“Wer seine Freiheit aufgeben kann, um ein wenig vorübergehende Sicherheit zu erlangen, verdient weder Freiheit noch Sicherheit.” – Benjamin Franklin
Social Engineering ist schon seit einiger Zeit ein wichtiges Thema im Bereich der Sicherheit. Es wurde von Branchenexperten ausgiebig diskutiert. Doch nur wenige sind sich der potenziellen Gefahr bewusst, die von Social Engineering ausgeht und wie gefährlich es sein kann.
Werfen Sie einen Blick auf die Echtzeit-Cyberangriffe, die weltweit stattfinden!
Für Hacker ist Social Engineering wahrscheinlich der einfachste und effizienteste Weg, um Sicherheitsprotokolle zu knacken. Der Aufstieg des Internets hat uns sehr mächtige Möglichkeiten gegeben, indem es Geräte ohne die Barriere der Entfernung miteinander verbunden hat. Das brachte uns zwar Fortschritte in der Kommunikation und Vernetzung, aber auch Schlupflöcher, die zur Verletzung von persönlichen Daten und der Privatsphäre führen können.
Seit den frühesten, vortechnischen Zeiten haben die Menschen Informationen verschlüsselt und gesichert. Eine bekannte Methode aus der Antike ist die Caeser-Chiffre, bei der Nachrichten verschlüsselt werden, indem die Stellen in der Liste der Alphabete verschoben werden. Wenn z.B. “Hallo Welt” um eine Stelle verschoben als “ifmmp xpsmf” geschrieben wird, muss der Decoder, der die Nachricht “ifmmp xpsmf” liest, die Buchstaben in der Liste der Alphabete um eine Stelle nach hinten verschieben, um die Nachricht zu verstehen.
So einfach diese Verschlüsselungstechnik auch war, sie hatte fast 2000 Jahre lang Bestand!
Heute haben wir fortschrittlichere und robustere Sicherheitssysteme entwickelt, dennoch ist die Sicherheit eine Herausforderung.
Es ist wichtig zu wissen, dass es eine Vielzahl von Techniken gibt, die von Hackern eingesetzt werden, um an wichtige Informationen zu gelangen. Wir werden uns einige dieser Techniken kurz ansehen, um zu verstehen, warum Social Engineering eine so große Sache ist.
🔷 Brute-Force- und Wörterbuch-Angriffe: Bei einem Brute-Force-Hack dringt ein Hacker mit einem fortgeschrittenen Satz von Werkzeugen in ein Sicherheitssystem ein, indem er ein berechnetes Passwort verwendet, indem er alle möglichen Zeichenkombinationen erhält. Bei einem Wörterbuchangriff lässt der Angreifer eine Liste von Wörtern (aus dem Wörterbuch) durchlaufen und hofft, eine Übereinstimmung mit dem Passwort des Benutzers zu finden.
Bei einem Brute-Force-Hack dringt ein Hacker mit einem fortgeschrittenen Satz von Werkzeugen in ein Sicherheitssystem ein, indem er ein berechnetes Kennwort verwendet und alle möglichen Zeichenkombinationen ermittelt. Bei einem Wörterbuchangriff lässt der Angreifer eine Liste von Wörtern (aus dem Wörterbuch) durchlaufen und hofft, eine Übereinstimmung mit dem Kennwort des Benutzers zu finden.
Ein Brute-Force-Angriff ist heutzutage zwar sehr wirkungsvoll, aber aufgrund der Art der aktuellen Sicherheitsalgorithmen eher unwahrscheinlich. Zur Veranschaulichung: Wenn das Passwort meines Kontos ‘qwertyuiop1202@990!!!’ lautet, hat es insgesamt 22 Zeichen. Ein Computer braucht also 22 mal den Faktor, um alle möglichen Kombinationen zu berechnen. Das ist eine ganze Menge.
Darüber hinaus gibt es Hash-Algorithmen, die dieses Passwort in einen Hash umwandeln, um es für ein Brute-Force-System noch schwieriger zu erraten. Das oben geschriebene Passwort kann z.B. zu d734516b1518646398c1e2eefa2dfe99 gehasht werden . Dies erhöht die Sicherheit des Kennworts noch weiter. Wir werden uns die Sicherheitstechniken später noch genauer ansehen.
Wenn Sie eine WordPress-Website besitzen, sollten Sie sich diesen Leitfaden zum Schutz vor Brute Force in WordPress ansehen.
🔷 DDoS-Angriffe: Distributed Denial of Service-Angriffe treten auf, wenn ein Benutzer für den Zugriff auf legitime Internetressourcen blockiert wird. Dies kann auf der Seite des Benutzers oder des Dienstes geschehen, auf den der Benutzer zuzugreifen versucht.
Ein DDoS-Angriff führt in der Regel zu einem Verlust an Umsatz oder Nutzerbasis. Damit ein solcher Angriff möglich ist, kann ein Hacker die Kontrolle über mehrere Computer im gesamten Internet übernehmen, die als Teil eines ‘BotNet’ verwendet werden können, um das Netzwerk zu destabilisieren oder in einigen Fällen den Netzwerkverkehr mit nicht nützlichen Informationspaketen zu überschwemmen, was zu einer Überlastung und damit zum Zusammenbruch der Netzwerkressourcen und -knoten führt.
Hier sind einige der besten DDoS-Schutzdienste.
🔷 Phishing: Phishing ist eine Angriffsmethode, bei der E-Mails, Textnachrichten oder Websites verwendet werden, um Benutzer dazu zu verleiten, wichtige Informationen wie ihr Passwort, ihre Kreditkartennummer oder ihre Sozialversicherungsnummer preiszugeben. Phishing-Angriffe nutzen in der Regel das Gefühl großer Dringlichkeit, um die Opfer zu übereilten und unüberlegten Handlungen zu verleiten.
Dies ist eine der häufigsten Arten von Social-Engineering-Angriffen, bei denen ein Angreifer betrügerische E-Mails oder Texte verschickt, die vorgeben, von einer legitimen Quelle wie einer Bank, einem Unternehmen, einer Social-Media-Plattform usw. zu stammen. Über diese Links werden die Opfer zu gefälschten Links geleitet, über die ihre persönlichen Daten gestohlen werden können.
🔷 Vorspiegelung falscher Tatsachen: Beim Pretexting schafft der Angreifer ein falsches Szenario, um das Vertrauen seiner Opfer zu gewinnen.
Das kann so einfach sein, dass er vorgibt, für den Kundendienst zu arbeiten und seine Opfer nach privaten Informationen wie Passwörtern, Kontonummern oder Ähnlichem fragt. Folglich können die Opfer leicht dem Risiko des Diebstahls vertraulicher Daten ausgesetzt werden, wenn sie nicht sorgfältig überprüfen, wer sie kontaktiert.
🔷 Tailgating: Tailgating ist eine Methode des unbefugten Zugriffs, bei der ein Angreifer einer Person mit Zugangsberechtigung in einen sicheren Bereich folgt.
Angreifer, die diese Methode anwenden, dringen in sichere oder autorisierte Bereiche ein, ohne über die entsprechenden Befugnisse oder Zugriffsprivilegien zu verfügen, und können auf eingeschränkte Bereiche zugreifen, um sensible Informationen zu erhalten.
🔷 Köder: Köder gehören zu den Methoden des Social Engineering, bei denen etwas Verheißungsvolles, wie z.B. USB-Sticks, an gewöhnlichen Orten hinterlassen wird, damit die Opfer die Chance haben, sie zu benutzen. Wenn sie sie benutzen, wird ihr System mit bösartiger Software infiziert und ermöglicht Hackern den Zugriff auf sensible Informationen.
In einigen Szenarien erhält das Opfer eine E-Mail, die ein kostenloses Geschenk oder einen kostenlosen Zugang zu Premium-Produkten oder kostenlose Belohnungen für die Teilnahme an Umfragen verspricht. Wenn das Opfer auf solche Links zugreift, ist es geneigt, seine persönlichen Daten einzugeben, die dann automatisch gestohlen werden.
🔷 Quid pro quo: Bei diesem Social-Engineering-Angriff kann der Angreifer Sie in eine Falle locken, um an sensible Informationen zu gelangen oder eine schädliche Aktion durchzuführen.
Ein Quid Pro Quo-Angriff äußert sich in einem gefälschten Anruf des IT-Supports, in Phishing-E-Mails, die vorgeben, Geschenke und Rabatte anzubieten, oder sogar in Nachrichten in sozialen Medien mit exklusiven Angeboten. Letztendlich ist das Ziel dieses Angriffs, die Opfer zu betrügen und Zugang zu ihren privaten Informationen zu erhalten.
🔷 Whaling: Whaling ist ein Angriff, der auf hochrangige Personen abzielt, z. B. auf CEOs, Prominente und hochrangige Regierungsbeamte.
Whaling-Angriffe sind in der Regel ausgefeilter als andere Arten von Social Engineering-Angriffen. Sie umfassen oft vielschichtige Bemühungen, die eine Kombination verschiedener Techniken einsetzen, um das Zielopfer zu kontrollieren oder ein Gefühl der Legitimität aufzubauen.
Einige andere Arten von Social-Engineering-Angriffen sind BEC (Business Email Compromise), Honey Trap (Honigfalle), Diversion Theft (Ablenkungsdiebstahl), Smishing/SMS-Phishing, Vishing/Voice Phishing usw.
Um Social-Engineering-Angriffe zu verhindern, sollte man sowohl seine Organisation als auch sich selbst über die Grundlagen der Sicherheitshygiene aufklären, damit man nicht so leicht in die Falle von Social-Engineering-Angriffen tappt.
Sich über gängige Techniken zu informieren und vorsichtig damit umzugehen, die Identität oder die Anfragen bei der Weitergabe sensibler Informationen zu überprüfen und sich auf dem Laufenden zu halten, sind die Maßnahmen zum Schutz vor bösartigen Manipulationsversuchen.
Social-Engineering-Angriffe sind nach wie vor eine spezielle Art von Cyberangriffen, die sich stark auf menschliche Interaktion stützen und oft psychologische Manipulationen beinhalten, um Menschen dazu zu bringen, Sicherheitsfehler zu begehen oder sensible Informationen preiszugeben. Obwohl der Begriff Social-Engineering-Angriffe weit gefasst ist, beschreibt er in vielerlei Hinsicht sehr spezifische Merkmale.
Hier sind einige der wichtigsten Merkmale von Social Engineering-Angriffen:
- Sie nutzen die Schwachstellen der Menschen aus. Social Engineers nutzen Eigenschaften wie Angst, Neugierde oder sogar Gier, um mit ihrer Beute zu spielen. Sie nutzen auch Vertrauen und Hilfsbereitschaft.
- Meistens handelt es sich um hochgradig personalisierte Ansätze. Social Engineers nehmen sich viel Zeit, um ihre Ziele zu recherchieren, damit die Angriffe persönlich ansprechend und weniger leicht zu erkennen oder zu vermeiden sind.
- Dies schafft ein Gefühl der Dringlichkeit. Social Engineers versuchen oft, ein Gefühl der Dringlichkeit zu erzeugen, um ihre Ziele zu schnellen, aber erfolglosen Handlungen zu bewegen. Dies lässt sich am besten dadurch erreichen, dass die Situation als eine unmittelbar bevorstehende Krise dargestellt wird, die schnelles Handeln erfordert.
- Nutzung vertrauter Kommunikationskanäle. In den meisten Fällen können Social Engineers ihre Opfer über vertraute Kommunikationskanäle ansprechen, z. B. über die Post, Telefonanrufe oder sogar soziale Medien. Dies gibt ihnen die Möglichkeit und den Spielraum, irgendwie vorhersehbar zu sein, und so ist ihr Angriff weniger verdächtig und ziemlich glaubwürdig.
- Sie fragen nach persönlichen, sensiblen Informationen wie Passwörtern, Kreditkartennummern oder Sozialversicherungsnummern. Dies ist möglich, indem sie sich als die Quellen ausgeben, die stark mit dem Benutzer interagieren, wie Banken oder Regierungen.
Werfen wir einen Blick auf die 5 wichtigsten Social Engineering-Angriffe, die die Welt erschüttert haben:
- Der Litauer Evaldas Rimasauskas führte den größten Social-Engineering-Angriff aller Zeiten durch und betrog zwei Tech-Giganten um mehr als 100 Millionen Dollar. Er erstellte eine Scheinfirma und entsprechende Bankkonten in deren Namen, um seine Phishing-E-Mails an die von ihm anvisierten Mitarbeiter von Google und Facebook zu verschicken.
- Im März 2019 wurde ein britischer Energieversorger Opfer eines überzeugenden Betrügers, dem es gelang, den CEO des Unternehmens zur Überweisung von 243.000 Dollar zu verleiten. Ein Imitator, der sich als der Chef des Unternehmens ausgab, klang so echt, dass alle Sorgfaltspflichten umgangen wurden und das Geld direkt auf ein Konto im Ausland überwiesen wurde, das der betrügerischen Person gehörte.
- FACC, ein österreichischer Flugzeughersteller und Opfer eines ausgeklügelten BEC-Betrugs (Business Email Compromise), wurde um 42 Millionen Euro betrogen, als das E-Mail-Konto des Geschäftsführers mit einer “dringenden” Geldanforderung gefälscht wurde. Ohne zu wissen, dass es sich um eine Täuschung handelte, kam der Mitarbeiter der Kreditorenbuchhaltung des Unternehmens der betrügerischen Aufforderung nach und überwies das Geld an den falschen Empfänger.
- Das US Department of Labor (DoL) wurde Opfer eines ausgeklügelten Phishing-Angriffs, bei dem gefälschte Domains verwendet wurden, um an die Anmeldedaten für Office 365 zu gelangen. Die geschickt gestalteten E-Mails sahen so aus, als ob sie von leitenden Mitarbeitern des DoL stammten und forderten den Empfänger auf, auf einen angehängten Angebotslink für ein Regierungsprojekt zu klicken. Nach dem Klick auf diese Umleitungsschaltfläche wurden sie stattdessen auf eine bösartige Website weitergeleitet, die persönliche Daten stehlen wollte.
- Kunden derOCBC (Oversea-Chinese Banking Corporation) gehörten zu den Opfern eines riesigen Online-Angriffs, der 470 Personen etwa 8,5 Millionen Dollar kostete, wie das Unternehmen 2021 bekannt gab. Es ist wie ein Krieg, wenn es um die Bekämpfung von Phishing-E-Mails und bösartigen Transaktionen geht’, sagte CEO Helen Wong. Selbst nachdem die betrügerischen Domains geschlossen und die Kunden vor dem Betrug gewarnt wurden, entwickelte er sich schnell weiter, bis er schließlich durch die von OCBC eingeführten Sicherheitsmaßnahmen unter Kontrolle gebracht wurde.
Grundsätzlich verwenden die Angreifer verschiedene Medien, um ihre Opfer anzusprechen, z. B. E-Mails, Telefonanrufe oder Textnachrichten, und geben sich als legitimes Unternehmen oder als Privatperson aus, um das Vertrauen der Opfer zu gewinnen.
Anschließend versuchen sie, das Opfer zu etwas zu überreden, das ihnen nützt, z. B. indem sie es dazu bringen, auf einen bestimmten bösartigen Link zu klicken, einen infizierten Anhang zu öffnen oder sensible Daten preiszugeben.
Hier sind einige rote Fahnen, die Ihnen helfen können, Social Engineering-Angriffe zu erkennen:
🔴 Achten Sie auf unaufgeforderte Mitteilungen wie E-Mails, Nachrichten oder Telefonanrufe, insbesondere von einem unbekannten Absender, und solche, die vorgeben, von einem bekannten Unternehmen zu stammen, aber ungewöhnliche Anfragen oder Links enthalten.
social Engineers können ein Gefühl der Dringlichkeit oder Angst erzeugen, um das Opfer zu schnellem Handeln zu bewegen. Zum Beispiel, dass Ihr Konto angegriffen wurde oder dass Sie handeln müssen, um eine Strafe zu vermeiden.
🔴 Professionelle Unternehmen hingegen pflegen in der Regel ein professionelles Kommunikationsniveau, so dass E-Mails oder Nachrichten mit zahlreichen Grammatik- und Tippfehlern ebenfalls Verdacht erregen sollten. Außerdem werden sie auf diesem Weg niemals nach sensiblen Informationen wie persönlichen oder finanziellen Daten fragen.
🔴 E-Mails oder Nachrichten von unbekannten Absendern erwecken Verdacht. Klicken Sie also nicht auf Links oder öffnen Sie keine Anhänge, auch wenn es so klingt, als kämen sie von einer scheinbar legitimen Quelle.
🔴 Achten Sie auf die E-Mail-Adresse, Telefonnummer oder Unternehmenswebsite des Absenders, um sicherzustellen, dass sie mit dem Unternehmen oder der Person übereinstimmen, von der sie angeblich stammen.
🔴 Seien Sie vorsichtig bei Links oder Websites mit ungewöhnlichen Domainnamen oder URLs, die ähnlich wie die Website eines seriösen Unternehmens klingen.
🔴 Kein seriöses Unternehmen bittet um eine Überweisung auf ein persönliches Konto, und wenn dies jemand tut, ist das ein Warnsignal.
🔴 Seriöse Unternehmen senden niemals Links in E-Mails oder Nachrichten, um Ihre Passwörter oder Sicherheitseinstellungen zu ändern.
🔴 Seien Sie vorsichtig bei unbekannten Quellen, die Sie auffordern, Software oder Updates herunterzuladen. Laden Sie sie direkt von der Website des Unternehmens herunter.
Sollten Sie jemals über eines dieser eindeutigen Warnzeichen stolpern, ist es besser, auf Nummer sicher zu gehen und dem Absender oder seinen Anfragen nicht zu antworten. Mit diesen Maßnahmen und Ihrer Wachsamkeit verringern Sie das Risiko, Opfer eines Social Engineering-Angriffs zu werden, und schützen so Ihre persönlichen Daten.
Schlussfolgerung
Diese Schritte sind kein direktes Mittel gegen Social-Engineering-Angriffe, aber sie helfen Ihnen, es einem Hacker schwer zu machen, Sie zu erwischen.