Angreifer nutzen beim Social Engineering tief verankerte menschliche Dispositionen und Bedürfnisse aus, um ihre kriminellen Ziele zu erreichen. Um das Risiko von Social Engineering zu mindern, ist es wichtig, Verständnis über die verschiedenen Angriffsmethoden und Vorgehensweisen zu erlangen. Wir möchten darauf hinweisen, dass das Risiko eines Social Engineerings-Angriffes im Unternehmen nur dann mitigiert werden kann, sofern Mitarbeiter hinsichtlich potenzieller Angriffsmethoden durch entsprechendes Wissen ausreichend sensibilisiert sind.
Social Engineering und seine Erscheinungsformen
Phishing ist einer der häufigsten Arten von Social Engineering-Angriffen. Häufig tritt diese in Form von E-Mails, Chats, Werbeanzeigen oder Websites mit dem Ziel auf, eine Person, Organisation oder ein System nachzuahmen. Insbesondere durch die zwischenmenschliche Manipulation werden Benutzer dazu gebracht Informationen freiwillig zu teilen oder schädliche Dateien herunterzuladen, die ihre Netzwerkaktivitäten überwachen und detaillierte Berichte direkt an die Verursacher senden.
Das Baiting (engl. für „Ködern“) ist eine Methode, mit der Angreifer die menschliche Neugier ausnutzen. Sie zeichnet sich dadurch aus, dass sie eine physische Komponente beinhaltet. Ein solcher physischer „Köder“ könnte ein USB-Stick mit Firmenlogo sein, auf dem sich vermeintlich wichtige Geschäftsdokumente befinden. Sobald das Opfer diesen verwendet, wird automatisiert eine Schadsoftware im Hintergrund installiert und der Verursacher erlangt Einblick und Zugriff auf seine Daten, Aktivitäten und ggfs. andere Geräte innerhalb eines Netzwerkes.
Quid Pro Quo – aus dem lateinischen übersetzt „etwas für etwas“ – ist eine Art bei dem es zu einem Austausch von Gefallen und Diensten zwischen Angreifer und Opfer kommt. Hierbei geben sich Angreifer bspw. als IT-Supporttechniker aus und erfragen Anmeldedaten, mit dem Vorwand wichtige Sicherheitsüberprüfungen vornehmen zu können.
Das Piggybacking / Tailgating bezeichnet eine Art des Social Engineerings, bei der ein Angreifer eine Person verfolgt, um Zutritt in ein Unternehmen oder eingeschränkte Unternehmensbereiche zu erlangen. Eine verbreitete Methode ist es, einen vorausgehenden Mitarbeiter zu bitten eine Türe zu öffnen oder offen zu halten, unter dem Vorwand, selbst seinen Mitarbeiterausweis vergessen zu haben oder Fahrer eines Lieferanten oder ein Techniker eines externen Dienstleisters zu sein.
Beim Pretexting versuchen Angreifer mit Hilfe eines fesselnden Vorwandes eine Beziehung zu dem jeweiligen Opfer aufzubauen. Dies geschieht häufig, indem sich ein Angreifer bspw. als Kollege oder bekannte Autoritätsperson ausgibt. Auf diesem Wege soll das notwendige Vertrauen aufgebaut werden, um später an sensible Daten zu gelangen.
Eine weitverbreitete Social Engineering-Methode ist der sogenannte CEO-Fraud. Hierbei wird die E-Mail oder der Anruf eines vermeintlichen Vorgesetzten mit dem Appell der sofortigen Mitteilung wichtiger Daten fingiert. Sie basiert auf der Annahme, dass Mitarbeiter Sicherheitsbestimmungen vernachlässigen, sofern sie durch eine vermeintliche Autoritätsperson zum Handeln aufgefordert werden.
Sie haben Fragen oder Beratungsbedarf? Gerne stehen Ihnen unsere Expert:innen bei allen Herausforderungen zur Seite. Jetzt Kontakt aufnehmen!