Deutsch
kontakTenglish
GRATIS
Whitepaper
Wie man das Sicherheitsverhalten ändert
XDOWNLOAD

10 Tipps zum Schutz vor Social Engineering

Computersysteme sind heute meist sehr gut durch technische Massnahmen geschützt. Um dennoch in ein System zu gelangen oder an Daten zu kommen, wird heute oft mittels Social Engineering vorgegangen. Dies ist eine der erfolgreichsten Angriffsmöglichkeiten neben Hacking und Malwareverbreitung. Häufig wird versucht, Kreditkarteninformationen oder Zugangsdaten zu erschleichen oder Zugang zu Systemen zu erwirken.

Was ist Social Engineering

Social Engineering (Soziale Manipulation) ist eine Vorgehensweise, bei der es darum geht, die Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit von Personen auszunutzen, um an vertrauliche Informationen zu gelangen oder die „Opfer“ zu einer bestimmten Handlung zu bewegen.

Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen.

Von allen Angriffsmöglichkeiten (Malware, Hacker), um in Systeme zu gelangen oder an Daten zu kommen, ist diese Methode nach wie vor eine der erfolgreichsten.

Wie gehen Social Engineers vor

Die Gefahr vor Social Engineering ist im privaten wie auch im geschäftlichen Bereich vorhanden. Besonders attraktiv sind Mitarbeitende von Firmen, um Informationen über die Firma zu erhalten und so durch Erpressung oder Betrug Geld oder Daten zu erschleichen.

  • Ein Angreifer kann zum Beispiel mittels Social Engineering versuchen, an Ihren Benutzernamen und Ihr Passwort zu gelangen, indem er sich am Telefon als Systemadministrator oder Sicherheitsspezialist ausgibt.
  • Jeder Social Engineering Angriff beginnt mit umfangreicher Recherchearbeit. Je besser der Angreifer sein Opfer kennt und je mehr Informationen er über eine Firma im Vorfeld sammelt, desto erfolgreicher kann er einzelne Mitarbeitende später manipulieren.
  • Wichtige Quellen sind in diesem Zusammenhang z.B. Jahresberichte, Marketingbroschüren oder Zeitungsartikel. Noch einfacher lassen sich Informationen im Internet finden, insbesondere in sozialen Netzwerken wie z.B. Facebook oder LinkedIn.

Für Social Engineers ist es so ein Leichtes, mehr über ihre potenziellen Opfer zu erfahren, wie z.B. über deren Profil, Hobbys, Zukunftspläne oder Arbeitsprojekte.

Informationen finden

Vielleicht fragen Sie sich gerade, wo Social Engineers ihre Informationen herbekommen.

Diese Informationsbeschaffung nennt man Open-source intelligence (OSINT).

Bei Open Source Intelligence handelt es sich um Daten aus öffentlich zugänglichen Quellen, um Erkenntnisse über eine Person oder eine Sache zu gewinnen. In diesem Zusammenhang bezieht sich der Begriff „open“ auf öffentlich zugängliche Quellen, wie soziale Medien (Twitter, Facebook, etc.), Firmenwebsites, öffentliche Webserver; Newsletter und Artikel; Software und Code Repositories (wie Codechef, Github); offene Verwaltungsdaten sowie fachliche und wissenschaftliche Publikationen. Ein Problem mit OSINT in der Praxis ist die Menge an Informationen, die zu bewältigen sind („Informationsexplosion“).

Zuerst wird eine Firma ausgewählt, über die mittels Social Engineering mehr Informationen herausgefunden, oder zu deren Systemen Zugang erschlichen werden soll.

Informationen über das Unternehmen finden sich zuerst einmal auf der Unternehmenswebseite. Hier werden beispielsweise Geschäftsberichte, Kontaktstellen, Mitarbeiterorganigramme oder gewisse Produktinformationen publiziert.

In öffentlichen Verzeichnissen können weitere Information gefunden werden. Zum Beispiel, wo sich Büros befinden.

Via Google oder andere Suchmaschinen können ebenfalls Informationen gefunden werden. So sind das beispielsweise Zeitungsartikel, Blogbeiträge, Kundenreviews oder Anfragen oder Publikationen politischer Natur.

In sozialen Netzwerken wie LinkedIn oder Xing kann ein Social Engineer herausfinden, wer bei einer Firma arbeitet. Auch Positionen und weitere Informationen können so eruiert werden.

Hat sich der Social Engineer für eine Person entschieden, kann auf ebendiesen Seiten sowie auf Facebook, Twitter und Instagram weitere Informationen zu der Zielperson herausgefunden werden. Was sind ihre Interessen und Hobbies? Was wird über den Arbeitgeber gepostet? Welche Artikel und Posts werden geteilt? Wann arbeitet eine Person und vieles Mehr. All diese Informationen können dann dazu verwendet werden, die Zielperson unter Druck zu setzen oder sie zu täuschen, um an die gewünschten Informationen zu gelangen oder sich zutritt zum System zu verschaffen.

Wir stellen hier 10 Tipps vor, wie Sie sich bei einer Social Engineering Attacke verhalten sollen und wie Sie Social Engineering erkennen können und was Sie dagegen unternehmen können.

Was tun bei einem „Angriff“?

Tipp 1: Sich nicht unter Druck setzen lassen. Sicherheit ist wichtiger als höflich zu sein.

Social Engineers sind normalerweise sehr freundlich und kontaktfreudig. Durch Vortäuschen von Firmenkenntnissen (Name des Vorgesetzten, Prozesse usw.) bearbeiten sie das „Opfer“ so lange, bis es die gesuchte Information preisgibt. Bleiben Sie standhaft und geben Sie keine vertraulichen Informationen über sich oder die Firma an Fremde. Auch wenn die Person unhöflich oder wütend wird oder wenn es scheint, dass die Person am gleichen Ort wie Sie arbeitet.

Tipp 2: Sich nicht überreden lassen

Lassen Sie sich nicht dazu überreden, eine bestimmte Webseite zu besuchen oder eine bestimmte Software zu installieren. Die Webseite und die Software könnten mit Malware infiziert sein.

Ist es eine Webseite, die Sie kennen, öffnen Sie diese über die abgespeicherte URL in Ihrem Verzeichnis. Ihnen unbekannte Seiten, öffnen Sie besser nicht. Falls es doch mal notwendig ist, geben Sie den Namen des Unternehmens oder der Seite bei Google oder einer anderen Suchmaschine ein und wählen Sie hier den Link. Gibt man eine Adresse direkt im URL Feld ein, kann es sein, dass es sich um eine Seite handelt, die nicht in einer Suchmaschine gefunden werden kann. Solche Seiten können eher von Malware befallen sein, da sie nicht von den Scannern der Suchmaschine geprüft werden.

Tipp 3: Umgang mit zweifelhaften Anfragen

Stellen Sie bei zweifelhaften Anfragen immer die Identität und Berechtigung des Fragenden sicher. Erkundigen Sie sich nach dem Grund für die Anfrage.

Dies können Sie zum Beispiel, indem Sie Rücksprache bei Ihrem Vorgesetzten nehmen oder bei der anfragenden Firma nachfragen. Notieren Sie sich hierfür die Kontaktdaten (Name, Telefonnummer, E-Mail, Abteilung, etc.) des Anfragenden, damit Sie diese so weitergeben können. Um eine Firma zu kontaktieren, wählen Sie entweder die Nummer oder E-Mail-Adresse, die Sie bereits in Ihrem Adressbuch gespeichert haben, oder gehen Sie über die Google Suche, um auf die Webseite zu gelangen. Lassen Sie sich keine Webseite nennen, wo Sie die Kontaktdaten einsehen können. Die Seite könnte gefälscht sein und die Kontaktdaten ebenso, so dass Ihre Anfrage beim Social Engineer landet anstelle der gewünschten Firma.

Tipp 4: Weitergabe von Informationen

Geben Sie NIE interne oder vertrauliche Informationen (Kunden- und Mitarbeiterdaten, Projektinformationen etc.) weiter. Weder am Telefon noch per E-Mail oder Briefpost.

Egal wer fragt, solche Informationen sollten Sie nie weitergeben, wenn Sie nicht 100% sicher sind, dass das Gegenüber für die Informationen wirklich berechtigt ist. Bestehen diesbezüglich Unsicherheiten, klären Sie dies vorgängig mit Ihrem Vorgesetzten ab. Passworte und Zugangsdaten sollten NIE weitergegeben werden.

Achten Sie stets darauf, welche Informationen Sie wo preisgeben. Geben Sie nur öffentlich zugängliche Informationen über Ihre Firma an Personen ausserhalb der Firma weiter. Verlangt eine interne Person oder ein externer Projektpartner Informationen, achten Sie darauf, dass diese nicht vertraulich oder geheim sind und die Person für die Informationen berechtigt ist.

Tipp 5: Kontaktaufnahme von „Dienstleistungsanbietern“

Kein seriöser Dienstleistungsanbieter wird je nach einem Passwort und Zugangsdaten fragen. Auch nicht Systemadministratoren oder Sicherheitsspezialisten.

Wenn Sie Anrufe oder E-Mails erhalten, wo nach Passwörtern oder Zugangsdaten gefragt wird, sofort auflegen respektive löschen. Melden Sie zudem den Vorfall dem IT-Service Desk und Ihrem Vorgesetzten. Diese Anfragen sind ein Social Engineering Versuch. Denn egal um was es geht, die Zugangsdaten benötigt kein Dienstleistungsanbieter, um irgendwelche Tests zu machen oder Probleme zu lösen. Gehen Sie auch auf keine Webseite, die Ihnen genannt wird (via Link im E-Mail oder am Telefon), um sich einzuloggen. Ist es von einem Anbieter, den Sie kennen, und es geht z.B. darum das Passwort anzupassen, gehen Sie über den Link, den Sie in Ihrem Verzeichnis gespeichert haben und loggen Sie sich so ein.

Tipp 6: Vorsicht am Telefon

Versucht ein Social Engineer via Anruf an Informationen zu gelangen, nennt man dies „Vishing-Anrufe“

Voice-Phishing ist Betrug über das Telefon, bei dem Social-Engineering-Methoden eingesetzt werden. Dies wird oft auch als „Vishing“ bezeichnet - eine Kombination aus „Voice“ und „Phishing“. Beim Vishing gibt der Angreifer vor, ein potenzieller oder existierender Geschäftspartner, ein leitender Mitarbeiter des Unternehmens, ein Mandatsträger oder ein Mitglied des IT-Supportteams zu sein. Vishing-Betrüger vermitteln in der Regel eine gewisse Dringlichkeit, nutzen Autorität oder erfinden eine vertrauenswürdige Rolle am Telefon – all dies zielt darauf ab, das Opfer dazu zu bekommen, dass es die Anweisungen des Betrügers befolgt. Ziel ist es, Zugang zu vertraulichen Informationen zu erhalten, eine Zahlung umzuleiten oder die Kontrolle über die Computer des Unternehmens zu erlangen.

Daher, wie in den Tipps 1 und 4 schon gesagt, lassen Sie sich nicht unter Druck setzen und geben Sie keine internen und vertraulichen Informationen weiter.

Tipp 7: Vorsicht mit E-Mail

Mit sogenannten Phishing E-Mails versuchen Betrüger, Informationen ihrer Opfer zu erlangen. Achten Sie daher auf folgende Merkmale, um eine Phishing E-Mail erkennen zu können:

  1. Merkwürdiger Absender
  2. Unübliche/ Dubiose Mailanhänge
  3. Unpersönliche Ansprache
  4. Grammatik- und Orthographie-Fehler
  5. Dringender Handlungsbedarf
  6. Eingabe von Daten
  7. Gefälscht Links
  8. Fremde Sprache bzw. Sprachenmix
  9. Verwendung unüblicher Bezeichnungen

Antworten Sie nicht auf eine Phishing E-Mail. Melden Sie diese dem Service Desk oder Ihrem Vorgesetzten und löschen Sie die Mail.

Tipp 8: Vorsicht in sozialen Medien

Social Engineering kann auch über die sozialen Medien erfolgen. Zum Beispiel werden private Nachrichten mit Links auf verseuchte Webseiten versendet oder Posts mit Links auf solche Seiten gepostet.

Zudem können Social Engineers auf sozialen Netzwerken nach Informationen über ihre Opfer suchen. Daher ist es wichtig zu bedenken, welche Informationen geben Sie über sich preis. Nennen Sie zum Beispiel Ihren Arbeitgeber und Ihre Funktion? Welche Infos sind über Ihre Hobbies zu finden? Haben Sie ein öffentliches Profil oder ist es für unbekannte gesperrt? Nennen Sie zudem nie nicht öffentliche Firmeninformationen in Ihrem Profil.

Tipp 9: Vorsicht mit mobilen Datenträgern

Kennen Sie noch USB-Sticks oder externe Laufwerke? Diese sind nicht mehr so oft in Gebrauch, dennoch kommt es vor. Malware kann auch über mobile Datenträger verbreitet werden. Daher ist es auch hier wichtig, mobile Datenträger von Fremden oder flüchtigen Bekannten nicht zu verwenden. Auch sollten keine externen Datenträger, welche gefunden werden, angeschlossen werden, um zu prüfen was sich darauf befindet.

Tipp 10: Vorsicht bei persönlicher Kontaktaufnahme

Die wohl extremste Art des Social Engineerings ist das persönlich in Kontakt treten mit dem Opfer. Kann ein Social Engineer über die anderen Kanäle seine Zielperson nicht erreichen, kann es sein, dass persönlich Kontakt aufgenommen wird. Das Vertrauen wird durch vorgespielte Freundschaft oder Hilfsbereitschaft erschlichen. Dies kann zum Beispiel über „gemeinsame Interessen und Hobbies“ geschehen oder über den Beruf und die Firma. Seien Sie kritisch bei Diskussionen mit Personen, die Sie noch nicht lange kennen und geben Sie auch hier keine geschäftlichen Informationen weiter oder lassen sich zu Taten verleiten. Geben Sie beispielsweise Ihr Mobiltelefon nicht an Dritte weiter, damit diese eine Webseite eintippen können, um Ihnen etwas zu zeigen. Lassen Sie sich solche Seiten buchstabieren.

Sicheres Verhalten ist lernbar

Vor Social Engineering ist niemand gefeit. Aber man kann lernen, auf welche Anzeichen man achten soll und wie man sich generell in Bezug auf das Publizieren von Daten verhalten soll. Das wichtigste ist, keine Informationen zu Passwörtern und Nutzerdaten weiter zu geben, sowie keine internen Firmeninformationen. Achten Sie auch stets darauf, was Sie online veröffentlichen und schreiben. Und verwenden Sie keine externen Datenträger, die Sie von Unbekannten oder flüchtigen Kollegen erhalten haben. Lassen Sie sich nicht unter Druck setzen, Informationen preis zu geben. Bleiben Sie standhaft und melden Sie verdächtige Anrufe, E-Mails oder Konversationen Ihrem Vorgesetzten und dem IT-Service Desk.

Und wenn Sie doch mal Opfer einer Social Engineering Attacke wurden, ändern Sie sofort all Ihre Passwörter und machen Sie bei Ihrem Arbeitgeber Meldung über den Vorfall, so dass Schutzmassnahmen ergriffen werden können.

Wir hoffen, dass Ihnen unsere Tipps helfen, sicher mit Ihren Daten umzugehen.

Aufgrund der aktuellen Situation bietet TreeSolution Ihnen Unterstützung und spezielle Angebote für das sichere Arbeiten im Homeoffice und andere Awareness-Themen an.

Vielen Dank.
Oops! Something went wrong while submitting the form.