Wie funktioniert Social Engineering?
Für die meisten Social Engineering-Techniken bedarf es keiner besonderen technischen Fähigkeiten auf Seiten des Angreifers. Das macht sie so attraktiv für Kriminelle aller Art.
Der Begriff Social Engineering wird für viele verschiedene Angriffsmethoden verwendet. Die wohl bekanntesten sind Spam und Phishing:
Spam Grundsätzlich ist jede Form von unerwünschten Nachrichten, die in großer Zahl verschickt werden, Spam. Meist handelt es sich um lästige E-Mails, aber auch SMS oder Nachrichten über Messenger oder soziale Medien können Spam sein. Spam selbst ist jedoch noch kein Social Engineering. Es gibt aber Social Engineering, das auf Spam basiert, z.B. Phishing oder der Versand von verseuchten Dateianhängen oder Links zu kompromittierten Seiten.
Phishing Für Phishing-Angriffe gibt sich der Angreifer als vertrauenswürdig aus, um an sensible Informationen des Opfers zu gelangen. Oftmals erwecken die Nachrichten den Anschein von Dringlichkeit oder versuchen, das Opfer in Panik zu versetzen und so zu unvorsichtigem Verhalten zu verleiten. Phishing kann ungerichtet eine Vielzahl Nutzer auf einmal ins Visier nehmen, oder aber gezielt ein oder mehrere Opfer angreifen.
Doch das sind längst nicht alle Formen von Social Engineering:
Spearphishing ist eine besonders gezielte Form des Phishing. Der oder die Angreifer schicken genau auf das oder die Opfer zugeschnittene Nachrichten, um an wichtige Daten zu gelangen oder sie dazu zu bringen, sich oder dem Unternehmen zu schaden.
Vishing und Smishing sind dem Phishing eng verwandt, benutzen als Kanal für die Verbreitung von Nachrichten und Links aber Anrufe per VoIP bzw. SMS.
Identitätsbetrug funktioniert in der digitalen ähnlich wie in der echten Welt: Kriminelle geben sich als vertrauenswürdige Person aus und bringen ihre Opfer so dazu, sich selbst oder ihrem Unternehmen zu schaden. Besonders häufig ist der sogenannte CEO-Fraud, bei dem sich der oder die Angreifer als CEO des Unternehmens ausgeben, wenn dieser nicht im Haus ist – und beispielsweise Transaktionen auf unbekannte Konten anweisen.
Beim Tech Support-Betrug geben sich der oder die Angreifer per Online-Werbeanzeige oder Anruf als Mitarbeiter eines IT-Supports aus. Dabei werden IT-Probleme oft frei erfunden, um das Opfer dazu zu bringen, für vermeintliche Hilfe zu bezahlen.
Scareware kompromittiert den Rechner des Opfer nicht nur mit nicht funktionierender oder ganz und gar schädlicher Software. Sie versucht oft auch, das Opfer in Angst zu versetzen und es so dazu zu bringen, weitere Schadprogramme auf seinem Rechner zu installieren. Besonders häufig handelt es sich um Fake-Antivirus-Programme, die dem Opfer dann suggerieren, sein Rechner wäre mit Malware infiziert. Vermeintliche Abhilfe soll ein weiteres Programm (meist ebenfalls Malware) schaffen, welches das Opfer installieren soll. .
(Cyber-)Scam beschreibt ganz allgemein einzelne oder eine Mischung verschiedener Social Engineering-Methoden.
Social Engineering – eine Gefahr für KMU?
Tatsächlich sind sich immer mehr kleine und mittelständische Unternehmen bewusst, dass auch sie Ziel von Cyberangriffen werden können. In einer Studie aus dem Jahr 2019 von Zogby Analytics für die National Cyber Security Alliance (USA) gaben fast die Hälfte der Befragten Unternehmen mit 251-500 Mitarbeitern an, dass es in den vergangenen 12 Monaten einen meldepflichtigen Datenschutzvorfall im Unternehmen gegeben habe. 88% der KMU glauben zudem, dass sie mindestens „etwas gefährdet“ seien, zum Ziel zum Cyberangriffen zu werden. Fast die Hälfte (46%) gehen sogar davon aus, „sehr gefährdet“ zu sein.
Der Bericht des IC3 (Internet Crime Center) des FBI beziffert jedes Jahr aufs Neue den Schaden durch Social Engineering: Allein 2018 verloren US-Unternehmen dem Bericht zufolge 2,7 Milliarden US-Dollar, 1,2 Milliarden davon durch nicht autorisierte Geldtransfers als Folge gefälschter E-Mails oder kompromittierter E-Mail-Konten.
Wie erkenne ich Social Engineering?
Social Engineering-Methoden werden immer besser. Nichtsdestotrotz gibt es einige Hinweise, die Ihnen helfen, entsprechende Nachrichten schnell zu erkennen: Achten Sie zunächst auf Fehler in Rechtschreibung und Grammatik. Ein weiterer Hinweis ist es, wenn die Nachricht besondere Dringlichkeit vermitteln möchte oder – noch auffälliger – die Preisgabe sensibler Daten wie Passwörter oder persönliche Daten fordert.
Achten Sie also vor allem auf:
1. Schlechte oder generische Ausdruckweise
In der Regel achten die Angreifer nicht allzu sehr auf Details und versenden Nachrichten voller Tippfehler, fehlender Wörter und schlechter Grammatik. Zudem werden häufig generische Begrüßungen und Formulierungen verwendet. Wenn Sie also eine E-Mail mit "Sehr geehrter Empfänger" oder "Sehr geehrter Benutzer" beginnt, sollten Sie vorsichtig sein.
2. Verdächtige Absende-Adresse
Die meisten Spammer nehmen sich nicht die Zeit, den Namen oder die Domain des Absenders zu fälschen, um vertrauenswürdig zu wirken. Wenn Sie eine E-Mail von einer Adresse bekommen, die eine Mischung aus zufälligen Zahlen und Buchstaben ist, sollte sie direkt in den Spam-Ordner gescoben und der IT-Abteilung gemeldet werden.
3. Dringlichkeit
Häufig werden angstmachende Formulierungen verwendet wie "Senden Sie uns Ihre Daten sofort, sonst wird Ihr Paket weggeworfen" oder "Wenn Sie Ihr Profil nicht sofort aktualisieren, schließen wir Ihr Konto". Banken, Paketdienste, öffentliche Einrichtungen und sogar interne Abteilungen kommunizieren in der Regel auf neutrale und sachliche Weise. Wenn in der E-Mail versucht wird, den Empfänger zu schnellem Handeln zu bewegen, handelt es sich wahrscheinlich um Betrug.
4. Abfrage sensibler Informationen
Normalerweise werden sensible Daten nicht via E-Mail oder telefonisch abgefragt, außer es wurde (wie im eigenen Unternehmen) darauf hingewiesen.
5. Allzu verlockende Angebote/Chancen
Das gilt für unaufgeforderte Werbegeschenke ebenso wie für die "hervorragende, aber zeitlich begrenzte Geschäftsmöglichkeit", die gerade in Ihrem Posteingang gelandet ist.
5 einfache Schritte und Ihr Unternehmen ist geschützt
1. Social Engineering funktioniert für die Angreifer nur dann, wenn die potentiellen Opfer auch auf sie hereinfallen. Implementieren Sie regelmäßige praxisnahe Trainings für alle Mitarbeiter, auch die Geschäftsführung und die IT-Abteilung. Erarbeiten Sie dabei umsetzbare Strategien, die Ihre Mitarbeiter in der täglichen Arbeit ausprobieren können.
2. Prüfen Sie, ob ggf. noch alte, unsichere Passwörter in Benutzung sind, die ersetzt werden müssen, um Angreifern keinen Zugriff auf Ihr Netzwerk zu geben. Möglicherweise ist es auch von Vorteil, eine Multi-Faktor-Authentifizierung einzusetzen, um Ihr Unternehmensnetzwerk zusätzlich abzusichern.
3. Implementieren Sie zuverlässige technische Lösungen, um Spam oder Phishing-Mails frühzeitig zu erkennen, in den Quarantäne-Bereich zu verschieben und bei Bedarf unschädlich zu machen bzw. zu löschen. Viele Security-Produkte bringen solche Features mit, darunter die meisten der von ESET angebotenen Lösungen.
4. Legen Sie Security-Richtlinien fest, die für Ihre Mitarbeiter einfach verständlich und umsetzbar sind. So wissen sie genau, was bei einem potentiellen Social Engineering-Angriff zu tun ist.
5. Verwenden Sie Security-Lösungen und Verwaltungstools, z.B. ESET PROTECT Cloud, mit denen Admins stets den Überblick über Vorgänge auf einzelnen Endpoints und im Netzwerk behalten und potentielle Gefahren schnell erkennen und unschädlich machen können.
Combat social engineering now
ESET PROTECT
Advanced
Protect your organization against social engineering by using ESET multi-layered endpoint security solutions, including LiveGrid® protection via the cloud and network attack protection, and the cloud-based ESET PROTECT console, to give your admins full, detailed network visibility, 24/7.