Social-Engineering lässt sich nicht verhindern

Social-Engineering ist älter als das Internet selbst. Experten führen den Begriff auf das sogenannte Phreaking zurück. Hier wurden Telefongesellschaften von angeblichen Systemadministratoren telefonisch kontaktiert, um neue Passwörter für kostenlose Modemverbindungen zu erhalten. Hackerlegenden wie Kevin Mitnick haben den Begriff populär gemacht und seit der Revolution des Internets ist er in aller Munde.

Das Problem bei Social-Engineering ist, dass es so schwierig ist, sich dagegen zu schützen. Die Art des Betrugs setzt beim Menschen an und überall wo Menschen arbeiten und besonders dann, wenn Menschen unter Stress arbeiten, ist Social-Engineering besonders effektiv. Wenig verwunderlich, dass die Methode von Cyberkriminellen rund um die Welt eingesetzt wird, um viel Geld mit kopierten Daten und erpressten Kryptowährungen zu verdienen. Studien zu Cybercrime und Co. wie der DBIR von Verizon führen deshalb auch Social-Engineering als eine der wichtigsten Angriffsarten auf.

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Phishing ist die wohl weitläufig bekannteste Art des Social Engineering. Doch es gibt noch viele andere, in einem Video mit Hackerlegende Kevin Mitnick wurden die wichtigsten Social-Engineering-Methoden zusammengefasst. Dabei handelt es sich um Pretexting, Diversion Theft, Spear-Phishing, Water-Holing, Baiting, Quid-Pro-Quo, Tailgating, Honeytrap und Rogue.

Pretexting: Unter diesem Begriff verbirgt sich ein erfundenes Szenario, um ein potenzielles Opfer zu verführen und die Chance zu erhöhen, dass es darauf reinfällt. Es handelt sich dabei um ein falsches Motiv, das in der Regel einige reale Kenntnisse über das Opfer beinhaltet (z. B. Geburtsdatum, Sozialversicherungsnummer usw.), um noch mehr Informationen zu erhalten.

Diversion-Theft: Das ist ein Betrug, der von professionellen Kriminellen ausgeübt wird und meist auf ein Transport- oder Kurierunternehmen abzielt. Ziel ist es, das Unternehmen dazu zu bringen, die Lieferung an einen anderen als den vorgesehenen Ort abzugeben.

Water-Holing: Diese Technik macht sich Websites zunutze, die Menschen regelmäßig besuchen und denen sie vertrauen. Der Angreifer sammelt Informationen über eine bestimmte Zielgruppe von Personen, um herauszufinden, welche Websites dies sind, und testet diese Websites dann auf Schwachstellen. Im Laufe der Zeit werden ein oder mehrere Mitglieder der Zielgruppe infiziert und der Angreifer kann sich Zugriff auf das sichere System verschaffen.

Baiting: Baiting bedeutet, einem Opfer etwas vor die Nase zu halten, damit es etwas unternimmt. Dies kann über eine Peer-to-Peer-Website oder ein soziales Netzwerk in Form eines Filmdownloads geschehen oder es kann ein USB-Stick sein, das an einem öffentlichen Ort für das Opfer bereitliegt. Sobald das Gerät verwendet oder die bösartige Datei heruntergeladen wird, wird der Computer des Opfers infiziert, sodass der Kriminelle das Netzwerk übernehmen kann.

Quid-Pro-Quo: Meint in diesem Zusammenhang einen Vorteil für das Opfer im Austausch für Informationen. Ein gutes Beispiel sind Angreifer, die vorgeben, vom IT-Support zu sein. Sie rufen jeden an, den sie in einem Unternehmen finden können, und sagen, dass sie eine schnelle Lösung haben und „Sie nur Ihr AV deaktivieren müssen“. Jeder, der darauf hereinfällt, bekommt Malware wie Ransomware auf seinem Rechner installiert.

Tailgating: Hierbei handelt es sich um eine Methode, die von Social Engineers verwendet wird, um Zugang zu einem Gebäude oder einem anderen geschützten Bereich zu erhalten. Ein Tailgater wartet darauf, dass ein autorisierter Benutzer einen sicheren Eingang öffnet und passiert, und folgt dann direkt dahinter.

Rogue: Dahinter versteckt sich eine Reihe von Schadsoftware wie ein Rogue-Scanner, eine Rogue-Anti-Spyware, eine Rogue Anti-Malware oder eine Scareware. Rogue Security Software ist eine Form von Computer-Malware, die Benutzer täuscht oder dazu verleitet, für die gefälschte oder simulierte Entfernung von Malware zu bezahlen.

Fazit

Unternehmen können noch so viel in technische Sicherheitsmaßnahmen investieren, der menschliche Faktor bleibt eine Schwachstelle, wenn er nicht regelmäßig trainiert wird. Social Engineering bleibt und wird weiter eingesetzt werden, nicht nur, weil es sehr effektiv ist, sondern auch, weil es der einfachste Weg für Cyberkriminelle ist, ihr Ziel zu erreichen. Mitarbeiter müssen in einem New School Security Awareness-Training kontinuierlich und abwechslungsreich darauf hingewiesen werden, wie sie Social Engineering erkennen, egal, ob sie auf der Arbeit vor einem Computer sitzen, ob sie privat auf ihrem Mobilfunkgeräte unterwegs sind, oder aber auf Reisen oder aber im Home Office andere nicht autorisierte Geräte benutzen. Die Gefahr bleibt immer gleich, ein falscher Klick genügt den Angreifern, um sich Zugriff zu verschaffen und den Ball ins Rollen zu bringen.

Von Jelle Wieringa, Security Awareness Advocate bei KnowBe4

#KnowBe4