GlobalSign Blog

13 Sep 2018

Was ist Social Engineering?

Die Gefahr durch Social Engineering scheint sowohl für Verbraucher als auch für Unternehmen auf dem Vormarsch zu sein.
Moment mal, Social Engineering? Social Engineering ... ist das nicht so etwas wie Stadtplanung ... oder ist es eher so was wie Verhaltensänderung? Nein, in beiderlei Hinsicht.

Erinnern Sie sich an den Filmklassiker "Der Clou"? In dem Film sind unsere Helden tatsächlich "Trickbetrüger", auch Schwindler genannt, die eine große Nummer planen, um einen bekannten Mafiaboss um eine halbe Million Dollar zu betrügen (hey, wenn man 1936 500.000 Dollar hatte, war das wie heute 9 Millionen $ zu besitzen). Sie stellen ein aufwendiges Set-up auf die Beine, bei dem sie grundlegende Informationen verwenden, die sie bereits über den Mafiaboss oder die "Zielscheibe" (perfekt gespielt von Schauspieler Robert Shaw) kennen und arrangieren einige "zufällige" Meetings und Gaunereien, um mehr Vertrauen und Informationen zu gewinnen, mit denen sie das Vertrauen der Zielscheibe in sie festigen können. Der Schwindel wird so lange durchgespielt, bis es Zeit ist, die Falle zuschnappen zu lassen, die ihnen den großen Gewinn sichert (FYI: Dieser Link ist ein Spoiler ... und wenn Sie diesen Streifen von 1973 nicht gesehen haben, klicken Sie darauf).

Das ist so ziemlich genau das, was Social Engineering ist: ein Spiel mit dem Vertrauen der Menschen. Anwender von Social-Engineering-Taktiken sind Hacker, die Phishing-ähnliche Betrügereien durchführen, um genug persönliche Informationen durch vertrauensbildende Fragen und Austausch zu gewinnen. Dieses höfliche Geplänkel und die "soziale" Interaktion über Handy, E-Mail und Online-Communities wie Facebook geben und nutzen scheinbar harmlose Informationen. Aber in Wirklichkeit überreichen sie die Schlüssel zum Himmelreich. In den meisten Fällen öffnen erfolgreiche Social-Engineering-Betrügereien die Türen zu Geld, Privatsphäre und Geheimnissen. Manche würden sagen, das Dreigespann der Laster, das den Betrugssumpf am Grund unserer Online-Gesellschaft zeugt.

Kosten von Betrügereien durch Social Engineering

Natürlich haben diese Social Engineers über die Jahre hart daran gearbeitet, ihr Handwerk zu perfektionieren, um selbst die neuesten Online-Schwachstellen und Krypto-Richtlinien auszunutzen. Das FBI gab gegenüber dem American Banking Journal an, dass allein in den USA die kumulierten Kosten durch Social-Engineering-Hacks die Unternehmen seit 2013 1,6 Milliarden Dollar gekostet haben. Und laut dem Bericht "2017 Cost of Cyber Crime Study" des Ponemon Institute und Accenture, entspricht dies einer durchschnittlichen Kostensteigerung um 62 Prozent. Einige andere Fakten aus dem Bericht:

  • Unternehmen zahlen jährlich durchschnittlich 11,7 Millionen $ für die Bewältigung von Cyberkriminalität (23 % mehr als im Vorjahr);
  • Unternehmen haben es im Durchschnitt mit 130 erfolgreichen Sicherheitsverletzungen pro Jahr zu tun (ein Anstieg von 27 % gegenüber dem Vorjahr).

In seinem Artikel von 2017 Peerlyst Blogpost"The Money in Social Engineering - A Trillion Dollar Industry (Das Geld im Social Engineering - Eine Billionen Dollar Industrie)", sagt Tony Reijm, dass die Kosten von Cyber-Vorfällen im Jahr 2019 auf 2 Billionen Dollar geschätzt werden und ein größerer Cyber-Vorfall einer Naturkatastrophe gleichkommen könnte (53 Milliarden Dollar).

Er stellt dann die entscheidende Frage: "Was haben all diese Statistiken zu Cyber-Vorfällen mit Social Engineering zu tun? Von diesen enormen Verlusten sind über 90 Prozent auf das menschliche Element zurückzuführen."

Verschiedene Arten von Social Engineering und worauf Sie achten sollten

Laut Interpol können Social-Engineering-Betrügereien in zwei Hauptkategorien unterteilt werden:

  • Massenbetrügereien - die Grundtechniken verwenden, die auf eine große Anzahl von Personen abzielen; und
  • Gezielte Betrügereien - die ausgeklügelter sind und auf sehr spezifische Personen oder Unternehmen abzielen.

Interpol verrät uns auch, dass die meisten Social-Engineering-Hacks nach den gleichen vier Schritten ablaufen:

  • Sammeln von Informationen.
  • Aufbauen einer Beziehung.
  • Ausnutzen identifizierter Schwachstellen.
  • Ausführung.

Nate Lord, der ehemalige Redakteur von Data Insider, listet in seinem Artikel "What ist Social Engineering:DEFINING AND AVOIDING COMMON SOCIAL ENGINEERING THREATS (DEFINIEREN UND VERMEIDEN HÄUFIGER SOCIAL ENGINEERING-BEDROHUNGEN)", die Grundlagen für das Erkennen und die Schulung anderer über die einfachsten Formen von Social-Engineering-Angriffen:

  • Baiting (Ködern) - Angreifer hinterlassen ein mit Malware infiziertes Gerät, wie z. B. einen USB-Stick oder eine CD, an einem Ort, an dem es wahrscheinlich von jemandem gefunden wird. Laden Sie niemals etwas von einem gefundenen Gerät, egal wie verlockend es ist.
  • Phishing - Phishing lockt Sie an, wenn ein Angreifer betrügerische Mitteilungen schickt, die sich als seriös tarnen und oft von einer vertrauenswürdigen Quelle zu stammen behaupten oder scheinen. Bei einem Phishing-Angriff wird der Empfänger dazu verleitet, Malware auf seinem Gerät zu installieren oder persönliche, finanzielle oder geschäftliche Informationen weiterzugeben. E-Mail ist das beliebteste Kommunikationsmittel für Phishing-Angriffe. Aber Phishing kann auch Chat-Anwendungen, soziale Medien, Telefonanrufe oder gefälschte Websites verwenden, die seriös aussehen. Einige der schlimmsten Phishing-Angriffe starten Spendenaufrufe nach Naturkatastrophen oder Tragödien. Sie nutzen den guten Willen der Menschen aus und fordern sie auf, für eine Sache zu spenden, und persönliche oder Zahlungsinformationen einzugeben. Lesen Sie dazu GlobalSigns Blog zu Phishing-Techniken.
  • Pretexting (Schaffen eines Vorwands) - Pretexting und Phishing per Telefon oder E-Mail sind sehr ähnlich und liegen vor, wenn ein Angreifer einen guten Vorwand schafft, um ein Opfer dazu zu bringen, Zugang zu sensiblen Daten oder geschützten Systemen zu gewähren. Beispiele für Pretexting-Angriffe sind z. B. ein Betrüger, der vorgibt, Finanzdaten zu benötigen, um die Identität des Empfängers zu bestätigen, oder der sich als vertrauenswürdige Stelle, wie ein Mitglied der IT-Abteilung des Unternehmens, ausgibt, um das Opfer dazu zu bringen, Anmeldeinformationen preiszugeben oder Computerzugriff zu gewähren. Im Gegensatz zu Phishing-E-Mails, die Angst und Dringlichkeit zu ihrem Vorteil nutzen, beruhen Pretexting-Angriffe darauf, ein falsches Gefühl des Vertrauens beim Opfer aufzubauen. Dazu muss der Angreifer eine glaubwürdige Geschichte erfinden, die bei seiner Zielperson wenig Zweifel aufkommen lässt.
  • Quid pro Quo - Es handelt sich um einen Quid pro Quo-Angriff, wenn Angreifer private Informationen von jemandem im Austausch gegen etwas Wünschenswertes oder eine Entschädigung erbitten. Zum Beispiel bittet ein Angreifer um Anmeldedaten im Tausch für ein kostenloses Geschenk. Denken Sie daran, wenn es zu gut klingt, um wahr zu sein, ist es das auch wahrscheinlich.
  • Spear Phishing - Spear Phishing ist eine sehr gezielte Phishing-Attacke, die sich auf eine bestimmte Person oder Organisation konzentriert. Spear Phishing-Angriffe verwenden persönliche Informationen, die spezifisch für den Empfänger sind, um Vertrauen zu gewinnen und seriöser zu erscheinen. Oft werden diese Informationen den Social-Media-Accounts von Opfern oder anderen Online-Aktivitäten entnommen. Durch die Personalisierung ihrer Phishing-Taktiken haben Spear Phisher höhere Erfolgsquoten dabei, ihre Opfer durch einen Trick dazu zu bringen, Zugang zu gewähren oder sensible Informationen preiszugeben, wie etwa Finanzdaten oder Geschäftsgeheimnisse.
  • Tailgating - Tailgating ist eine physische Social-Engineering-Technik, bei der nicht autorisierte Personen autorisierten Personen an einen ansonsten sicheren Ort folgen. Ziel des Tailgatings ist es, wertvolles Eigentum oder vertrauliche Informationen zu erhalten. Es könnte sich um Tailgating handeln, wenn jemand Sie bittet, die Tür offen zu halten, weil er seine Zugangskarte vergessen hat oder wenn er darum bittet, ihm Ihr Handy oder Ihren Laptop zu leihen, um eine einfache Aufgabe zu erledigen, und er stattdessen Malware installiert oder Daten stiehlt.

Wie Lord schließt, "ist Social Engineering eine ernsthafte und anhaltende Bedrohung für viele Unternehmen und einzelne Verbraucher, die diesen Schwindeln zum Opfer fallen. Schulungen sind der erste Schritt, um zu verhindern, dass Ihr Unternehmen Opfer von cleveren Angreifern wird, die immer ausgefeiltere Social-Engineering-Methoden einsetzen, um Zugang zu sensiblen Daten zu erhalten."

Ein aktueller Post von FoolsRushIn.info führt uns durch einen typischen Social-Engineering-Hack, bei dem die Betrüger durch Pretexting- und Spear-Phishing-Techniken auf das IT-System eines Mitarbeiters zugreifen konnten - definitiv lesenswert, da es mit einer Aussage der IBM-Leute endet:

„Was faszinierend - und entmutigend - ist, dass bei über 95 Prozent aller untersuchten Vorfälle "menschliches Versagen“ dazu beigetragen hat. Die häufigsten Formen menschlichen Versagens sind hier Systemfehlkonfigurationen, schlechte Patchverwaltung, Verwendung von Standardbenutzernamen und -passwörtern oder einfach zu erratende Passwörter, verloren gegangene Laptops oder Mobilgeräte sowie die Preisgabe vorgeschriebener Informationen durch Verwendung einer falschen E-Mail-Adresse. Das mit Abstand häufigste menschliche Versagen? Ein ‚Doppelklick' auf einen infizierten Anhang oder eine unsichere URL."

Verbraucher sind auch Opfer von Social Engineering

Der Norton Cyber Security Insights Report, eine Online-Umfrage unter 21.549 Personen ab 18 Jahren in 20 Märkten, gab Aufschluss über die Auswirkungen und die Anfälligkeit für Social Engineering bei normalen Verbrauchern:

„Wenn es um Cybersicherheit geht, vertrauen Verbraucher allzu sehr auf ihre Sicherheitkompetenz. Dies macht sie angreifbar und ermöglichte Cyberkriminellen dieses Jahr, den Einsatz zu erhöhen, was zu Rekordattacken geführt hat."

Einige Statistiken aus dem Bericht:

  • 978 Millionen Personen in 20 Ländern waren 2017 von Cyberkriminalität betroffen.
  • 44 Prozent der Verbraucher waren in den letzten 12 Monaten von Cyberkriminalität betroffen.
  • Zu den häufigsten Cyberverbrechen, die Verbraucher oder Bekannte von ihnen erlitten, gehören:
  • Sie haben ein Gerät, das mit einem Virus oder einer anderen Sicherheitsbedrohung infiziert ist (53 Prozent)
  • Sie erlitten einen Debit- oder Kreditkartenbetrug (38 Prozent);
  • Ein Kontopasswort wurde kompromittiert (34 Prozent);
  • Sie erlitten unbefugten Zugriff auf oder Hacking einer E-Mail oder eines Social-Media-Accounts (34 Prozent);
  • Sie tätigten einen Online-Kauf, der sich als Betrug herausstellte (33 Prozent); und
  • Sie klickten auf eine betrügerische E-Mail oder gaben sensible (persönliche/finanzielle) Informationen als Antwort auf eine betrügerische E-Mail weiter (32 Prozent).

Der Bericht fasst zusammen: "Im Ergebnis verloren Verbraucher, die Opfer von Cyberkriminalität geworden waren, weltweit 172 Milliarden $ - durchschnittlich 142 $ pro Opfer - und fast 24 Stunden weltweit (oder fast drei volle Arbeitstage) durch die Beseitigung der Folgen." Sie werden feststellen, dass die letzten drei hervorgehobenen Halbwahrheiten eine Form von Social Engineering sind.

Das United States Computer Emergency Readiness Team (ja, es gibt eines!) hat das, was sie als sichere Praktiken für Verbraucher und Unternehmen betrachten, vor Kurzem überarbeitet und herausgestellt.

  • Seien Sie gegenüber unerwünschten Telefonanrufen, Besuchen oder E-Mail-Nachrichten von Personen, die nach Mitarbeitern oder anderen internen Informationen fragen, misstrauisch. Wenn eine unbekannte Person behauptet, von einem seriösen Unternehmen zu sein, versuchen Sie, seine oder ihre Identität direkt von der Firma verifizieren zu lassen.
  • Geben Sie keine persönlichen Informationen oder Informationen über Ihr Unternehmen weiter, wie z. B. seine Struktur oder Netzwerke, solange Sie nicht sicher sind, dass eine Person befugt ist, die Informationen zu erhalten.
  • Geben Sie keine persönlichen oder finanziellen Informationen in E-Mails preis, und antworten Sie nicht auf dringende Bitten um diese Informationen per E-Mail. Dies schließt auch das Klicken auf Links ein, die in einer E-Mail gesendet wurden.
  • Senden Sie keine vertraulichen Informationen über das Internet, bevor Sie die Sicherheit einer Website überprüft haben. Siehe: Protecting Your Privacy für weitere Informationen.
  • Achten Sie auf die URL einer Website. Schädliche Websites können genauso wie eine seriöse Website aussehen. Aber die URL verwendet möglicherweise eine abweichende Schreibweise oder eine andere Domain (z. B. .com statt .net).
  • Wenn Sie sich nicht sicher sind, ob eine E-Mail-Anfrage seriös ist, versuchen Sie, dies zu verifizieren, indem Sie sich direkt an das Unternehmen wenden. Verwenden Sie keine Kontaktinformationen, die auf einer mit der Anfrage verbundenen Website bereitgestellt werden. Überprüfen Sie stattdessen frühere Angaben auf Kontaktinformationen. Informationen zu bekannten Phishing-Angriffen sind auch online bei Gruppen wie der Anti Phishing Working Group erhältlich.
  • Installieren und pflegen Sie Antivirensoftware, Firewalls und E-Mail-Filter, um einen Teil dieses Datenverkehrs zu reduzieren.
  • Nutzen Sie alle Anti-Phishing-Funktionen Ihres E-Mail-Clients und Webbrowsers.

CERT Warnung: Was sollten Sie tun, wenn Sie meinen, ein Opfer zu sein?

  • Wenn Sie glauben, dass Sie sensible Daten über Ihr Unternehmen preisgegeben haben, melden Sie dies den zuständigen Mitarbeitern im Unternehmen, wie z. B. Netzwerkadministratoren. Sie können in Alarmbereitschaft für alle verdächtigen oder ungewöhnlichen Aktivitäten sein.
  • Wenn Sie der Ansicht sind, dass Ihre Finanzkonten kompromittiert worden sein könnten, wenden Sie sich unverzüglich an Ihr Finanzinstitut und schließen Sie alle Konten, die möglicherweise kompromittiert worden sein könnten. Achten Sie auf unerklärliche Abbuchungen auf Ihrem Konto.
  • Ändern Sie sofort alle Passwörter, die Sie möglicherweise preisgegeben haben. Wenn Sie dasselbe Passwort für mehrere Ressourcen verwendet haben, müssen Sie es für jedes Konto ändern und verwenden Sie dieses Passwort zukünftig nicht mehr.
  • Achten Sie auf andere Anzeichen von Identitätsdiebstahl.
  • Überlegen Sie, den Angriff der Polizei zu melden und Anzeige bei der Federal Trade Commission zu erstatten.

Letztendlich sind wir alle nur Menschen. Wir sind fehlbar. Wir sind von Natur aus vertrauensvoll und wohlwollend (jedenfalls die meisten von uns). Und im Grunde genommen sind wir alle letztendlich potenzielle Zielscheiben für einen Betrug. Aber wir sollten alle zumindest darauf vorbereitet sein, zu wissen, was auf uns zukommt. Lesen Sie zur Vertiefung diese anderen, aus den jüngsten Schlagzeilen entnommenen, Links mit mehr Informationen zu den Angriffstypen, auf die Sie achten sollten, und wie Unternehmen und Verbraucher sicher bleiben.

Artikel teilen