|
Research|
Blog|
Newsletter|
Websession|
EN
Der Begriff Social Engineering beschreibt die Kunst, die menschliche Psychologie auszunutzen, um Zugang zu Gebäuden, Systemen oder Daten zu erhalten. Anstatt zu versuchen, eine Software-Schwachstelle zu finden, könnte sich ein Social Engineer beispielsweise als IT-Support-Fachkraft ausgeben. In dieser Rolle könnte er dann einen Mitarbeitenden der Zielorganisation anrufen und versuchen, ihn zur Herausgabe seines Passworts zu bewegen.
Ein geschickter Social Engineer nutzt positive Eigenschaften wie Freundlichkeit, Hilfsbereitschaft und Gutgläubigkeit gnadenlos aus, um seine Opfer zu manipulieren. So bringt er sie dazu, sensible Informationen preiszugeben, zum Beispiel Konto- und Kreditkartendaten, Passwörter oder vertrauliche Betriebsinterna.
Die bekannteste Methode des Social Engineering ist das sogenannte Phishing. Dabei erhält das Opfer eine E-Mail mit gefälschtem Absender und der Aufforderung, sensible Daten preiszugeben, einen infizierten Anhang herunterzuladen oder einem schädlichen Link zu folgen. Daneben versuchen die Betrüger auch per SMS, Post, Fax, über Webseiten oder Telefonanrufe, die begehrten Informationen in die Finger zu bekommen.
In der Regel läuft ein Social-Engineering-Angriff in vier Schritten ab. Im ersten Schritt benutzen ein Täter Online-Quellen, öffentlich zugängliche Dokumente und persönliche Gespräche, um so viel wie möglich über die Zielperson herauszufinden. Anschließend überlegt er, wie er sein Opfer dazu bringt, seinen Anweisungen zu folgen. Dabei setzt er zum Beispiel auf Autorität und behauptet, der Chef eines namhaften Unternehmens zu sein. Oder er setzt auf Sympathie und umschmeichelt sein Opfer. Möglicherweise gibt er auch vor, ihm einen Dienst zu erweisen. Der eigentliche Angriff findet in Schritt drei statt, indem der Social Engineer etwa eine E-Mail an sein Opfer schickt oder persönlich bei ihm anruft. Hat er sein Ziel erreicht und die gewünschten Informationen erhalten, bricht er den Kontakt sofort ab. Dem Opfer wird oft erst sehr viel später bewusst, dass es auf einen Betrüger hereingefallen ist.
Nicht nur Kriminelle setzen auf Social-Engineering-Methoden, sondern auch Nationalstaaten, Privatdetektive, Medienvertreter und Schuldeneintreiber.
Besonders dreiste Täter tauchen dabei sogar persönlich in den Räumlichkeiten der Zielorganisation auf, wo sie sich beispielsweise als Kunde oder Techniker ausgeben. Einmal im Gebäude, durchsuchen sie Büros nach sensiblen und verwertbaren Daten auf Papier oder elektronischen Datenträgern und lassen dabei sogar ganze Notebooks mitgehen. Oder sie schließen mit Malware infizierte Datenträger an stationäre Computer an, wodurch sie sich aus der Ferne im Netzwerk ausbreiten und zum Beispiel Daten manipulieren können.
Effektiver Schutz gegen Social Engineering ist für Organisationen nur möglich, wenn Mitarbeitende umfassend für die Gefahr durch Manipulatoren sensibilisiert werden. Sie müssen wissen, welche menschlichen Eigenschaften die Täter gerne ausnutzen, was ihre Motive sind und welche Werkzeuge sie einsetzen, um ihre kriminellen Ziele zu erreichen.
Ob Unternehmen und andere Organisationen vor Social Engineers sicher sind, die persönlich in deren Räumlichkeiten auftauchen, erfahren sie beispielsweise durch das Social Engineering Audit von 8com. Dabei schlüpft einer unserer Security-Experten in die Rolle eines Social Engineers und versucht, im Auftrag unserer Kunden in die Büroräume einzudringen, sensible Daten aufzuspüren und zu stehlen, natürlich in enger vorheriger Absprache mit den Verantwortlichen.
Nach Abschluss des Audits erstellen wir einen umfassenden Bericht, sodass unsere Kunden genau wissen, welche Maßnahmen sie ergreifen müssen, um Eindringlingen in Zukunft den Zugang zu verwehren. Schafft es unser Social Engineer gar nicht erst ins Gebäude, umso besser!
Bild (c) StartupStockPhotos / Pixabay
