. Zum Beispiel gibt der Kriminelle vor, die Bankdaten seines Opfers zur “Prüfung der Identität” zu benötigen.

 

Wie schützt man sich vor Social Engineering Angriffen?

 

Da beim Social Engineering der Mensch selbst die Sicherheitslücke im System darstellt, ist es unumgänglich die Mitarbeiter Ihres Unternehmens und die Ihres Kunden zu schulen. Natürlich sind Präventivmaßnahmen nicht in der Lage, sämtliche Angriffe jederzeit zu bannen, aber es gibt dennoch einige wichtige Punkte, die in jedem Fall beachtet werden sollten um die Gefahr eines erfolgreichen Angriffs möglichst zu reduzieren.

Telefon

 

Tipp Nummer eins: Sensible Informationen werden NIEMALS über das Telefon weitergegeben. Im Schadensfall wird es hier so gut wie unmöglich etwas zu beweisen. Lassen Sie Anfragen also stets per Mail stellen, da selbst nebensächliche Informationen den Kriminellen bereits weiterhelfen können.

 

Gesundes Misstrauen

 

Je größer das Unternehmen ist, desto leichter ist es, sich als Dienstleister oder Mitarbeiter einzuschleusen. Daher sollten Sie besonders hellhörig und vorsichtig werden, wenn Fremde nach sensiblen Informationen fragen.

 

Starke Passwörter

 

Ein weiterer wichtiger Fehler der oft gemacht wird sind einfache, leicht zu erratende Passwörter. Häufig sind sie subjektiv gewählt, wie Namen oder Geburtstage wichtiger Personen im eigenen Leben, oft sogar noch dasselbe Passwort an verschiedensten Stellen. Stattdessen sollten Sie unbedingt unterschiedliche Passwörter verwenden und möglichst starke Passwörter, die im besten Fall sogar völlig zufällig generiert wurden.

 

Schulung

 

Genauso wichtig ist es auch, die Mitarbeiter regelmäßig zu schulen und sie auf die heimtückischen Formen von Social Engineering Angriffen hinzuweisen. Häufig ist es schon ausreichend den Mitarbeitern einzuschärfen, dass Links nur zögerlich angeklickt werden sollten und Anhänge am besten nur geöffnet werden, wenn der Absender eindeutig vertraut und bekannt ist.

 

FAQs

 

Warum werden immer wieder Menschen Opfer von Social Engineering?

 

Social Engineers nutzen einige grundlegende Charakterzüge von Menschen, wie Hilfsbereitschaft oder Vertrauen schamlos aus. Sie stellen sich in einer Form dar, die Personen dazu bringen soll, ihnen zu helfen. Dadurch merken die Opfer häufig gar nicht, dass sie soeben zu Opfern eines Social Engineering Angriffes wurden und können so nur schwer Gegenmaßnahmen einleiten.

 

Was wissen die Social Engineers über die Opfer?

 

Das ist abhängig von der Art des Angriffes. Manchmal wissen sie wenig bis gar nichts über die Opfer, insbesondere, wenn es sich um ungezielte Angriffe handelt. Hier wird nur von einer „Standardperson“ ausgegangen und entsprechend standardisiert funktioniert auch der Angriff.

 

Allerdings kann es insbesondere bei gezielten Angriffen sein, dass die Angreifer sehr viel über das Opfer wissen, wie Rang im Unternehmen, die Namen der Vorgesetzten oder den Tätigkeitsbereich, damit die Angriffe möglichst gezielt zugeschnitten werden und möglichst erfolgreich durchgeführt werden können.

 

Wer ist durch Social Engineering bedroht?

 

Grundsätzlich Personen, die an relevanten Schlüsselstellen des Unternehmens sitzen. Beispielsweise Personen, die Schlüssel zum Geld oder zu sensiblen Informationen über das Unternehmen in der Hand haben. Aber auch Privatpersonen, Behörden und staatliche Einrichtungen können zum Ziel der Angreifer werden.

 

Wie lernen die Täter etwas über ihre Opfer?

 

Dazu gibt es viele Möglichkeiten, wie den Müll zu durchkämmen oder Social Media Plattformen zu durchwühlen. Alle Aktivitäten die es dem Täter ermöglichen, mehr über die Lebenssituation, Interessen und Werte des Opfers herauszufinden, um sich gezielt mit „Gemeinsamkeiten“ einzuschmeicheln.

 

Was ist Human Hacking?

Human Hacking bedeutet, dass nicht ein System, sondern die Psyche des Menschen „gehackt“ wird. Dabei geht es um gezielte Manipulationen, die das Opfer dazu bringen sollen, Taten auszuführen oder Informationen preiszugeben, die sie normalerweise niemals tun oder preisgeben würden.

 

Fazit

Social Engineering an sich ist keine neue Erfindung von Kriminellen. Doch mit der Digitalisierung hat sich das Einsatzgebiet von Social Engineers deutlich erweitert. Sie können nun auf unterschiedlichsten Wegen und auf verschiedenste Arten ihre Angriffe starten. Von offline Angriffen mit physikalischem Zugriff, über offsite Angriffen über das Telefon oder Internet, bis hin zu Angriffen über physische Köder wie USB Sticks.

 

Sie als MSP oder IT Dienstleister sollten Ihren Kunden hier beratend und unterstützend zur Seite stehen. Einerseits in der Prävention durch Schulungen der Mitarbeiter, andererseits aber auch in der Schadensbehebung, sollte ein Angriff erfolgreich verlaufen.

 

Hier können Sie als MSP sich voll und ganz auf Atera verlassen! Atera bietet hervorragende Backup Optionen an, mit denen Sie Ihre Daten und die Daten Ihrer Kunden sicher verwahren können. Sollte es zu einem erfolgreichen Angriff kommen, ist für Sie oder Ihre Kunden in diesem Falle nicht alles verloren, sondern Sie können mit Hilfe von Atera in kurzer ZEit alles wiederherstellen und den Geschäftsbetrieb wie gewohnt fortsetzen!

 

Probieren Sie gleich jetzt die gratis 30-Tage Probeversion von Atera, um sich selbst von den Funktionalitäten von Atera und dem Service zu überzeugen!