Social Engineering umfasst ganz unterschiedliche Methoden. Es handelt dabei sich eher um psychologische Tricks als um einen technischen Hacking-Angriff. Dabei wird die natürliche Neigung der Menschen ausgenutzt, anderen zu vertrauen. Zudem wird ihre Leichtgläubigkeit und ein Mangel an Wissen ausgenutzt. Ziel ist es in der Regel, an sensible Daten von Unternehmen oder Personen zu kommen. Um zu verhindern, dass Daten aus einem Unternehmen abfließen, ist es entscheidend, sich mit Social-Engineering-Angriffstechniken und -Präventionsmethoden vertraut zu machen, die vor allem darauf abzielen, die Mitarbeiter für die Bedrohungen zu sensibilisieren.
Unternehmen setzen viele verschiedene Tools ein, um sich vor Cyberkriminalität zu schützen (z. B. Antivirensoftware), aber die schwächste Stelle in einem IT-Sicherheitssystem ist meist der Mensch. Social-Engineering-Spezialisten sind hervorragende Psychologen. Sie sind in der Lage, das Opfer zu manipulieren und geschickte Argumente und Formulierungen zu verwenden. Deshalb ist es wichtig, die Mitarbeiter über die Bedrohungen ebenso wie über Wichtigkeit und Wert von Daten aufzuklären.
Social Engineering: Beispiele und Techniken
Eine der vielen Social-Engineering-Methoden ist Pretexting. Die Angreifer recherchieren das Opfer gründlich (was im Zeitalter von Social Media sehr einfach ist). Dann rufen sie beispielsweise an und geben sich als Vertreter einer Firma aus, die hervorragende BaaS-Lösungen anbietet. Sie verwenden Formulierungen, die das Interesse des Anrufers wecken (z. B. Sonderangebote). Anschließend entlocken sie ihm die notwendigen Informationen, indem sie die entscheidenden Fragen stellen, z. B.: "Welchen Server nutzt das Unternehmen?" oder "Wo hat das Unternehmen bisher Datensicherungen gespeichert?". Schließlich wird das Gespräch – möglicherweise mit der Nennung eines sehr hohen Preises – beendet, damit das Opfer selbst erklären kann, dass es an dem Angebot nicht interessiert ist.
Sehr häufig werden Emotionen bei der Ausführung eines Angriffs genutzt. Unter ihrem Einfluss neigen Menschen dazu, irrationale Entscheidungen zu treffen. Das Gefühl der Dringlichkeit lässt das Opfer unter Zeitdruck geraten. Zum Beispiel können bestimmte Vorteile nur dann genutzt werden, wenn sich das Opfer innerhalb einer eng definierten Zeitspanne entscheidet. Der Aufbau von Vertrauen ist die Grundlage des gesamten Prozesses. Aus diesem Grund recherchiert der Angreifer ein Unternehmen oder eine Person immer sehr gründlich.
Es gibt aber noch viele weitere Beispiele für Social Engineering. Diese können sein:
- Phishing: Ziel ist es, dem E-Mail-Empfänger etwas vorzugaukeln, was er braucht oder worauf er gewartet hat. Die E-Mail kann gefährliche Links oder Anhänge mit Virensoftware enthalten. Zu den Arten von Phishing gehören auch Spear-Phishing und Whaling.
- Baiting: Dies ist dem Phishing sehr ähnlich. Allerdings wird hier ein Köder verwendet, um das Opfer zum Herunterladen von Malware zu bewegen. Dies kann online oder in Form eines Pakets mit einer CD oder einem USB-Stick erfolgen. Im Jahr 2018 erhielten zum Beispiel mehrere US-Bundesstaaten und lokale Behörden Umschläge mit CDs und einem Brief mit verwirrendem Inhalt. Die Opfer legten die CDs aus Neugierde in ihre Computer ein und installierten so die Malware.
- Shoulder Surfing: Bei dieser Methode werden Daten (z. B. Passwörter) gestohlen, indem dem Opfer "über die Schulter" geschaut wird, während es seinen Laptop oder ein anderes Gerät (auf einem Mobiltelefon oder sogar an einem Geldautomaten) benutzt. Insbesondere für Unternehmen, die remote arbeiten ist es wichtig, diese Bedrohung zu kennen, da die Mitarbeiter ihre Arbeitsgeräte oft an öffentlichen Orten benutzen.
- Tailgating: Bei dieser Methode verschafft sich der Kriminelle physisch Zutritt zu geschützten Bereichen, wie z. B. dem Hauptsitz eines Unternehmens, durch eine Person mit Zutrittsberechtigung. Der Kriminelle gibt sich beispielsweise als Fahrer eines Lieferanten aus und wartet vor dem Gebäude. Wenn das Opfer die Tür öffnet, bittet er ihn, sie aufzuhalten und gelangen so ins Gebäude. Um solche Fälle zu vermeiden, ist es extrem wichtig, die Mitarbeiter richtig zu schulen, um die physische Sicherheit zu gewährleisten.
- Dumpster Diving: In diesem Fall sucht der Kriminelle nach wichtigen Informationen in Mülltonnen. Viele Unternehmen kümmern sich sehr um die Sicherheit ihrer virtuellen Daten, vergessen jedoch dabei grundlegende Sachen. Deshalb ist es so wichtig, immer Aktenvernichter zu verwenden, die der Einfachheit halber an unterschiedlichen Stellen in Büroräumen aufgestellt werden können.
- Quid pro quo: Bei dieser Methode ruft der Angreifer zufällige Telefonnummern an und behauptet, vom technischen Support zu sein. Gelegentlich treffen sie dann tatsächlich auf ein Opfer, das gerade zufällig in Not ist. Sie bieten "Support" an und verschaffen sich so Zugriff auf den Computer und können Schadsoftware installieren.
Social-Engineering-Prävention
Um solche Angriffe zu verhindern, gibt es einige wichtige Aspekte zu beachten:
- Schulung der Mitarbeiter zu Social Engineering: Wie bereits erwähnt, ist einer der wichtigsten Aspekte der Social-Engineering-Prävention das Risikobewusstsein. Daher ist es unerlässlich, Mitarbeiter-Workshops zu veranstalten und sie über den Wert von Daten aufzuklären.
- Mitarbeiter auf den Prüfstand stellen: Gelegentlich ist es eine gute Idee, Mitarbeiter eines Tests zu unterziehen, um zu sehen, ob sie im Falle eines echten Angriffs die richtigen Dinge tun würden. Schalten sie ihre Monitore aus, wenn sie ihren Schreibtisch verlassen? Befinden sich wichtige Dokumente auf ihren Schreibtischen? Was werden sie tun, wenn eine unbekannte Nummer anruft und sich als jemand ausgibt, der Dienstleistungen anbietet, nach denen das Unternehmen sucht? Die Beantwortung dieser Fragen wird dazu beitragen, dass jede Person im Team weiß, was zu tun ist.
- Multifaktor-Authentifizierung: Selbst ein starkes Passwort reicht nicht immer aus. Es ist besser, sich bei wichtigen Daten nicht auf die Single-Faktor-Authentifizierung zu verlassen. Zusätzlich zu Passwörtern kann die Multi-Faktor-Authentifizierung Fingerabdruck-Scans, Sicherheitsfragen oder SMS-Codes umfassen.