Social-Engineering:
Der Mensch als Schwachstelle in Unternehmen

Social-Engineering: Anders als bei Viren und Trojanern nützen Antivirenprogramme und Firewalls hier nichts. Denn in erster Linie manipulieren Hacker dabei den Menschen selbst. In diesem Zusammenhang spricht man beim Social-Engineering auch vom Human Hacking bzw. Social-Hacking.

social engineering

Was ist Social-Engineering?

Es gibt nicht DIE EINE Methode, die Hacker beim Social-Engineering anwenden. Prinzipiell kann dem Begriff jede Beeinflussung eines Menschen zugeordnet werden, die dazu dient, an Daten und Informationen zu gelangen.

Social-Engineering mit unterschiedlichen Zielen

Auch die primäre Zielsetzung der Angriffe kann unterschiedlich sein: Manchmal wollen die Cyberkriminellen direkt und ohne Umwege an Informationen gelangen. Ein anderes Mal wird dem Opfer zuerst ein mit Malware versehenes Dokument geschickt. Am Telefon versuchen die Hacker dann, das Opfer dazu zu bringen, bösartige Makros zu aktivieren. Dazu täuschen die Angreifer eine falsche Identität vor.

Damit die Opfer den Kriminellen Glauben schenken, holen sich diese zum Beispiel auf Social-Media-Plattformen die dafür notwendigen persönlichen Informationen. Doch nicht nur öffentlich einsehbare Daten werden genutzt: Das Vortäuschen falscher Identitäten funktioniert bei Facebook und Co schließlich relativ einfach.

Information

Hacker kombinieren bei umfangreichen Attacken mehrere Methoden miteinander. Die Angriffe können unbemerkt über mehrere Monate geplant und durchgeführt werden. Teilweise basiert ein Angriff auf dem anderen.

Methodik:
5 Social-Engineering-Methoden im Überblick

Die Social-Hacking-Methoden sind extrem unterschiedlich. Ungeschulte Mitarbeiterinnen und Mitarbeiter erkennen die Gefahren oft nicht rechtzeitig. Tipp: Ein Social-Engineering-Penetrationstest  deckt menschliche und organisatorische Sicherheitslücken in Unternehmen zuverlässig auf. Die IT-Security-Spezialisten testen die IT-Security dabei mit den gleichen Methoden, die auch Hacker anwenden würden.

1

Pretexting

 

Das Pretexting wird oft als Grundlage benötigt, um die “tatsächlichen” Angriffe anschließend durchführen zu können. Social-Engineers erschaffen hierbei ein ausgeklügeltes Lügenkonstrukt, das teilweise extra dafür programmierte Webseiten und zahlreiche E-Mail-Adressen enthält, um die “Story” zu verifizieren. Social-Engineers geben sich dabei z.B. als Finanzbeamte, Polizisten, Lieferanten oder Service-Mitarbeiter aus.

2

Tailgating

Wer glaubt, Hacker würden ausschließlich im digitalen Umfeld agieren, liegt falsch. Beim Tailgating täuschen die Angreifer vor, Netzwerktechniker oder Fahrer einer Lieferantenfirma zu sein. So erhalten die “Hacker” auch offline Zugriff auf teilweise sensible Unternehmensbereiche. Das Pretexting als Schritt vor dem Tailgating stützt dabei die Glaubwürdigkeit der Kriminellen bei diesem Vorgehen.

3

Honeypots

In diesem Zusammenhang meinen wir mit Honeypots NICHT den Mechanismus zur Erkennung von Spam-Bots (wird auch so bezeichnet), sondern als wirtschaftlich oder persönlich attraktiv empfundene Personen oder Institutionen. Die Honeypots versuchen dabei, eine persönliche oder wirtschaftliche Beziehung zu initiieren, um die Unternehmer oder Mitarbeiter anschließend mit kompromittierenden Material zu erpressen.

4

Quid pro Quo

Beim Quid pro Quo wäscht eine Hand die andere. Hacker bieten Mitarbeitern oder den Vorgesetzten selbst eine attraktive Leistung an. Dabei kann es sich u.a. um die Hilfestellung bei der Lösung eines (IT-)Problems handeln. Im Gegenzug für diese Leistung möchten Hacker, die sich gerne als Service-Personal ausgeben, eine persönliche oder das Unternehmen betreffende Information erhalten.

5

CEO-Fraud

Der CEO-Betrug wird auch als Chef-Trick bezeichnet. Hier verlangen Hacker sich selber viel Überzeugungskraft ab, denn sie geben sich als Vorgesetzte/r eines Mitarbeiters aus, um diesen zur sofortigen Herausgabe wichtiger Daten zu bewegen. Weil die wenigsten Mitarbeiter/innen dem Chef oder der Chefin diesen Wunsch ausschlagen werden, ist diese Methode so effektiv wie simpel. Durch das sammeln von detaillierten Informationen über das Unternehmen und die Opfer, wird der CEO-Betrug umfassend vorbereitet.

Fazit

Bei den meisten Methoden hat der sog. Social-Engineer (Angreifer) eine/n bestimmte/n Mitarbeiter/in im Visier. Damit etwaige Angriffe frühzeitig erkannt werden und kein Schaden für das Unternehmen entsteht, sollte die Belegschaft umfassend für das Thema sensibilisiert und geschult werden. Auch Empfehlungen hinsichtlich der privaten Nutzung von Social-Media-Kanälen einzelner Mitarbeiter/innen (vor allem bei Behörden) kann Teil der unternehmerischen oder behördlichen IT-Security-Strategie sein.

ansprechpartner pentest
Ihr persönlicher Ansprechpartner:
Henrik van Bergen

Jetzt Rückruf vereinbaren !

  • Spezialisierte Experten
  • Vulnerability Management
  • Unabhängige Pentests
Wir sind Mitglied bei
aaa iteam e1578100554253
allianz fur cyber sicherheit l
kiwiko logo e1578336780701
ITL Logo e1578100416519