Wie funktioniert Social Engineering?
Für die meisten Social Engineering-Techniken bedarf es keiner besonderen technischen Fähigkeiten auf Seiten des Angreifers. Das macht sie so attraktiv für Kriminelle aller Art.
Der Begriff Social Engineering wird für viele verschiedene Angriffsmethoden verwendet. Die wohl bekanntesten sind Spam und Phishing:
Spam Grundsätzlich ist jede Form von unerwünschten Nachrichten, die in großer Zahl verschickt werden, Spam. Meist handelt es sich um lästige E-Mails, aber auch SMS oder Nachrichten über Messenger oder soziale Medien können Spam sein. Spam selbst ist jedoch noch kein Social Engineering. Es gibt aber Social Engineering, das auf Spam basiert, z.B. Phishing oder der Versand von verseuchten Dateianhängen oder Links zu kompromittierten Seiten.
Phishing Für Phishing-Angriffe gibt sich der Angreifer als vertrauenswürdig aus, um an sensible Informationen des Opfers zu gelangen. Oftmals erwecken die Nachrichten den Anschein von Dringlichkeit oder versuchen, das Opfer in Panik zu versetzen und so zu unvorsichtigem Verhalten zu verleiten. Phishing kann ungerichtet eine Vielzahl Nutzer auf einmal ins Visier nehmen, oder aber gezielt ein oder mehrere Opfer angreifen.
Doch das sind längst nicht alle Formen von Social Engineering:
Social Engineering – eine Gefahr für KMU?
Tatsächlich sind sich immer mehr kleine und mittelständische Unternehmen bewusst, dass auch sie Ziel von Cyberangriffen werden können. In einer Studie aus dem Jahr 2019 von Zogby Analytics für die National Cyber Security Alliance (USA) gaben fast die Hälfte der Befragten Unternehmen mit 251-500 Mitarbeitern an, dass es in den vergangenen 12 Monaten einen meldepflichtigen Datenschutzvorfall im Unternehmen gegeben habe. 88% der KMU glauben zudem, dass sie mindestens „etwas gefährdet“ seien, zum Ziel zum Cyberangriffen zu werden. Fast die Hälfte (46%) gehen sogar davon aus, „sehr gefährdet“ zu sein.
Der Bericht des IC3 (Internet Crime Center) des FBI beziffert jedes Jahr aufs Neue den Schaden durch Social Engineering: Allein 2018 verloren US-Unternehmen dem Bericht zufolge 2,7 Milliarden US-Dollar, 1,2 Milliarden davon durch nicht autorisierte Geldtransfers als Folge gefälschter E-Mails oder kompromittierter E-Mail-Konten.
Wie erkenne ich Social Engineering?
Social Engineering-Methoden werden immer besser. Nichtsdestotrotz gibt es einige Hinweise, die Ihnen helfen, entsprechende Nachrichten schnell zu erkennen: Achten Sie zunächst auf Fehler in Rechtschreibung und Grammatik. Ein weiterer Hinweis ist es, wenn die Nachricht besondere Dringlichkeit vermitteln möchte oder – noch auffälliger – die Preisgabe sensibler Daten wie Passwörter oder persönliche Daten fordert.
Achten Sie also vor allem auf:
1. Schlechte oder generische Ausdruckweise
2. Verdächtige Absende-Adresse
3. Dringlichkeit
4. Abfrage sensibler Informationen
5. Allzu verlockende Angebote/Chancen
5 einfache Schritte und Ihr Unternehmen ist geschützt
1. Social Engineering funktioniert für die Angreifer nur dann, wenn die potentiellen Opfer auch auf sie hereinfallen. Implementieren Sie regelmäßige praxisnahe Trainings für alle Mitarbeiter, auch die Geschäftsführung und die IT-Abteilung. Erarbeiten Sie dabei umsetzbare Strategien, die Ihre Mitarbeiter in der täglichen Arbeit ausprobieren können.
2. Prüfen Sie, ob ggf. noch alte, unsichere Passwörter in Benutzung sind, die ersetzt werden müssen, um Angreifern keinen Zugriff auf Ihr Netzwerk zu geben. Möglicherweise ist es auch von Vorteil, eine Multi-Faktor-Authentifizierung einzusetzen, um Ihr Unternehmensnetzwerk zusätzlich abzusichern.
3. Implementieren Sie zuverlässige technische Lösungen, um Spam oder Phishing-Mails frühzeitig zu erkennen, in den Quarantäne-Bereich zu verschieben und bei Bedarf unschädlich zu machen bzw. zu löschen. Viele Security-Produkte bringen solche Features mit, darunter die meisten der von ESET angebotenen Lösungen.
4. Legen Sie Security-Richtlinien fest, die für Ihre Mitarbeiter einfach verständlich und umsetzbar sind. So wissen sie genau, was bei einem potentiellen Social Engineering-Angriff zu tun ist.
5. Verwenden Sie Security-Lösungen und Verwaltungstools, z.B. ESET PROTECT Cloud, mit denen Admins stets den Überblick über Vorgänge auf einzelnen Endpoints und im Netzwerk behalten und potentielle Gefahren schnell erkennen und unschädlich machen können.
Combat social engineering now
ESET PROTECT
Advanced
Protect your organization against social engineering by using ESET multi-layered endpoint security solutions, including LiveGrid® protection via the cloud and network attack protection, and the cloud-based ESET PROTECT console, to give your admins full, detailed network visibility, 24/7.
