PC-Systeme sind heute meist sehr gut durch technische Massnahmen geschützt. Um dennoch in ein System zu gelangen, oder an Daten zu kommen, wird heute oft mittels Social Engineering vorgegangen. Dies ist, neben Hacking und Malwareverbreitung, eine der erfolgreichsten Angriffsmöglichkeiten. Häufig wird versucht, Kreditkarteninformationen zu erschleichen oder Zugang zu Systemen zu erhalten.
Social Engineering (Soziale Manipulation) ist eine Vorgehensweise, bei der es darum geht, die Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit von Personen auszunutzen, um an vertrauliche Informationen zu gelangen oder die „Opfer“ zu einer bestimmten Handlung zu bewegen.
Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen.
Von allen Angriffsmöglichkeiten (Malware, Hacker), um in Systeme zu gelangen oder an Daten zu kommen, ist diese Methode nach wie vor eine der erfolgreichsten.
Die Gefahr vor Social Engineering ist im privaten wie auch im geschäftlichen Bereich vorhanden. Besonders attraktiv sind Mitarbeitende von Unternehmen, um Informationen über das Unternehmen zu erhalten und so durch Erpressung oder Betrug Geld oder Daten zu erschleichen.
Für Social Engineers ist es so ein Leichtes, mehr über ihre potenziellen Opfer zu erfahren, wie z. B. über deren Profil, Hobbys, Zukunftspläne oder Arbeitsprojekte.
Vielleicht fragen Sie sich gerade, wo Social Engineers ihre Informationen herbekommen?
Eine solche Informationsbeschaffung nennt man Open-source intelligence (OSINT).
Bei Open Source Intelligence handelt es sich um Daten aus öffentlich zugänglichen Quellen, um Erkenntnisse über eine Person oder eine Sache zu gewinnen. In diesem Zusammenhang bezieht sich der Begriff „open“ auf öffentlich zugängliche Quellen, wie soziale Netzwerke (Twitter, Facebook, etc.), Internetseiten von Unternehmen, öffentliche Webserver, Newsletter und Artikel, Software und Code Repositories (wie Codechef, Github), offene Verwaltungsdaten sowie fachliche und wissenschaftliche Publikationen. Ein Problem mit OSINT in der Praxis ist die Menge an Informationen, die zu bewältigen sind („Informationsexplosion“).
Zuerst wird ein Unternehmen ausgewählt, über welches mittels Social Engineering Informationen herausgefunden oder zu deren Systemen Zugang erschlichen werden soll.
Informationen über das Unternehmen finden sich zuerst einmal auf der Internetseite des Unternehmens. Hier werden beispielsweise Geschäftsberichte, Kontaktstellen, Mitarbeiterorganigramme oder gewisse Produktinformationen publiziert.
In öffentlichen Verzeichnissen können weitere Information gefunden werden. Zum Beispiel, wo sich Büros befinden.
Via Google oder andere Suchmaschinen können ebenfalls Informationen gefunden werden. So sind das beispielsweise Zeitungsartikel, Blogbeiträge, Kundenreviews oder Anfragen oder Publikationen politischer Natur.
In sozialen Netzwerken wie LinkedIn oder Xing kann ein Social Engineer herausfinden, wer bei welchem Unternehmen arbeitet. Auch Positionen und weitere Informationen können so herausgefunden werden.
Hat sich der Social Engineer für eine Person entschieden, kann er auf ebendiesen Seiten sowie auf Facebook, Twitter und Instagram weitere Informationen zu der Zielperson herausfinden. Was sind ihre Interessen und Hobbys? Was wird über den Arbeitgeber gepostet? Welche Artikel und Posts werden geteilt? Wann arbeitet eine Person? All diese Informationen können dazu verwendet werden, die Zielperson unter Druck zu setzen oder sie zu täuschen, um an die gewünschten Informationen zu gelangen oder sich Zugang zum System zu verschaffen.
Sie erhalten hier 10 Tipps von uns, wie Sie sich bei einer Social Engineering-Attacke verhalten sollen und wie Sie Social Engineering erkennen und was Sie dagegen tun können.
Social Engineers sind normalerweise sehr freundlich und kontaktfreudig. Durch Vortäuschen von Kenntnissen über das Unternehmen (Name des Vorgesetzten, Prozesse usw.) bearbeiten sie das „Opfer“ so lange, bis es die gesuchte Information preisgibt. Bleiben Sie standhaft und geben Sie keine vertraulichen Informationen über sich oder das Unternehmen an Fremde. Auch wenn die Person unhöflich oder wütend wird oder wenn es scheint, dass die Person am gleichen Ort wie Sie arbeitet.
Lassen Sie sich nicht dazu überreden, eine bestimmte Internetseite zu besuchen oder eine bestimmte Software zu installieren. Die Internetseite oder die Software könnte mit Malware infiziert sein.
Ist es eine Internetseite, die Sie kennen, öffnen Sie diese über die abgespeicherte URL in Ihrem Verzeichnis. Ihnen unbekannte Seiten öffnen Sie besser nicht. Falls es doch mal notwendig ist, geben Sie den Namen des Unternehmens oder der Seite bei Google oder einer anderen Suchmaschine ein und wählen Sie hier den Link. Gibt man eine Adresse direkt im URL Feld ein, kann es sein, dass es sich um eine Seite handelt, die nicht in einer Suchmaschine gefunden werden kann. Solche Seiten können eher von Malware befallen sein, da sie nicht von den Scannern der Suchmaschine geprüft werden.
Stellen Sie bei zweifelhaften Anfragen immer die Identität und Berechtigung des Fragenden sicher. Erkundigen Sie sich nach dem Grund für die Anfrage.
Dies können Sie zum Beispiel, indem Sie Rücksprache bei Ihrem Vorgesetzten nehmen oder beim anfragenden Unternehmen nachfragen. Notieren Sie sich hierfür die Kontaktdaten (Name, Telefonnummer, E-Mail, Abteilung, etc.) des Anfragenden, damit Sie diese so weitergeben können. Um ein Unternehmen zu kontaktieren, wählen Sie entweder die Nummer oder E-Mail-Adresse, die Sie bereits in Ihrem Adressbuch gespeichert haben, oder gehen Sie über die Google-Suche, um auf die Internetseite zu gelangen. Lassen Sie sich keine Internetseite nennen, wo Sie die Kontaktdaten einsehen können. Die Seite könnte gefälscht sein und die Kontaktdaten ebenso, sodass Ihre Anfrage beim Social Engineer landet anstelle beim gewünschten Unternehmen.
Geben Sie NIE interne oder vertrauliche Informationen (Kunden- und Mitarbeiterdaten, Projektinformationen etc.) weiter. Weder am Telefon noch per E-Mail oder Briefpost.
Egal wer fragt, solche Informationen sollten Sie nie weitergeben, wenn Sie nicht 100 % sicher sind, dass das Gegenüber für die Informationen wirklich berechtigt ist. Bestehen diesbezüglich Unsicherheiten, klären Sie dies vorgängig mit Ihrem Vorgesetzten ab. Passwörter und Zugangsdaten sollten NIE weitergegeben werden.
Achten Sie darauf, welche Informationen Sie wo preisgeben. Geben Sie nur öffentlich zugängliche Informationen über Ihr Unternehmen an Personen ausserhalb des Unternehmens weiter. Verlangt eine interne Person oder ein externer Projektpartner Informationen, achten Sie darauf, dass diese nicht vertraulich oder geheim sind und die Person für die Informationen berechtigt ist.
Kein seriöser Dienstleistungsanbieter wird je nach einem Passwort oder nach Ihren Zugangsdaten fragen. Auch nicht Systemadministratoren oder Sicherheitsspezialisten.
Wenn Sie Anrufe oder E-Mails erhalten, wo nach Passwörtern oder Zugangsdaten gefragt wird, beenden Sie sofort das Gespräch, respektive löschen Sie die E-Mail. Melden Sie zudem den Vorfall dem IT Service Desk und Ihrem Vorgesetzten. Diese Anfragen sind ein Social Engineering-Versuch. Denn egal um was es geht, die Zugangsdaten benötigt kein Dienstleistungsanbieter, um irgendwelche Tests zu machen oder Probleme zu lösen. Gehen Sie auch auf keine Internetseite, die Ihnen genannt wird (via Link im E-Mail oder am Telefon), um sich einzuloggen. Ist es von einem Ihnen bekannten Anbieter und es geht z. B. darum, das Passwort anzupassen, gehen Sie über den Link, den Sie in Ihrem Verzeichnis gespeichert haben und loggen Sie sich so ein.
Versucht ein Social Engineer via Anruf an Informationen zu gelangen, nennt man dies „Vishing-Anrufe“ - eine Kombination aus „Voice“ und „Phishing“. Beim Vishing gibt der Angreifer vor, ein potenzieller oder existierender Geschäftspartner, ein leitender Mitarbeitender des Unternehmens, ein Mandatsträger oder ein Mitglied des IT-Supportteams zu sein. Vishing-Betrüger vermitteln in der Regel eine gewisse Dringlichkeit, nutzen Autorität oder erfinden eine vertrauenswürdige Rolle am Telefon – all dies zielt darauf ab, das Opfer dazu zu bekommen, dass es die Anweisungen des Betrügers befolgt. Ziel ist es, Zugang zu vertraulichen Informationen zu erhalten, eine Zahlung umzuleiten oder die Kontrolle über die PCs des Unternehmens zu erlangen.
Daher, wie in den Tipps 1 und 4 schon gesagt, lassen Sie sich nicht unter Druck setzen und geben Sie keine internen und vertraulichen Informationen weiter.
Mit sogenannten Phishing-E-Mails versuchen Betrüger, Informationen ihrer Opfer zu erlangen. Achten Sie daher auf folgende Merkmale, um eine Phishing-E-Mail zu erkennen:
Antworten Sie nicht auf eine Phishing-E-Mail. Melden Sie diese dem IT Service Desk oder Ihrem Vorgesetzten und löschen Sie die E-Mail.
Social Engineering kann auch über die sozialen Netzwerke erfolgen. Z. B. werden private Nachrichten mit Links auf verseuchte Internetseiten versendet oder Beiträge mit Links auf solche Seiten gepostet.
Zudem können Social Engineers auf sozialen Netzwerken nach Informationen über ihre Opfer suchen. Daher ist es wichtig, zu bedenken, welche Informationen geben Sie über sich preis. Nennen Sie zum Beispiel Ihren Arbeitgeber und Ihre Funktion? Welche Informationen sind über Ihre Hobbys zu finden? Haben Sie ein öffentliches Profil oder ist es für Unbekannte gesperrt? Nennen Sie zudem nie nicht-öffentliche Unternehmensinformationen in Ihrem Profil.
Kennen Sie noch USB-Sticks oder externe Laufwerke? Diese sind nicht mehr so oft in Gebrauch, dennoch gibt es sie noch. Malware kann auch über mobile Datenträger verbreitet werden. Daher ist es auch hier wichtig, mobile Datenträger von Fremden oder flüchtigen Bekannten nicht zu verwenden. Auch sollten keine externen Datenträger, welche gefunden werden, angeschlossen werden, um zu prüfen, was sich darauf befindet.
Die wohl extremste Art des Social Engineerings ist das persönlich mit dem Opfer in Kontakt zu treten. Kann ein Social Engineer über die anderen Kanäle seine Zielperson nicht erreichen, kann es sein, dass persönlich Kontakt aufgenommen wird. Das Vertrauen wird durch vorgespielte Freundschaft oder Hilfsbereitschaft erschlichen. Dies kann zum Beispiel über „gemeinsame Interessen und Hobbys“ geschehen oder über den Beruf und das Unternehmen. Seien Sie kritisch bei Diskussionen mit Personen, die Sie noch nicht lange kennen und geben Sie auch hier keine geschäftlichen Informationen weiter oder lassen sich zu Taten verleiten. Geben Sie beispielsweise Ihr Smartphone nicht an Dritte weiter, damit diese eine Internetseite eintippen können, um Ihnen etwas zu zeigen. Lassen Sie sich solche Seiten buchstabieren.
Vor Social Engineering ist niemand gefeit. Aber Sie können lernen, auf welche Anzeichen Sie achten und wie Sie sich generell in Bezug auf das Publizieren von Daten verhalten sollen. Das Wichtigste ist, keine Informationen zu Passwörter/Benutzerdaten sowie internen Geschäftsdaten weiterzugeben. Achten Sie darauf, was Sie online veröffentlichen und schreiben. Und verwenden Sie keine externen Datenträger, die Sie von Unbekannten oder flüchtigen Kollegen erhalten haben. Lassen Sie sich nicht unter Druck setzen, Informationen preiszugeben. Bleiben Sie standhaft und melden Sie verdächtige Anrufe, E-Mails oder Gespräche Ihrem Vorgesetzten und dem IT Service Desk.
Und wenn Sie doch mal Opfer einer Social Engineering-Attacke wurden, ändern Sie sofort alle Ihre Passwörter und machen Sie bei Ihrem Arbeitgeber eine Meldung über den Vorfall, sodass Schutzmassnahmen ergriffen werden können.
Wir hoffen, dass Ihnen unsere Tipps helfen, sicher mit Ihren Daten umzugehen.
