Unter Social Engineering versteht man die Art und Weise, wie Opfer dazu manipuliert werden, Informationen weiterzugeben, Malware herunterzuladen und Geld an Kriminelle weiterzuleiten. Im Gegensatz zu bösartigen Softwarepaketen kann das menschliche Gehirn nicht gepatcht werden – grundsätzlich ist jeder gleichermaßen anfällig für Social Engineering. Und obwohl sich die öffentliche Wahrnehmung von Social Engineering seit den Tagen des Betrugs mit dem nigerianischen Prinzen kaum weiterentwickelt hat, konnten Angreifer von der enormen Zahl an Datenschutzverletzungen profitieren, um einige der bislang schändlichsten und manipulativsten Techniken einem Stresstest zu unterziehen.
Wie funktioniert Social Engineering?
Je nach Vorgehensweise des Angreifers kann Social Engineering unterschiedliche Formen annehmen. Bei Angriffen auf Organisationen ist es am lukrativsten, sich als vertrauenswürdige Marke oder Partner auszugeben. Im Jahr 2019 haben Cyberkriminelle KI-basierte Software erbeutet, um die Stimme eines Vorstandsvorsitzenden nachzuahmen.
Der CEO eines in Großbritannien ansässigen Energiekonzerns erhielt einen Anruf von seinem Chef – so dachte er zumindest – mit der Bitte, dringend einen Betrag von zu überweisen € 220,000 ($ 243,000) an einen ungarischen Lieferanten übergeben. Obwohl dies ein seltener Fall von Angreifern ist, die KI nutzen, sind sich die meisten Social Engineers immer noch der Macht bewusst, die es mit sich bringt, sich als vertrauenswürdige Organisation auszugeben. In die gleiche Richtung gehen Angriffe, die darauf abzielen, Regierungs- und Autoritätspersonen nachzuahmen. Das Vertrauen, das Regierungsinstitutionen entgegengebracht wird, stellt für Angreifer eine fruchtbare Gelegenheit zum Missbrauch dar: Sich als IRS auszugeben, kann Social-Engineering-Angriffen auch einen zeitlich begrenzten oder strafenden Vorteil verschaffen und Opfer dazu drängen, unüberlegt zu handeln.
Social-Engineering-Methoden greifen hauptsächlich zwei Gruppen von Emotionen an. Das erste bringt Angst und Dringlichkeit mit sich. Im Laufe der jahrzehntelangen Entwicklung haben Cyberkriminelle ihre angstauslösenden Techniken immer weiter verfeinert. Eine unerwartete E-Mail, in der es beispielsweise heißt, dass eine kürzlich erfolgte Kreditkartentransaktion nicht genehmigt wurde, setzt das Gehirn einer höheren Belastung aus, da das Opfer davon ausgeht, dass seine Karte betrügerisch verwendet wurde. Diese Panik führt dazu, dass sie auf den zugehörigen Link klicken, ihre Anmeldedaten auf der überzeugenden Bank-Anmeldeseite eingeben, nur um dann auf eine legitime Seite weitergeleitet zu werden. Nichtsdestotrotz hat das Opfer gerade seine Bankdaten an Betrüger weitergegeben. Auch wenn es für Angreifer profitabel ist, sind die Finanzen nicht die einzige Möglichkeit, Panik auszulösen: Kleine Website- und Unternehmensinhaber erhalten möglicherweise eine Nachricht, in der fälschlicherweise behauptet wird, ein Bild auf ihrer Website verstoße gegen das Urheberrecht, was dazu führt, dass sie persönliche Daten – oder sogar Geld in der Form – preisgeben einer Geldstrafe. Einige dringliche Angriffe nutzen sogar die Fassade zeitlich begrenzter Angebote, um die Opfer unter Druck zu setzen, so schnell wie möglich zu klicken.
Die andere Form des Social-Engineering-Angriffs appelliert an die Gier; Der Angriff auf den nigerianischen Prinzen ist das traditionelle Beispiel dafür. Dabei erhält das Opfer eine E-Mail von einer Person, die behauptet, ein flüchtendes Mitglied einer nigerianischen Königsfamilie zu sein. Der Absender benötigt das Bankkonto einer anderen Person, um seine Millionen zu überweisen, benötigt aber zunächst die Bankdaten seines Opfers. Das Opfer, das die zu hinterlegenden Millionenbeträge nutzen möchte, kann dazu überredet werden, eine relativ geringe Vorschussgebühr oder seine Daten zu übermitteln. In der Cybercrime-Branche ist dieser Angriff uralt – brachte 2018 aber immer noch Hunderttausende Dollar ein.
Arten von Social-Engineering-Angriffen
Social Engineering umfasst ein breites Spektrum an Angriffsmustern, von denen jedes seinen eigenen Ansatz zur Manipulation von Opfern verfolgt.
Phishing-Angriffe
Phishing ist eine der berüchtigtsten Arten von Social-Engineering-Angriffen. Bei diesen Angriffen erhält ein Opfer Nachrichten, die darauf abzielen, es dazu zu manipulieren, vertrauliche Informationen weiterzugeben oder schädliche Dateien herunterzuladen. Betrüger erkennen, dass der Posteingang der am stärksten gefährdete Bereich jeder Organisation ist, und Nachrichten werden mit zunehmender Legitimität erstellt, indem sie bekannte Organisationen, Freunde des Empfängers oder glaubwürdige Kunden nachahmen.
Es gibt fünf Hauptformen von Phishing-Angriffen; Die gefährlichste davon ist die Spear-Phishing-Technik. Diese Taktik zielt auf eine bestimmte Person ab – in der Regel auf eine Person, der privilegierter Zugriff auf vertrauliche Informationen und Netzwerke gewährt wird. Der Angreifer führt eine langwierige Untersuchung der Zielperson durch und nutzt häufig soziale Medien, um deren Verhalten und Bewegungen zu verfolgen. Das Ziel besteht darin, eine Nachricht zu erstellen, die glaubwürdig von jemandem gesendet wurde, den die Zielperson kennt und der sie vertraut – oder die auf Situationen verweist, mit denen die Zielperson vertraut ist. Unter Walfang versteht man, dass dieser Prozess gegen hochrangige Personen wie CEOs ausgenutzt wird. Spear-Phishing kann mit Business Email Compromise (BEC) nahezu unfehlbar verstärkt werden – so können bösartige E-Mails vom echten E-Mail-Konto der Autoritätsperson gesendet werden.
Die nächsten beiden Arten von Phishing beziehen sich auf das Medium, über das das Opfer kontaktiert wurde. Während Phishing im Allgemeinen an E-Mails erinnert, Angreifer sind mehr als bereit, jede Form des potenziellen Kontakts mit Opfern auszunutzen. Dazu kann Vishing gehören – wie etwa die bereits erwähnte CEO-Stimme-Dupe – und die Einbeziehung einer (scheinbaren) Person am anderen Ende der Leitung kann den Opfern zusätzlich ein Gefühl der Dringlichkeit vermitteln.
IBM hat Daten veröffentlicht Das zeigte, dass die Einbeziehung von Vishing in eine Kampagne deren Erfolgschancen um bis zu 300 % erhöhte. Beim Smishing hingegen nutzen Angreifer Textnachrichten, um das gleiche Ziel zu erreichen. Die Art und Weise, wie diese verschiedenen Nachrichten und E-Mails ihre Opfer erreichen, ist so vielfältig wie die Angreifer selbst: Die grundlegendste Form davon ist Massen-Phishing. Sehr ähnliche E-Mails – meist nach einer Vorlage – werden gleichzeitig an Millionen von Empfängern gesendet. Massenangreifer wissen, dass Phishing lediglich ein Spiel mit Zahlen ist – senden Sie sie an genügend Leute, und irgendwann wird jemand zum Opfer fallen. Diese E-Mails sind so allgemein wie möglich und scheinen von globalen Banken und großen Online-Unternehmen zu stammen. Häufige Themen sind gefälschte E-Mails zum Zurücksetzen des Passworts und Anfragen nach Aktualisierungen der Kreditwürdigkeit. Suchmaschinen-Phishing hingegen versucht, „organische“ Opfer zu generieren; Angreifer erstellen bösartige Websites, die dann in den Google-Suchergebnissen einen so hohen Rang einnehmen, dass Opfer davon ausgehen, dass sie legitim sind. Auf Social-Media-Plattformen machen sich Angler-Phisher Opfer zunutze, indem sie sich als offizielle Accounts vertrauenswürdiger Unternehmen ausgeben. Wenn ein Kunde Kontakt mit ihnen aufnimmt, nutzen diese gefälschten Konten ihre Anfragen und Bedenken aus, um ihre persönlichen Daten und Kreditkartendaten zu sammeln.
Hetze-Angriffe
Während Phishing oft auf Taktiken mit hoher Dringlichkeit beruht, locken Köderangriffe die Opfer dazu, gegen ihre besten Interessen zu handeln. Im Jahr 2020 das FBI gab eine Warnung aus an in den USA ansässige Organisationen; Es wurde festgestellt, dass die berüchtigte Cyberkriminalitätsgruppe FIN7 bösartige USB-Laufwerke verwendet hatte, um Ransomware an mehrere Organisationen zu verteilen. Diese USB-Sticks wurden als PR- und Sicherheitsmitteilungspakete verschickt; Bei einem beschlagnahmten Paket wurde eine Nachahmung des US-Gesundheitsministeriums unter Verweis auf die Covid-19-Richtlinien festgestellt, bei einem anderen versuchte es, ein Amazon-Geschenkpaket zu imitieren, das eine gefälschte Geschenkkarte und den bösartigen USB-Stick enthielt.
Tailgating-Angriffe
Tailgating oder Huckepack geht auf Ideen zur physischen Perimetersicherheit zurück. Hierbei verfolgt ein Angreifer eine legitime und autorisierte Person genau in den Bereich, in dem sich wertvolle Vermögenswerte befinden. Digitales Tailgating ist eine der einfachsten Formen von Cyber-Angriffen und beruht in hohem Maße auf der Unachtsamkeit der Mitarbeiter. Das kann so aussehen, als würde ein Mitarbeiter sein Gerät unbeaufsichtigt lassen, während er in der örtlichen Bibliothek auf die Toilette geht – das ist zu Recht so Das FBI hat Ross Ulbricht zur Strecke gebracht, dem Besitzer der Drogenverkaufs-Website Silk Road, im Jahr 2013.
Vortäuschungsangriffe
Bei Vorwandangriffen schafft der Angreifer für das Opfer eine glaubwürdige, aber vorgetäuschte Situation. Sobald sie sich der Lüge verschrieben haben, werden die Opfer viel manipulierbarer. Beispielsweise geht es bei vielen Vortäuschungsangriffen darum, dass das Opfer von einer Sicherheitsverletzung betroffen ist und dann angeboten wird, das Problem zu beheben, indem entweder der „IT-Support“ die Fernkontrolle über das Gerät des Opfers übernimmt oder indem er vertrauliche Kontoinformationen preisgibt. Technisch gesehen erfordert fast jeder Social-Engineering-Versuch ein gewisses Maß an Vorwänden, da dadurch ein Opfer formbarer gemacht werden kann.
Quid-pro-quo-Angriffe
Bei Quid-pro-quo-Angriffen kommt die Ködermethode zum Einsatz, bei der dem Opfer eine begehrenswerte Ware oder Dienstleistung vor das Gesicht gehalten wird – allerdings nur, wenn das Opfer im Gegenzug persönliche Informationen preisgibt. Egal, ob es sich um gefälschte Wettbewerbsgewinne oder ein Quiz „Welche Disney-Prinzessin bist du?“ handelt, die durch diese Angriffe weitergegebenen Informationen können später zu schwerwiegenderen Angriffen führen.
Scareware-Angriffe
Unter Scareware versteht man jede Form von Schadsoftware, die ihre Opfer dazu verleiten soll, Informationen weiterzugeben oder weitere Schadsoftware herunterzuladen. Während gefälschte Tech-Support-Nachrichten das traditionelle Beispiel sind, nutzen neuere Angriffe Gefühle der Angst und Scham voll aus. Kürzlich wurden E-Mail-Adressen von einer Rekrutierungswebsite gestohlen und an alle wurden gefälschte Stellenangebote gesendet. Ein Klick auf das angehängte Dokument würde den Download eines Trojaner-Virus starten. Der Angriff zielte speziell auf Unternehmens-E-Mail-Adressen ab, da man wusste, dass betroffene Mitarbeiter zögern würden, ihren Arbeitgebern mitzuteilen, dass sie infiziert waren, während sie auf der Suche nach einer alternativen Beschäftigung waren.
Watering-Hole-Angriffe
Schließlich führen Watering-Hole-Angriffe dazu, dass Angreifer beliebte legitime Webseiten ins Visier nehmen. Durch das Einschleusen von bösartigem Code in Websites, die häufig von Zielen genutzt werden, können Angreifer ihre Opfer indirekt durch Drive-by-Downloads und den Diebstahl von Zugangsdaten erwischen.
So identifizieren Sie Social-Engineering-Angriffe
Social-Engineering-Angriffe sind deshalb so erfolgreich, weil sie als solche unbemerkt bleiben. Daher ist das Erkennen eines Angriffs – vorzugsweise bevor er Sie erfasst – ein wesentlicher Bestandteil der Angriffsprävention. Hier sind die 6 Hauptmerkmale eines versuchten Social-Engineering-Angriffs:
Verdächtiger Absender
Eine der einfachsten Möglichkeiten, sich als legitimes Unternehmen auszugeben, ist E-Mail-Spoofing. Hier ist die Adresse des Angreifers fast identisch mit der der echten Organisation – aber nicht ganz. Einige Zeichen können geringfügig geändert oder ganz weggelassen werden. Dies kann sehr heimtückisch sein, beispielsweise wenn ein großes „I“ durch ein kleines „l“ ersetzt wird.
Allgemeine Begrüßung und Verabschiedung
In Massen-Phishing-E-Mails wird fast immer eine allgemeine Begrüßung wie „Sir“ oder „Ma'am“ verwendet. Echtes Marketingmaterial beginnt jedoch normalerweise mit einem Namen, da vertrauenswürdige Organisationen normalerweise die in ihrer Datenbank enthaltenen Kontaktdaten verwenden. Diese Form der Kontaktaufnahme durch vertrauenswürdige Organisationen erstreckt sich auch bis zum Ende der E-Mail, da die Signatur des Absenders häufig Kontaktinformationen enthält. Die Kombination aus allgemeiner Begrüßung und fehlenden Kontaktinformationen ist ein starker Indikator für Phishing.
Gefälschte Hyperlinks und Websites
Eine der einfachsten Möglichkeiten, ein Gerät zu kompromittieren, ist der Einsatz einer mit bösartigem Code geladenen Website. Dank der Formatierung von Hyperlinks auf modernen Geräten kann jeder Text mit jeder URL verlinkt werden. Während es möglich ist, dies auf einem PC zu überprüfen, indem man mit der Maus über den Link fährt und seine Gültigkeit beurteilt, besteht für Benutzer von Mobilgeräten und Tablets ein höheres Risiko, unabsichtlich durchzuklicken. Was die Flut an gefälschten Hyperlinks noch verschlimmert, ist die Möglichkeit für Angreifer, legitime Websites genau nachzuahmen und so einem Angriff Glaubwürdigkeit zu verleihen. Eine gefälschte URL folgt dem gleichen Muster wie eine gefälschte E-Mail-Adresse: Eine Variation in der Schreibweise oder Domain, etwa die Änderung von .gov in .net, gehört zu den erfolgreichsten Techniken.
Sekundärziele
Es kommt häufig vor, dass Marketingmaterial und andere Nachrichten angehängte Dokumente enthalten. Angreifer machen sich dies zunutze, indem sie das Opfer auf ein echtes Dokument – oder eine Hosting-Site – verweisen, die das Opfer wiederum auf eine bösartige Seite weiterleitet. Diese Technik wird häufig gegen Mitarbeiterteams angewendet, die bei der Arbeit regelmäßig zusammenarbeiten. Wenn ein legitimes Dokument einen Link zu einer schädlichen Datei enthält, ist es nicht nur für seine Opfer glaubwürdiger, sondern umgeht auch grundlegende Sicherheitsmechanismen im Posteingang.
Rechtschreibung und Layout
Das offensichtlichste Anzeichen für Phishing-Angriffe: schlechte Grammatik und Rechtschreibung. Seriöse Unternehmen widmen fast immer der Überprüfung und Korrektur der Kundenkorrespondenz Zeit. Gleichzeitig fungiert die schlechte Grammatik, die mit der Social-Engineering-Kunst menschlicher Hacking-Angriffe einhergeht, als inhärenter Filtermechanismus. Angreifer möchten ihre Zeit nicht mit verdächtigen Personen verschwenden: Wer auf schlechte Grammatik und Rechtschreibung hereinfällt, ist verletzlich genug, um eine leichte Beute zu sein.
Verdächtige Anhänge
Unerwünschte E-Mails, die den Benutzer zum Herunterladen und Öffnen von Anhängen auffordern, sollten Alarmglocken schrillen lassen. In Kombination mit einem dringlichen Ton ist es wichtig, diese Panik in ein Gefühl der Vorsicht umzuwandeln. Bei der Kompromittierung geschäftlicher E-Mails ist es möglich, dass selbst unglaublich kurze Nachrichten ein weit verbreitetes Chaos auslösen: Der Erhalt einer E-Mail von einem hochrangigen Manager mit der Aussage „Ich muss dieses Dokument ausdrucken, es liegt in 10 Minuten auf meinem Schreibtisch“ könnte einen Praktikanten dazu verleiten, das zu übersehen Grammatikfehler aus Angst.
So verhindern Sie Social-Engineering-Angriffe
Während es üblich ist, Phishing-Angriffe als rein individuelles Problem zu betrachten, wächst die Nachfrage, Social-Engineering-Prävention als kollektive Anstrengung zu betrachten. Schließlich machen Angreifer lediglich die natürlichen Reaktionen der Benutzer auf Angst und Panik zu einer Waffe. Der Schutz einer Organisation – und ihrer Benutzer – besteht aus drei Schlüsselbereichen.
#1. Sicherheitsbewusstseinstraining
In erster Linie: Den Mitarbeitern die Werkzeuge geben, mit denen sie sich verteidigen können. Schulungen zum Sicherheitsbewusstsein sollten für ihre Benutzer relevant sein und gleichzeitig einige einseitige Regeln hervorheben. Mitarbeiter müssen verstehen, dass sie in E-Mails und Nachrichten nicht auf Links klicken dürfen. Stattdessen müssen sie sich angewöhnen, einfach nach einer legitimen Version zu suchen. Moderne Internetgeschwindigkeiten machen dies zu einer einfachen Lösung.
Passworthygiene ist an dieser Stelle eine Erinnerung daran, dass jeder Mitarbeiter es schon tausendmal gehört hat. Angesichts der Dutzenden von Online-Konten, die jeder Mensch mittlerweile besitzt, sind eindeutige und komplexe Passwörter nur mit einem Passwort-Manager wirklich realisierbar. Eine solche Unterstützung der Mitarbeiter kann einen großen Beitrag dazu leisten, den Explosionsradius erfolgreicher Angriffe zu begrenzen.
Schließlich müssen die Mitarbeiter verstehen, dass jeder verletzlich ist. Die Weitergabe persönlicher Daten über soziale Medien ist der Motor der äußerst erfolgreichen Whale-Phishing-Branche. Obwohl es wichtig ist, im Hinterkopf zu behalten, dass Schulen, Haustiere und Geburtsorte aus der Öffentlichkeit ferngehalten werden sollten, fällt es einigen Mitarbeitern möglicherweise leichter, Sicherheitsfragen zu formulieren, die einprägsam, aber technisch gesehen unwahr sind. Stellen Sie beispielsweise die Sicherheitsfrage „Wo sind Sie zur Schule gegangen?“ ein. mit „Hogwarts“ könnte neugierige Angreifer völlig abschrecken.
#2. Zugriffskontrollrichtlinien
Die Kontrolle des Zugriffs auf jeden Endpunkt ist ein wesentlicher Bestandteil der Social-Engineering-Prävention. Vom Benutzer bis zum Authentifizierungsprozess muss eine strenge Kontrolle darüber bestehen, wer auf was zugreift. Endbenutzer müssen Computer und Geräte sperren, wenn sie sich entfernen – dies sollte durch kurze Sleep-Timer verstärkt und automatisiert werden. Beim Einsatz von Geräten im öffentlichen Raum müssen diese stets im Besitz der Mitarbeiter bleiben. Die gesamte Authentifizierung muss mit MFA verstärkt werden. Dadurch kann die Bedrohung durch BEC und den Diebstahl von Anmeldedaten vollständig beseitigt werden.
Letztendlich kann die einfache Überprüfung der Identität per Fingerabdruck oder Telefon den Unterschied zwischen einer gefälschten E-Mail, die abgefangen wird, und einem BEC-Angriff ausmachen, der Schäden in Millionenhöhe anrichtet.
#3. Sicherheitstechnologien
Die Mitarbeiter müssen umfassend mit einem umfassenden Paket an Sicherheitstechnologien unterstützt werden. Wenn beispielsweise die Spam-Filterung eines E-Mail-Programms immer noch verdächtige E-Mails in Posteingänge zulässt, können Filter von Drittanbietern dabei helfen, Social-Engineering-Angriffe mithilfe eines URL-Blacklist-Ansatzes zu überwachen und zu verhindern. Während die Posteingangsprävention wichtig ist, ist die Umsetzung vielleicht noch wichtiger Hochwertige Browsersicherheit. Dies bekämpft im Idealfall Rootkits, Trojaner und gefälschte Zugangsdaten und bietet einen weitaus umfassenderen Schutz als die teilweise URL-Erkennung.
Die LayerX-Lösung
Die benutzerorientierte Browsererweiterung von LayerX bietet einen einzigen, umfassenden Ansatz zur Bekämpfung von Social-Engineering-Angriffen. Browsersitzungen werden auf der Anwendungsebene überwacht und ermöglichen so einen vollständigen Einblick in alle Browsing-Ereignisse. Jede Webseite kann einen Schritt über den „Blockieren oder Verweigern“-Prozess hinausgehen, denn eine eingehende Analyse ermöglicht die Neutralisierung von Bedrohungen in Echtzeit. Auf diese Weise kann eine granulare Durchsetzung verhindern, dass selbst hochentwickelte BEC-Angriffe Nutzlasten liefern. Anstatt sich auf einen rückschrittlichen Ansatz über DNS-Blocklisten zu verlassen, verbindet der zukunftssichere Ansatz von LayerX modernste Bedrohungsinformationen mit tiefgreifender Durchsetzung an jedem Endpunkt.