Social Engineering – die unterschätzte Gefahr
Bei Social Engineering handelt es sich um eine Technik, mit der Cyberkriminelle versuchen, arglose Benutzer dazu zu bewegen, vertrauliche Daten an den Angreifer zu senden, Malware auf dem Computer zu installieren oder einen Link zu einer infizierten Seite zu öffnen.
Darüber hinaus versuchen viele Hacker, das fehlende technische Wissen vieler Benutzer ausnutzen. Denn Dank der rapiden technologischen Entwicklung kennen viele Verbraucher und Angestellte nicht den Wert persönlicher Daten und wissen nicht, wie sie diese Informationen am besten schützen können.
Wir erklären Ihnen, wie Sie sich am besten davor schützen können.
Social Engineering
im Unternehmen
Wenn man versteht, wie ein Mensch „tickt“ dann kann dieser mit etwas Feingefühl manipuliert werden. Dabei tarnen die Betrüger als Arbeitskollege, Vorgesetzter, Polizist oder ähnliches. So können die Kriminellen sich das Vertrauen erschleichen und sensible Daten erbeuten.
„Jeder kann Opfer eines Angriffs werden“
Wer ist im Unternehmen gefährdeter?
Jeder im Unternehmen
Egal, welche Position ein Mitarbeiter im Unternehmen begleitet, jeder hat Informationen über das Unternehmen. Dies nutzen die Kriminellen aus, um sich nach und nach ein Bild zu machen.
Was ist Social Engineering?
Es bezeichnet eine Vorgehensweise von Betrügern, die die Schwachstelle “Mensch” im Unternehmen ausnutzen. Dabei werden Mitarbeiter überredet, Sicherheitsmaßnahmen zu umgehen und sensible Informationen preizugeben.
Am besten lässt sich diese Vorgehensweise als “Trickbetrug” übersetzen. Der Angreifer versucht hierbei, das Vertrauen eines Mitarbeiters zu gewinnen, um diesen dann dazu zu verleiten, Informationen preiszugeben. Häufig nutzen die Social Engineers die Eitelkeit, Autoritätshörigkeit, Neugier oder Gier bei den Mitarbeitern aus. So können die Angreifer Mails im Namen des Chefs mit dessen Mailadresse versenden oder “harmlose” Medien, wie z.B. lustige oder süße Videos versenden bzw. auf diese verlinken.
Warum Social Engineering?
Häufig stellt sich die Frage, warum diese Technik so häufig eingesetzt wird und warum sie so erfolgreich ist?
- Antivirenprogramme und Firewalls können die IT im Unternehmen schützen und Unregelmäßigkeiten melden.
- Für Kriminelle ist es einfacher, einen Menschen zu hacken statt eine Maschine.
- Ein Computer arbeitet rein rational, während ein Mensch von seinen Emotionen gesteuert wird.
- Es ist so erfolgreich, weil das menschliche Denken und Verhalten relativ berechenbar ist.
- Es wird immer versucht, den Menschen bei seinen Emotionen zu berühren, damit der Verstand nicht entscheidet.
Die 5 Arten von Social Engineering
Ein Social Engineer arbeitet mit einer Reihe von verschiedenen Techniken, um Sie davon zu überzeugen, Informationen preiszugeben.
Hacker nutzen verschiedene Schadprogramme, Social Engineers Psychologie.
Der Kriminelle ruft Sie an und möchte Ihnen bei einem vermeintlichen Problem helfen.
So geben diese sich dann gerne als Supportmitarbeiter von z.B. Microsoft aus und versuchen so, über Sie Zugriff auf Ihren Rechner zu erhalten.
Es kommt auch häufig vor, dass die Kriminellen Sie anschreiben und Sie bitten, eine Servicenummer anzurufen.
Fallen Sie nicht darauf herein; kein Unternehmen wird Sie wahllos anrufen, um einen Fehler zu beheben.
Im Zweifelsfall eine Rückrufnummer notieren, im Internet nach diesem Unternehmen suchen und die korrekte Telefonnummer von der Webseite für eine telefonische Rückfrage nutzen.
Dies ist der lateinische Begriff für “dies für das” und so funktioniert das auch in der Praxis.
Der Angreifer verspricht Ihnen etwas vermeintlich Wertvolles als Ausgleich für eine wichtige Information. Der Angreifer tarnt sich dabei z.B. als IT-Support bzw. Ihren IT-Dienstleister.
Er versucht dann z. B. ein Problem zu beschreiben, für das Sie angeblich verantwortlich sind und welches das gesamte Netzwerk bedroht. Um diesen Fehler schnellstmöglich und ohne großes Aufsehen beheben zu können, benötigt er dann nur Ihr Passwort.
Oder es wird sich als Telefonumfrage getarnt, welche Informationen über das Unternehmen sammelt und als Ausgleich ein Tablet in Aussicht stellt.
Dieser Angriff erscheint oft harmlos; ein einsamer USB-Stick liegt auf dem Parkplatz mit der Aufschrift “Aktuelle Charts”.
Der Stick wird aufghoben und am Arbeitsplatz „mal kurz“ nachgeschaut, welche Musik sich darauf befindet.
Ohne dass Sie etwas anklicken, wird dann ein Virus vollautomatisch installiert.
Kriminelle lassen sich dabei immer mal wieder etwas Neues einfallen. Sie nehmen unterschiedliche Aufschriften für die USB-Sticks.
In der Regel hat der Chef z.B. immer einen eigenen Parkplatz oder dem Kriminellen ist bekannt, welchen Wagen der Inhaber fährt.
Häufig wird ein USB-Stick neben dem Wagen des Inhabers gelegt; mit z. B. der Aufschrift “Mitarbeiterabbaupläne” oder “Bonifikation Mitarbeiter”.
Man einer kann der Neugier dann nicht wiederstehen und infiziert das Unternehmen.
Nicht jeder Angriff ist rein digital. Beim Tailgating versuchen Unternehmensfremde mit Ihnen zusammen in das Unternehmen zu gelangen.
Der Angreifer gibt z.B. an, dass er seine Zugangskarte vergessen habe oder wartet in einer Raucherecke, um dann mit Ihnen ins Gebäude zu kommen.
Hierbei wird auf Freundlichkeit gesetzt, um von Punkt A nach Punkt B zu gelangen.
Schicken Sie den “Kollegen” in solch einem Fall zum Empfang oder einem anderen zuständigen Ansprechpartner.
Die beliebteste Art des Social-Engineerings sind Phishing-Mails. Die Kriminellen senden Ihnen Mails zu, die auf den ersten Blick von einer legitimen Quelle stammen könnten.
Ziel ist es dabei jedoch, Sie davon zu überzeugen, vertrauliche Informationen weiterzugeben.
Diese können dann u.a. für einen Identitätsmissbrauch benutzt werden.
Geben Sie deshalb u.a. keine Anmeldeinformationen per Mail weiter. Achten Sie auf die Anhäng und prüfen Sie, ob diese verdächtig sind; holen Sie sich ggf. eine weitere Meinung ein.
Im Zweifelsfall keinen Link oder Anhang anklicken!
Social Engineering
Woher weiß ein Social Engineer soviel über mich? Früher wurden Mülltonnen durchwühlt, heutzutage das Internet.
Wir hinterlassen immer häufiger einen digitalen Abdruck im Internet.
Dieses nutzen die Kriminellen, um sich über das potenzielle Opfer genauer zu informieren und diese Informationen dann gegen diese Person einzusetzen.
Wie kann ich mich schützen?
Wie kann ich mich und das Unternehmen schützen gegen diese Angriffe?
Jetzt ein Whitepaper anfordern und direkt Tipps erhalten, wie ich mich im Bereich Social Engineering schützen kann.
Mit Hilfe des BeitragsChecks können Sie uns aus Ihren Kontobewegungen die Versicherungsverträge senden, zu denen Sie eine Beratung wünschen.
Hierfür geben Sie lediglich Ihre Kontodaten ein und Sie erhalten eine Auswahl von Transaktionen mit Versicherungsunternehmen. Haken Sie diejenigen Transaktionen an, zu denen Sie eine Beratung wünschen. Wir setzen uns dann umgehend mit Ihnen in Verbindung.
Finden Sie mit uns Ihre Lösung.
Kuch & Partner GmbH & Co. KG
Zeppelinstraße 14a • 65549 Limburg
Tel.: 06431 / 90225140 • Fax: 06431 /90225149 info@kuchundpartner.de https://www.kuchundpartner.de
