Dieser Artikel wurde maschinell übersetzt.
Im Gegensatz zu typischen Hacking-Versuchen, die sich auf Schwachstellen in Computersystemen konzentrieren, beruhen Social-Engineering-Angriffe auf Täuschung und psychologischer Manipulation von Menschen. Die Opfer geben sensible Informationen oder den Zugang zu einem System weiter. Sie merken vielleicht erst Tage, Wochen oder sogar Monate später, dass sie einen Fehler gemacht haben.
Was ist Social Engineering?
Technologiebenutzer wissen, dass sie vertrauliche Informationen vor Außenstehenden schützen sollten. Bei einem Social-Engineering-Angriff werden sie jedoch dazu verleitet, einer Person, einem Unternehmen oder einem Hardwareteil zu vertrauen, sodass ein Hacker dieses Vertrauen ausnutzen und Zugriff auf die Systeme erlangen kann.
Das Wort "sozial" bezieht sich auf den menschlichen Teil dieses Angriffs. Menschen sind im Allgemeinen vertrauensvoll und wir möchten, dass andere uns mögen. Wir neigen auch dazu, uns den Autoritäten zu beugen. Ein Hacker verwendet diese Eigenschaften während eines Social-Engineering-Angriffs gegen uns.
Wir werden uns gleich mit Beispielen befassen. Aber lassen Sie uns zunächst die Schritte beschreiben, die Hacker normalerweise befolgen, um einen solchen Angriff durchzuführen. Ihr Angreifer wird:
- Zubereiten. Ihr Hacker könnte nach einem bestimmten Ziel innerhalb Ihres Unternehmens suchen. Oder der Hacker sucht nach Schwachstellen in Ihrem physischen Bürolayout oder Ihren digitalen Plattformen. Dann bestimmt der Hacker den besten Angriffsansatz.
- Erfassen. Der Hacker startet den Angriff und hofft, Vertrauen zu erwecken. Das Opfer wird hineingezogen und die wahre Gefahr beginnt.
- Vollständig. Der Hacker beendet den Angriff und versteckt alle Beweise.
Es blinken keine Lichter und keine Glocken läuten, wenn Sie Opfer eines Social-Engineering-Angriffs werden. Stattdessen stiehlt der Hacker die Daten lautlos und verschwindet im Dampf.
8 Social Engineering Angriffsbeispiele
Wir haben beschrieben, wie oder warum Menschen Social-Engineering-Angriffe starten können. Doch wie sieht man wirklich aus und wie funktioniert IT? Lassen Sie uns in ein paar Beschreibungen und Beispiele aus der Praxis eintauchen.
1. Köder
Ihr Hacker stellt ein falsches Versprechen auf, und Sie werden irgendwie dazu animiert, mehr zu erfahren oder einen Vorteil daraus zu ziehen. Wenn Sie dies tun, startet der Hacker Malware, die entweder Ihr Gerät oder den Server Ihres Unternehmens infiziert.
Nordkoreanische Hacker setzten diese Technik im März 2021 gegen amerikanische Sicherheitsforscher ein. Die Hacker richteten eine Website für eine gefälschte Sicherheitsfirma ein. Die Bilder und Anzeigen waren mit Malware gespickt. Dann richteten die Angreifer ein gefälschtes Social-Media-Konto ein und ermutigten die Forscher, Produkte von der neuen Website zu ermäßigten Preisen zu kaufen.
Auch physische Geräte wie Flash-Laufwerke und Datenträger können Teil eines Köderbetrugs sein. Ein Unternehmen könnte Ihnen ein Gerät geben und Sie auffordern, es anzuschließen, um ein beeindruckendes Bild zu sehen oder kostenlose Software zu installieren. Stattdessen wird die Malware des Hackers ausgeführt.
2. Schreckensware
Stellen Sie sich Folgendes vor: Sie besuchen eine Website und ein Popup-Fenster erscheint. Darin steht: "Ihr Computer ist infiziert! Klicken Sie jetzt auf diesen Button, sonst verlieren Sie alle Ihre Daten!" Sie sind auf Scareware gestoßen.
Bei einem solchen Angriff nutzen Eindringlinge Angst und Überraschung, um Sie dazu zu verleiten, ohne zu viel nachzudenken. Andernfalls kann es zu einer weit verbreiteten Infektion kommen. Diese Taktik wird auch als folgende Taktik bezeichnet:
- Scareware
- Täuschungs-Scareware
- Betrügerware
3. Vorwand
Der Angriff beginnt mit einem Gespräch, das legitim erscheint. Die Kontaktaufnahme kommt von einer Adresse, die Sie kennen, und Sie handeln auf die IT, ohne nachzudenken.
Beispiel: Eine Führungskraft hat eine Rechnung erhalten. Die Absenderadresse sah genauso aus wie die Adresse der Assistentin der Führungskraft. Also bezahlte die Führungskraft die Rechnung, ohne sich Gedanken über die IT zu machen. Später teilte ihr Buchhalter ihr mit, dass die Rechnung nicht legitim sei und die IT von einem Angreifer stamme.
In anderen Versionen dieses Angriffs erhalten die Opfer Anrufe von Hackern, die behaupten, Banker, Strafverfolgungsbeamte oder andere Autoritätspersonen zu sein. Es folgt eine Frage-und-Antwort-Phase, in der die Opfer alle ihre persönlichen Daten preisgeben. Wichtig ist, dass diese Art von Angriffen vollständig vermieden werden kann, wenn das Opfer die vermeintliche Person mit einer Telefonnummer zurückruft, die von einer vertrauenswürdigen Quelle stammt.
4. Phishing
Phishing ist ein weiterer häufiger Social-Engineering-Angriff.
E-Mail-Adresse oft Kickoff the attack. Die Notiz scheint offiziell zu sein, und die IT könnte Logos und Adressen von seriösen Unternehmen enthalten. Links sind im Text zu finden, und wenn Sie darauf tippen, kann Malware ausgeführt werden. Hacker kürzen oder verschleiern ihre Links auf andere Weise, so dass es für die Opfer schwierig ist, die Täuschung zu erkennen.
5. Spear Phishing (auch Whaling genannt)
E-Mail-Adresse Starten Sie auch diesen Angriff. Doch Hacker wählen den Empfänger sehr sorgfältig aus. Sie wissen, wo das Opfer arbeitet, was das Opfer tut und welche Worte oder Aufforderungen diese Person zum Handeln drängen. Die maßgeschneiderten Botschaften sind kaum zu übersehen.
Spear-Phishing-Angriffe sind tödlich, wenn sie richtig entwickelt werden. Tatsächlich sind 95 Prozent aller erfolgreichen Angriffe auf Unternehmensebene Spear-Phishing-Angriffe.
Hier ist ein Beispiel aus der Praxis. Hacker setzten sich mit Sicherheitsforschern in Verbindung und fragten, ob diese Fachleute bei der Forschung zusammenarbeiten könnten. Als sich die Experten einig waren, schickten Hacker "Hintergrundmaterialien", die mit Malware-Links gespickt waren.
6. Gegenleistung pro quo
Angreifer bieten ihren Opfern Lösungen für eine Bedrohung an, die es gar nicht gibt. Die Opfer haben Angst und nehmen die Hilfe an. Leider ist das der Punkt, an dem der Angriff beginnt.
Ein solcher Social-Engineering-Angriff zielt auf Empfänger der Sozialversicherung ab. Die Opfer erhalten einen Anruf und glauben, mit einem SSA-Beamten zu sprechen. Der Hacker teilt dem Opfer mit, dass das Konto kompromittieren wurde. Das Opfer muss eine aktive SSN, eine Adresse, ein Alter und andere Informationen angeben, um das Problem zu lösen.
Selbst die offizielle Sozialversicherungsbehörde kann diesen Betrug nicht stoppen.
7. Auffahren
Dabei handelt es sich um eine persönliche Form eines Social-Engineering-Angriffs. Der Eindringling folgt einfach jemandem, der einen sicheren Bereich betritt. Die Opfer glauben, dass es sich bei dem Eindringling um einen weiteren autorisierten Mitarbeiter handelt. Oft hält das Opfer dem Angreifer sogar die Tür auf.
Sobald sich die Person im Gebäude befindet, geht der Angriff weiter. Der Eindringling könnte teure Geräte stehlen oder bösartige Geräte oder Software in den Räumlichkeiten installieren. Und die Mitarbeiter stoppen die IT möglicherweise nicht, da die IT so aussieht, als hätte der Angreifer einen Grund, dort zu sein.
8. Wasserloch
Ein Hacker entdeckt eine legitime Website (z. B. eine Nachrichten-Website) und führt eine Art von Anzeige ein, die Besucher zu Malware führt.
Dieser Angriff wird als "Watering Hole" bezeichnet, da der Hacker die IT nicht überwachen muss. Wenn die Werkzeuge erstellt sind, können sie unabhängig voneinander ausgeführt werden.
So verhindern Sie einen Social Engineering Angriff
Es ist unmöglich, jeden menschlichen Fehler zu beheben. Solange wir anderen Menschen vertrauen und mit ihnen zusammenarbeiten wollen, wird diese Art von Angriffen weitergehen.
Aber Sie können Ihre Mitarbeiter darin schulen:
- Forschung. Klicken Sie nicht auf eine E-Mail-Adresse, die von einer Quelle stammt, die Sie nicht kennen. Wenn die Notiz verdächtig erscheint, senden Sie sie an IT. Verbinden Sie keine unbekannte Hardware mit Unternehmenssystemen.
- Schützen. Halten Sie Fremden nicht die Tür auf und sperren Sie Bildschirme, wenn Sie Ihren Schreibtisch verlassen. Entsorgen Sie vertrauliche Informationen nicht an Orten, wo sie leicht wiederhergestellt werden könnten. Verwenden Sie für alle sensiblen Anwendungen die Multifaktor-Authentifizierung . Führen Sie vierteljährlich Schulungen zu Social Engineering und anderen Angriffsformen durch.
- Verdächtigter. Klicken Sie nicht auf Anzeigen auf verdächtigen Websites, einschließlich Popup-Anzeigen. Überprüfen Sie den Ausweis von Personen, die Sie bitten, ihnen die Tür aufzuhalten.
Administratoren können Berechtigungen sperren und Mitarbeiter von gefährlich erscheinenden Websites fernhalten. Das regelmäßige Ausführen von Antivirensoftware und das Verstärken der Firewall können ebenfalls hilfreich sein.
Denken Sie daran, dass auch externe Mitarbeiter geschult werden müssen. Sie sind möglicherweise nicht so gut über die Risiken informiert wie Ihre Mitarbeiter vor Ort. Und sie können sich zu Hause riskanter verhalten.
Je mehr Sie über Bedrohungen wissen, desto besser können Sie Ihre Mitarbeiter schulen. Erfahren Sie mehr über Spear Phishing und Standard Phishing in unserem Blog!
Häufig gestellte Fragen
F: Gibt es einen anderen Begriff für "Social Engineering"?
A: Ja! Einige Leute verwenden Oversharing-Angriffe, Social-Engineering-Hacks und Social-Engineering-Betrügereien, um die Bedrohung zu beschreiben.
F: Wie oft verwenden Hacker Social-Engineering-Techniken?
A: Dies ist eine sehr häufige Form des Hackings. Die Leute brauchen keine starken Programmierkenntnisse, um loszulegen.
F: Wer ist ein ideales Opfer von Social Engineering?
A: Hacker wählen in der Regel jemanden aus, der Zugriff auf wichtige oder wertvolle Daten hat. Manchmal wählen Hacker leitende Angestellte aus. Assistenten können aber auch Informationen oder Zugang zu Ressourcen haben, die der Hacker haben möchte.
F: Können Sie ein Beispiel für einen Social-Engineering-Angriff nennen?
A: Im Juli 2020 haben Hacker Kontakt zu Twitter-Mitarbeitern aufgenommen. Im Verlauf des Angriffs gewährten die Mitarbeiter Zugriff auf interne Unternehmenstools. Anschließend übernahmen Hacker den Twitter-Account von Prime und forderten ein Bitcoin-Lösegeld zur Freigabe der Rechte.
F: Werden alle Social-Engineering-Angriffe über soziale Medien durchgeführt?
A: Nein. Tatsächlich werden einige der effektivsten Social-Engineering-Exploits persönlich mit Identitätsdiebstahl und Überzeugungsarbeit durchgeführt. Jemand mit der richtigen Uniform und einem strahlenden Lächeln könnte Sie zum Beispiel dazu verleiten, Ihren Computer für "Reparaturen" abzugeben.
Referenzen
Google: Nordkoreanische Hacker nehmen erneut Sicherheitsforscher ins Visier. (März 2021). Blinkender Computer.
Shark Tank-Star Barbara Corcoran verliert 388.700 US-Dollar durch Phishing-Betrug. (Februar 2020). CBS Nachrichten.
Wie Network Security Ihnen hilft, Ihre persönlichen Daten online zu schützen. EG-Rat.
Die häufigsten Social Engineering Angriffe. (August 2020). Informationssicherheit.
Wie man Spear Phishing Angriffe abstumpft. (März 2013). Networkworld.
Nordkoreanische Hacker haben es mit Malware auf Sicherheitsforscher abgesehen, 0-Days. (Januar 2021). Blinkender Computer.
Schützen Sie sich vor Sicherheitsbetrug. Verwaltung der sozialen Sicherheit.
Remote-Mitarbeiter sind stärker dem Risiko von Social-Engineering-Täuschungen und Cyberangriffen ausgesetzt. (November 2020). Sicherheit.
Pretexting in Cybersicherheit: Warum diese Social Engineering Bedrohung gefährlich ist. EG-Rat.
