Social Engineering

Vorsicht vor Charme-Attacken

Social Engineering sorgt immer wieder für schockierende Schlagzeilen in Deutschland. Dabei werden Charme, Überzeugungskraft und vor allem technisches Know-how von Cyberkriminellen strategisch eingesetzt, um Kampagnen erfolgreich durchzuführen.

Lächelnde Frau bei einem Date

Viele Cyberkriminelle arbeiten beim Social Engineering mit emotionalen Tricks.

Viele mittelständische Unternehmen und deren Mitarbeiter sind sich der Bedrohungslage im Internet nicht bewusst bzw. nicht bewusst genug. Vielfach müssen sie zunächst entweder selbst Opfer von Cyberkriminalität werden oder durch Vorfälle in den Medien sensibilisiert werden. In diesem Zusammenhang prognostizieren die Marktforscher von Gartner, dass „bis 2020 60 Prozent der digitalen Unternehmen unter größeren IT-Ausfällen leiden werden, da die IT-Sicherheitsteams nicht in der Lage wären, digitale Risiken zu managen“. Dabei, so betonen verschiedene Sicherheitsexperten, ist Social Engineering eine beliebte und effektive Strategie der Cyberkriminellen, um kritische Geschäfts- und personenbezogene Daten zu stehlen. Bislang werden sogar ganze 98 Prozent der Cyberangriffe als Social-Engineering-Attacken klassifiziert. Im Zuge dessen sind die Cyberkriminellen auch viel kreativer darin geworden, wie sie diese gestohlenen Informationen zu ihrem Vorteil nutzen können.

Krasser Anstieg der Attacken

In den letzten Jahren ist die Zahl der Social-Engineering-Angriffe in Deutschland stark angestiegen. So berichtete das Bundeskriminalamt 2017 in seinem Lagebericht Cybercrime, dass 85.960 Fälle von Hackerangriffen in Deutschland gemeldet wurden. Eine deutliche Zunahme im Vergleich zu den 82.649 Fällen im Jahr 2016. Die absoluten Zahlen bedeuten einen Anstieg um vier Prozent gegenüber dem Vorjahr. Laut einer repräsentativen Befragung des Digitalverbands Bitkom aus dem Jahr 2017 wurde jeder zweite deutsche Internetnutzer bereits Opfer von Cybercrime – viele Zugangsdaten von Deutschen zu Online-Diensten wie sozialen Netzwerken oder Online-Shops wurden gestohlen oder persönliche Daten illegal genutzt. Und in jedem zweiten Fall von Cyberkriminalität ist auch ein finanzieller Schaden entstanden.

Dies ist ein Artikel aus unserer Print-Ausgabe 6/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Eine spezielle Form von Social Engineering, die von den Cyberkriminellen zunehmend verwendet wird, stellt die Manipulation von Suchergebnissen dar. Laut dem Sicherheitstrainingsexperten KnowBe4 werden Suchergebnisse erstellt bzw. manipuliert, um die Benutzer auf eine Website zu leiten, die mit einem Exploit-Kit kompromittiert wurde. Dieses lädt sich dann automatisch auf das Gerät des Nutzers und baut eine Kommunikation zu dem Command-and-Control-Server des Angreifers auf. In der Folge etabliert dieser eine geschützte Kommunikation und kann dadurch immer mehr Schadsoftware nachladen. Mit verschiedenen Varianten kann dann der Nutzer u. a. durch die Verschlüsselung bestimmter Daten erpresst werden.

Dabei verfolgen Social-Engineering-Angriffe in Deutschland ähnliche Ziele wie die in anderen Teilen der Welt. Denn letztlich geht es den Cyberkriminellen darum, Geld zu generieren. Besonders beliebt sind hierbei E-Mails mit angeblichen Lieferungen von DHL oder Amazon. Laut dem Blog Onlinewarnungen.de nutzen die Cyberkriminellen u. a. folgende E-Mail-Absenderadressen:

  • DHL.de
  • DHL Paket
  • DHL Support
  • Kundenservice DHL Express
  • DHL Logistik-Team
  • Kundenservice DHL Logistik
  • DHL Transport-Team
  • DHL-Sendezentrum <sendungsabteilung@dhl.de>

Im gleichen Blog werden auch zahlreiche Amazon-Phishing-E-Mails aufgeführt, die von Privatnutzern zur Verfügung gestellt wurden. Weitere Beispiele werden von der Verbraucherzentrale NRW gesammelt. Relativ einfach zu durchschauende Phishing-E-Mails versuchen zwar, mit perfektem Deutsch und entsprechendem Disclaimer eine Echtheit und Vertrauen zu generieren, sind allerdings relativ plump und unglaubwürdig formuliert.

Den Absender intensiv prüfen

Generell sollten die Empfänger solcher Phishing-E-Mails zunächst den Absender prüfen, bevor sie die E-Mail öffnen. Wer sich nicht sicher ist, sollte die E-Mail zunächst in Quarantäne schieben und dort überprüfen lassen. Es gilt die Regel, auf keinen Fall auf einen Link oder Anhang in den E-Mails zu klicken, bevor der Absender nicht überprüft wurde. Bislang galt, dass die E-Mails durch fehlerhaftes Deutsch einfach auszusortieren waren, doch die Cyberkriminellen werden immer geschickter darin, einen echten Eindruck zu erwecken. Darüber hinaus werden auch Disclaimer und Werbebanner der gefälschten Firmenmarken immer besser nachgebildet. Von daher gilt auch hier, immer misstrauisch gegenüber unerwarteten E-Mails zu bleiben.

Unternehmen, die sich und ihre Mitarbeiter vor solchen Angriffen schützen wollen, sollten auf eine Sensibilisierung der Nutzer setzen, wie sie etwa durch entsprechende Trainingsprogramme und -inhalte vermittelt werden. Hierbei versuchen die Mitarbeiter, bei der Konfrontation mit verdächtigen Mails auch einen möglichen Phishing-Betrug zu erkennen. Denn nicht selten stellen die Mitarbeiter die letzte Verteidigungslinie und damit eine „menschliche Firewall“ dar. Doch diese ist – wie eine IT-Firewall – nur so effektiv, wie sie trainiert oder „konfiguriert“ wurde.

Was ist Social Engineering?
Unter Social Engineering versteht man eine Betrugsform, bei der Cyberkriminelle versuchen, unachtsame Benutzer dazu zu bewegen, vertrauliche Informationen an den Angreifer zu senden, nachdem dieser die Person unter Druck gesetzt oder zumindest dahingehend beeinflusst hat. Während des E-Mail-Austauschs oder Telefongesprächs wird eine Schad-Software auf dem Rechner des Opfers installiert oder der Benutzer mithilfe eines Links zu einer infizierten Webseite geleitet.

Das Ziel bleibt in allen Fällen gleich: Daten und Informationen sammeln und in den meisten Fällen Geld vom Opfer für die Herausgabe und Verhinderung der Veröffentlichung der Daten erpressen. Es gibt verschiedene Arten von Social Engineering, dazu zählen Vishing (per Telefon), Smishing (per SMS) und Phishing (per E-Mail). Hinzu kommen Spear-Phishing oder Whaling, worunter man Phishing-Angriffe versteht, die auf CEOs, Politiker und Prominente ausgerichtet werden. Quelle: KnowBe4

Bildquelle: Getty Images/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok