Der Begriff Social Engineering oder auch Social Hacking wird im Bereich der Informationssicherheit verwendet, um eine Vielzahl von Methoden und Techniken zu beschreiben, die von Kriminellen dazu verwendet werden, um ihre Opfer mit psychologischen Tricks zu manipulieren.
Stellen Sie sich vor, es wäre ein ganz normaler Arbeitstag. Sie kommen gut gelaunt ins Büro, starten den Computer und öffnen Ihr E-Mail-Postfach. Doch huch, was ist das? Ihr Chef hat Ihnen eine E-Mail geschrieben in der steht, dass er krankheitsbedingt ausfällt. Er bittet Sie darum, die Akten der aktuellen Projekte einzuscannen und ihm diese zukommen zu lassen. „Komisch“ denken Sie sich, wieso braucht er die Akten, wenn er doch krank ist? Da es sich hierbei jedoch um Ihren Vorgesetzten handelt, fragen Sie nicht weiter nach und befolgen seine Anweisungen. Eine halbe Stunde später kommt Ihr Chef zur Tür herein. Er sieht weder krank aus, noch scheint es ihm schlecht zu gehen. Nach einem kurzen Gespräch kommt heraus, dass er Ihnen überhaupt keine E-Mail geschrieben hat.
Doch woher stammte die vermeintliche Nachricht dann und wer hat nun Zugriff auf die sehr sensiblen Daten?
Wenn Sie so etwas in der Art schon einmal erlebt haben, sind Sie Opfer eines sogenannten „Social Engineering“-Angriffs geworden. Social Engineering tritt in den unterschiedlichsten Formen auf. Um etwas Licht ins Dunkle zu bringen, führen wir Sie deshalb in den nachfolgenden Abschnitten an die Begrifflichkeiten heran, erklären Ihnen die gängigsten Arten von Social Engineering und zeigen Ihnen, wie Sie sich davor schützen können.
Bitte beachten Sie bei den nachfolgenden Abschnitten, dass für die Kriminellen nicht vorrangig ist, ob es sich um Unternehmen, Organisationen oder Praxen handelt. Solange Sie mit sensible Daten und Informationen arbeiten, sind Sie ein potenzielles Ziel.
Social Engineering – Was ist das eigentlich?
Der Begriff Social Engineering oder auch Social Hacking wird im Bereich der Informationssicherheit verwendet, um eine Vielzahl von Methoden und Techniken zu beschreiben, die von Kriminellen dazu verwendet werden, um ihre Opfer mit psychologischen Tricks zu manipulieren.
Anders gesagt: Cyber-Kriminelle haben die Beeinflussbarkeit des Menschen erkannt und versuchen diese Sicherheitslücke nun für ihre eigenen Zwecke zu instrumentalisieren. Mit Hilfe von ausgefeilten Tricks schaffen es die Hacker, ihre Opfer so zu manipulieren, dass sie Dinge tun, die sie sonst nie gemacht hätten oder vertrauliche Informationen preisgeben, die sie normalerweise für sich behalten würden. Insbesondere sensible und geheime Daten, wie Kreditkarteninformationen oder Firmengeheimnisse, sind an dieser Stelle interessant für die Angreifer.
Darüber hinaus macht die steigende Anzahl von E-Mails, das Wachstum der Sozialen Netzwerke und anderen Formen elektronischer Kommunikation einen Social Engineering Angriff immer attraktiver. Cyber-Kriminelle verwenden nicht viel Zeit darauf, die Systeme einer Organisation mit hoch komplexen Technologie-Hacks auszuhebeln, wenn sie sich bewusst darüber sind, dass sie es mit Social Hacking wesentlich einfacher haben können. Das schwächste Glied in der Sicherheitskette einer Organisation ist deshalb meist nicht in der Technologie zu finden, sondern im Menschen.
„Eine Firma kann Hunderttausende Dollar in Firewalls, Verschlüsselung und andere Sicherheitstechnologien stecken. Doch wenn ein Angreifer eine eigentlich vertrauenswürdige Person anrufen kann, diese sich hereinlegen lässt und der Angreifer somit in das Netzwerk der Firma gelangen kann, dann ist das ganze Geld umsonst ausgegeben worden.“
Kevin Mitnick, IT-Security Experte & ehem. Hacker
90% aller Hacking-Angriffe beginnen mit Social Engineering
Die oben genannten Erkenntnisse spiegeln sich auch in den aktuellen Zahlen einiger groß angelegter Studien wieder. Knapp 90 Prozent aller Hacking-Angriffe beginnen mit einer Phishing E-Mail, eine der bekanntesten Formen des Social Engineering. Um sich geeignet vor der Manipulation der Kriminellen schützen zu können, sollten Sie die wichtigsten Formen des Social Hackings kennen.
Die wichtigsten Formen von Social Hacking
Phishing
Beim Phishing handelt es sich um das massenhafte Verschicken von E-Mails. Diese geben vor, von realen Dienstleistern und Webshops wie Amazon oder PayPal zu sein und sehen womöglich vollkommen seriös aus. In diesen Nachrichten versuchen die Kriminellen, Sie davon zu überzeugen, Ihre Daten, Kontoinformationen oder Passwörter weiterzugeben. Darüber hinaus werden Sie häufig dazu aufgefordert auf einen Link zu klicken, der es den Angreifern erlaubt Ihr gesamtes Netzwerk mit einem Schadcode zu infizieren.
Spear-Phishing
Spear-Phishing ist eine spezifische Form des Phishings, bei der die Angreifer auf bestimmte Personen, Organisationen oder Unternehmen abzielen. Hierbei werden die Opfer zum Teil über Wochen oder Monate zielgerichtet ausspioniert. Während dieser Zeit werden Gewohnheiten, Alltagsroutinen und Präferenzen in Erfahrung gebracht. Dazu nutzen die Hacker alle öffentlich verfügbaren Informationen aus den sozialen Medien und von Unternehmensseiten. Die daraus resultierenden Spear-Phishing E-Mails sind häufig so täuschend echt, dass knapp 30 Prozent der Betroffenen darauf hereinfallen.
Der im ersten Abschnitt geschilderte Fall ist als Spear-Phishing Angriff zu werten und häufig auch als CEO-Fraud bekannt. Diese Phishing-Masche kann auch als Anruf oder SMS erfolgen und wird dann „Vishing (Voice-Fishing) bzw. Smishing (SMS-Fishing) genannt.
Baiting
Beim Baiting (zu Deutsch: ködern) machen sich die Angreifer die menschliche Eigenschaft der Neugierde zunutze. Wie der Name schon verrät, beinhaltet diese Social Engineering Methode einen Köder, welcher sowohl digitaler, als auch physischer Natur sein kann. Einer der beliebtesten Köder ist häufig ein scheinbar zufällig vor dem Bürogebäude verlorener USB-Stick, der mit „wichtig“ oder „vertraulich“ gekennzeichnet ist. Anstelle von echten Informationen verbirgt sich auf diesem Datenträger allerdings eine Schadsoftware, die sich nach dem Einstecken in den Computer automatisch im Netzwerk der Organisation ausbreiten kann.
Tailgating
Tailgating ist eine physische Form des Social Engineerings, bei der sich der Kriminelle unerlaubt Zutritt zu einem Gebäude verschafft. Hierbei folgt der Angreifer einem Mitarbeitenden der Organisation und bringt diesen dazu, ihn auch in das Gebäude oder auf das Gelände zu lassen. Der Hacker gibt dabei vor, dass er in seiner Tasche nach dem Schlüssel oder der Zugangskarte sucht oder gerade die Hände voll hat und deshalb nicht an seine Zutrittsberechtigung kommt.
Quid pro quo
Die Angriffsmethode Quid pro quo basiert auf dem Prinzip „eine Hand wäscht die andere“. Die Angreifer behaupten hierbei gegenüber Ihren Opfern, dass sie deren Unterstützung benötigen, um eine bestimmte Leistung zu erbringen. Häufig geben sich die Hacker als Mitarbeitende der IT-Abteilung aus und drängen darauf, ein neues Sicherheitsupdate einspielen zu müssen. Um die Installation durchführen zu können, würden jedoch die Zugangsdaten benötigt werden. Sind diese erst einmal ausgetauscht, wird anstelle der neusten Sicherheitsfeatures ein Schadcode platziert.
Wie kann ich mich vor Social Engineering schützen?
Bei allen oben genannten Methoden machen sich die Kriminellen menschliche Eigenschaften wie Vertrauen, Neugierde, Hilfsbereitschaft, Respekt, Angst oder Gier zu nutze. Sobald Sie dies verinnerlicht haben, sind Sie den Hackern einen Schritt voraus. Bleiben Sie jedoch bei jeglichen Kontakten im Internet wachsam, schenken Sie unbekannten Personen nicht zu schnell Ihr Vertrauen und schalten Sie unbedingt Ihren gesunden Menschenverstand ein.
Der unerwartete Gewinn eines entfernten Verwandten, die ungewöhnliche Zahlungsaufforderung Ihres Vorgesetzten oder das komische Dokument Ihres Geschäftspartners – all dies sollte Ihnen verdächtig vorkommen und Sie zur Vorsicht ermahnen. Damit Sie allerdings zukünftig noch besser gewappnet sind, haben wir hier die wichtigsten Tipps im Kampf gegen Hacker für Sie zusammengetragen.
Gemeinsam sagen wir den Kriminellen den Kampf an
Zusammen mit der Hamburger Sparkasse gegen Cyber-Kriminalität. In Kürze werden hierzu ein Online-Seminar anbieten, welches sich Rund um das Thema IT-Security dreht.