Den Begriff Social Engineering haben Sie vermutlich schon einmal gehört. Doch was ist Social Engineering eigentlich? Wer gerade an einen hoch technologisierten Hacker denkt, der mit den komplexesten Schadprogrammen ans Werk geht, sieht hier nur einen Teil des Angriffs - denn dieser startet oftmals viel unscheinbarer.
Unter dem Begriff Social Engineering sammeln sich eine Vielzahl an Methoden, die den Vertrauensaufbau und die darauffolgende Manipulation der Mitarbeiter gemeinsam haben. Mit geschickten Täuschungen & Tricks werden Mitarbeiter überredet
Diese Methoden können digital, telefonisch als auch im persönlichen Austausch angewandt werden. Im folgenden stellen wir Ihnen die häufigsten Arten von Social Engineering vor.
Die am weitesten verbreitete Methode des Social Engineering besteht darin, dass Hacker betrügerische Phishing-E-Mails, Websites und Textnachrichten verwenden, um sensible persönliche oder organisatorische Informationen von ahnungslosen Opfern zu stehlen. Obwohl Phishing-E-Mails sehr bekannt sind, ist es nicht immer ganz einfach diese von „echten“ Nachrichten oder Webseiten zu unterscheiden.
Das Spear-Phishing ist eine Sonderform des Phishing. Hierbei wird ein gezielter Hacking-Angriff auf Ihr Unternehmen durchgeführt, der auf eine gründliche vorangegangene Recherche des Angreifers aufbaut. Über Social Media und anderen öffentlich zugänglichen Informationen werden Phishing-Mails um persönliche Details ergänzt, um diese glaubwürdiger erscheinen zu lassen.
Dem Opfer wird eine Belohnung als Gegenleistung für sensible Informationen in Aussicht gestellt. Der „Köder“ kann digital (bspw. ein kostenloser Download-Link zu einer gratis Software - die leider infiziert ist) oder auch physisch (USB—Stick) sein.
Mit Nachrichten, die Dringlichkeit erzeugen, wird dem Opfer mitgeteilt, dass es sich – ironischerweise – mit Malware infiziert hat und es sich als Schutz vor dieser eine Software installieren soll. Diese Software enthält die Malware und es kommt in Folge zu bspw. Erpressungsversuchen.
Mittels falscher Identität wird versucht vertrauliche Informationen vom Opfer abzugreifen. Diese falsche Identität wird oftmals mit ausgeklügelten Lügen und umfangreichen Szenarien rund um ein Unternehmen beschrieben. Von eigens angelegten E-Mailadressen über Webseiten und Telefonanrufen sind der Kreativität der Social Engineers keine Grenzen gesetzt. Pretexting wird oftmals in Kombination mit anderen Social-Engineering-Methoden verwendet.
Hierbei bittet der Angreifer um einen „Gefallen für einen Gefallen“. Oftmals geben sich Angreifer als technischer Support aus und bieten ihre Hilfe im Akutfall an. Dazu bitten Sie um genaue persönliche Informationen oder Zugangsdaten um das Problem vermeintlich zu lösen.
Beim Tailgaiting findet der Angriff physisch statt: der Social Engineer versucht hierbei beispielswiese in den geschlossenen Bereich eines Unternehmens einzudringen. Oftmals sind diese Angriffe höchst erfolgreich, da aus falsch verstandener Höflichkeit der bspw. "unbekannte Mitarbeiter“ hineingelassen wird.
Mittels Anrufen oder Sprachnachrichten werden Opfer dazu gedrängt persönliche Informationen preiszugeben um sich vor einer Gefahr zu schützen. Social Engineers geben sich hier oft gern als Banken oder Strafverfolgungsbehörden aus.
Als „Water-Holes“ können Webseiten angesehen werden, die von vielen Unternehmen einer Branche aufgesucht werden. Diese werden durch Social Engineers kopiert und mit Malware infiziert um so gezielt eine Branche anzugreifen.
Social Engineering kann viele Erscheinungen haben und ist dadurch oftmals schwer zu erkennen. Die Möglichkeiten der Social Engineers sind unzählig, wodurch auch in Zukunft neue noch unbekannte Methoden auftauchen werden um Informationen von Ihnen oder Ihren Mitarbeitern abzugreifen. Einen proaktiven und bewussten Umgang mit dem Problem Social Engineering können Sie in Ihrem Unternehmen nur durch eine ausgeprägte Cyber Security-Awareness erreichen.
Oftmals wird das mangelnde technische Wissen der Opfer ausgenutzt, um an die gewünschten Informationen zu gelangen. Durch gezielte IT-Security-Schulungen sensibilisieren Sie Ihre Mitarbeiter und vermitteln Ihnen Wissen über die Methoden des Social Engineerings.
Darüber hinaus bieten auch technische Lösungen eine massive Unterstützung, um den Druck auf Ihre Mitarbeiter zu verringern. Mit unseren IT-Security Lösungen wie E-Mail Fraud Protection, E-Mail Total Protection oder unserem modernen EDR-Antivirus können bereits viele Social-Engineering-Versuche im Vorhinein abgegriffen werden. Mit HXS MSSP bieten wir Ihnen diese technischen Lösungen als Managed Service an.
Bild: Image by storyset (on Freepik)
Wie Sie mit Netzwerksegmentierung Ihr Unternehmensnetzwerk besser vor Cyber-Angriffen schützen können. ➤ Jetzt zum Lunch & Learn anmelden!...
Mehr erfahren
Optimale IT-Lösungen sind unser Business – von der durchdachten Planung sämtlicher IT-Themen bis zum laufenden Betrieb, mit höchster Expertenkompetenz, schnellen Reaktionszeiten beim IT Support und ständiger persönlicher Erreichbarkeit.
