Social Engineering

Zehn beliebte Social-Engineering-Methoden im Überblick

Von in IT-Sicherheit
29
Mrz
'19

Social Engineering ist ein Begriff, den viele schon einmal gehört haben, unter dem sich die wenigsten aber etwas Konkretes vorstellen können. Das liegt vor allem daran, dass Social-Engineering-Angriffe kaum unterschiedlicher aussehen könnten.

Was zehn beliebte Social-Engineering-Methoden sind und wie sie sich voneinander unterscheiden, erfahren Sie hier.

Social-Engineering-Methoden nutzen die Schwachstellen von Mitarbeitern aus

Social-Engineering-Methoden zielen darauf ab, Menschen als Werkzeuge zu missbrauchen. (Bild: pixabay.com/publicdomainpictures)

Zehn beliebte Social-Engineering-Methoden

Beim Social Hacking oder Social Engineering missbrauchen Angreifer zwischenmenschliche Interaktionen, um an sensible Daten zu gelangen. Die bekanntesten Social-Engineering-Methoden könnten kaum unterschiedlicher sein. Sie haben lediglich gemeinsam, dass Gefühle von Mitmenschen geschickt ausgenutzt werden. Die Unterschiedlichkeit von Social-Engineering-Methoden hebt Raj Samani in McAfees Studie Hacking the Human Operation System hervor.

Unsere Reihe „Der Schutz vor Social Engineering“ im Überblick
Teil 1: Was ist Social Hacking/Social Engineering und wie kann man sich davor schützen?
Teil 2: Zehn beliebte Social-Engineering-Methoden im Vergleich

1. Das Pretexting

Das Pretexting ist eine weitgefächerte Methode des Social Engineering. Der Social Engineer erfindet hierbei ein ausgeklügeltes Szenario. Es besteht aus glaubwürdigen, aber erfundenen Geschichten zur persönlichen oder geschäftlichen Verbindung zum Unternehmen. Hierbei nehmen die Lügen zum Teil gigantische Ausmaße an und umfassen manchmal auch extra angelegte E-Mail-Adressen und Websites zur Verifizierung der Geschichte.

Das Hauptziel des Angreifers ist es, an persönliche und/oder geschäftliche Daten zu kommen, die in der Regel aber nicht ausschließlich vertraulichen Ursprungs sind. Meistens gibt er daher vor, Daten zu benötigen, um Identitäten zu bestätigen oder Dienstleistungen durchführen zu können. Angreifer können dem Anschein nach Techniker, aber auch interne Mitarbeiter, Polizisten, Finanzamtsangestellte oder Lieferanten sein.

Social Engineers setzen das Pretexting meistens gemeinsam mit anderen Social-Engineering-Methoden ein. Viele von ihnen benötigen das Pretexting als Grundlage, um erfolgreich zu funktionieren.

2. Das Tailgating

Die Annahme, Social Engineering würde ausschließlich im Digitalen stattfinden, ist ein gefährlicher Irrtum. Social-Engineering-Methoden umfassen nicht nur technische Angriffe, sondern auch in der wirklichen Welt stattfindende. Raj Samani hebt in der McAfee-Studie hervor, dass für die Durchführung von komplexen Social-Engineering-Angriffen nicht zwingend weitreichende IT-Kenntnisse erforderlich sind.

Als Tailgating versteht man das physische Eindringen eines Angreifers in den geschlossenen Bereich eines Unternehmens. In diesen gelangen Unbefugte meistens entweder durch die einfache Umgehung von Sperrzonen wie elektronischen Zugangskontrollen oder mithilfe von Pretexting. Eine dem Unternehmen gänzlich fremde Person kann so beispielsweise vorgaukeln, der Fahrer einer kooperierenden Lieferfirma, ein Netzwerktechniker oder aber auch ein neuer Kollege zu sein.

Social Engineering durch „Innentäter“

Das Tailgating umfasst auch das Eindringen tatsächlicher Mitarbeiter in einen für sie nicht authentifizierten Bereich. Gerade, weil es sich bei den meisten Datendieben um aktuelle oder ehemalige Mitarbeiter eines Unternehmens handelt, ist die Gefahr des Social Engineering durch „Innentäter“ nicht zu unterschätzen.

Die Möglichkeiten und der Erfolg von Social-Engineering-Methoden variieren je nach Unternehmen, nach seiner Größe und Branche. Das Vorgehen eines Social Engineers ist auch stark von äußeren Einflüssen wie beispielsweise einer Festivität abhängig.

Mehr Informationen zu dieser Methode erhalten Sie in unserem Blogeintrag zur Security Awareness.

3. Das Phishing

Beim Phishing handelt es sich um das massenhafte Verschicken von Nachrichten, die vorgeben, von realen Dienstleistern oder Webshops wie Amazon oder PayPal zu sein. Darin werden Benutzer aufgefordert, ihre Daten wie Passwörter oder Kontodaten weiterzugeben oder Links zu folgen, die mithilfe von Malware das gesamte Netzwerk infizieren und/oder Daten verschlüsseln. Das Unternehmensnetzwerk kann zudem in Botnetze integriert und für DDoS-Angriffe missbraucht werden.

Nach Samani sind die zahlenmäßig meisten Social-Engineering-Attacken Phishing-Angriffe. Wer an Social Engineering denkt, denkt zuerst an Phishing: Nachrichten, die angeblich vom Systemadministrator kommen, Nachrichten von Dienstleistern oder fingierte Urlaubsgrüße. Phishing erfolgt aber nicht zwingend über E-Mail, sondern kann auch über den Chat, Briefe, das Telefon oder per Fax erfolgen.

Während das Phishing eine der beliebtesten Social-Engineering-Methoden ist, gilt das Social Engineering gleichzeitig als Herzstück des Phishings. Nur durch zwischenmenschliche Manipulation werden Benutzer erfolgreich dazu gebracht, auf bestimmte Links zu klicken, ihre Daten weiterzugeben oder Dateien herunterzuladen. Gerade die emotionale Komponente und die Authentizität macht professionelle Phishing-Nachrichten im Gegensatz zu falsch formatierten und schlecht geschriebenen E-Mails so gefährlich.

4. Das Spear Phishing

Die Hunting-Methode Spear Phishing stellt eine Sonderform der Farming-Methode Phishing dar. Hierbei wird ein gezielter und hochgradig individueller Angriff auf ein spezifisches Unternehmen durchgeführt. Das Ziel von Spear-Phishing-Angriffen ist die Infiltration des Unternehmens. Die intensive Observation des Angriffsziels ist im Vorfeld notwendig.

Unter Umständen werden mithilfe von weiteren Social-Engineering-Methoden Informationen über das Unternehmen und seine Mitarbeiter eingeholt. Durch die Bezugnahme auf bestimmte Kollegen, unternehmensinterne Informationen oder anstehende Veranstaltungen ist das Spear Phishing häufig nur schwer als Social-Engineering-Attacke zu enttarnen. Erschwerend kommt hinzu, dass durch Schadsoftware wie der Blended Attack Emotet Spear-Phishing-Angriffe auch von legitimen E-Mail-Adressen, die gehackt worden sind, ausgeführt werden können.

5. Das Baiting

Das Baiting ist eine Social-Engineering-Methode, die sich vor allem die menschliche Neugierde zunutze macht. Beim Baiting wird ein digitaler oder physischer Köder eingesetzt, hinter dem sich zumeist Malware verbirgt. Bei dem Köder kann es sich beispielsweise um einen Download-Link handeln, der zu einem vermeintlich kostenlosen Programm führt. Aber auch ein USB-Stick mit scheinbar interessanten Daten ist ein beliebter Köder. Baiting ähnelt dem Phishing. Es unterscheidet sich aber von ihm und anderen Social-Engineering-Methoden, indem es etwas Konkretes (den Köder) verspricht.

Social-Engineering-Methoden sind oft mit dem Tailgating verbunden

Erst nach dem Tailgating erfolgen andere Social-Engineering-Methoden wie das Media Dropping. (Bild: pixabay.com/jarmoluk)

6. Das Media Dropping

Das Media Dropping ist eine der Social-Engineering-Methoden, die sowohl digitale als auch analoge Komponenten aufweist. Hierbei kommen USB-Sticks, CDs oder andere Speichermedien zum Einsatz, die mit Malware infiziert sind. Oft handelt es sich bei der Schadsoftware um Spyware oder Bots für DDoS-Angriffe. Dieser einfache Trick ist einer der erfolgreichsten, um Unternehmen zu infiltrieren.

Die Datenträger werden hierbei – häufig im Rahmen von Tailgating-Aktionen – bewusst so platziert, dass sie für Mitarbeiter sichtbar sind. Sie sind meistens als verlorene, verlegte oder aber als bewusst mit wichtigen Daten für bestimmte Mitarbeiter befüllte Speichermedien getarnt.

Cyberkriminelle setzen beim Media Dropping darauf, dass die Neugier der Mitarbeiter groß genug ist, die Daten des Sticks zu öffnen und somit die Schadsoftware auf ihre Computer gelangen zu lassen. Verspricht sich der Finder etwas mit dem Datenträger, ist dieser also beispielsweise mit „Gehaltstabelle 2019“ beschriftet, so handelt es sich nicht nur um Media Dropping, sondern gleichzeitig immer auch um Baiting.

7. Honeypots

Als Honeypots können fingierte Personen oder Institutionen zu verstanden werden, die im körperlichen und/oder wirtschaftlichen Sinn objektiv als attraktiv wahrgenommen werden. Honeypots, die sich an Privatpersonen richten, sind vor allem Personen, die vorgaukeln, eine persönliche Beziehung initiieren zu wollen.

Wirtschaftliche Honeypots, die sich an Unternehmen richten, geben im Gegensatz dazu vor, wichtige Geschäftsbeziehungen darzustellen. Cyberkriminelle versuchen dabei, kompromittierendes Material zu sammeln, um das Opfer damit zu erpressen und so an sensible Unternehmensdaten zu gelangen.

Achtung: Der Begriff „Honeypot“ wird nicht nur für die besagte Social-Engineering-Methode verwendet, sondern auch für einen Mechanismus zur Erkennung von Spam-Bots.

8. Quid pro Quo

Quid-pro-Quo-Angriffe funktionieren ähnlich wie das Baiting. Im Gegensatz zu den anderen Social-Engineering-Methoden basiert diese Methode jedoch auf Vertrauen bzw. nach dem Prinzip „eine Hand wäscht die andere“. Cyberkriminelle bieten etwas Wünschenswertes im Austausch gegen persönliche oder geschäftliche Informationen an.

Bei dem Begehrten handelt es sich zumeist um bestimmte Services. Unter anderem geben sich die Angreifer als Service-Personal aus und bieten ihren Opfern Hilfestellungen bei der Bearbeitung von bestimmten Aufgaben oder Problemen im Gegenzug zur Bereitstellung der Informationen an. Quid-pro-Quo-Angriffe werden häufig in Verbindung mit Spear-Phishing-Attacken durchgeführt.

9. Die Scareware

Scareware sind automatisierte Schadprogramme, die dem Zweck dienen, ihre Opfer zu täuschen, zu verängstigen und gleichzeitig zu bestimmten unüberlegten Handlungen zu bewegen. Eine Gefahr, die äußerst bedrohlich wirkt, wird hierbei lediglich simuliert, existiert jedoch gar nicht wirklich.

Die scheinbaren Gefahren sollen meistens durch das Herunterladen von vermeintlichen Virenschutzprogrammen oder anderer Software behoben werden. Mit den Downloads gelangen jedoch tatsächlich gefährliche Trojaner auf das betroffene System. Bei Scareware handelt es sich meistens um Browser-Plugins oder in Webseiten eingebundene Pop-Ups.

Zu den gefährlichsten Social-Engineering-Methoden gehört der CEO-Fraud

Für Unternehmen ist der CEO-Fraud eine der gefährlichsten Social-Engineering-Methoden. (Bild: pixabay.com/terovesalainen)

10. Der CEO-Betrug/CEO-Fraud

Eine der für Unternehmen besonders gefährlichen Social-Engineering-Methoden ist der CEO-Betrug bzw. CEO-Fraud. Hierbei wird die E-Mail oder der Anruf eines vermeintlichen Vorgesetzten mit dem Appell der sofortigen Mitteilung wichtiger Daten fingiert.

Die auch als Chef-Trick bezeichnete Methode basiert darauf, dass man allgemeine Sicherheitsbestimmungen eher ignoriert, wenn eine vermeintliche Autoritätsperson dazu auffordert: Kaum ein Mitarbeiter, so die Annahme, wagt es, dem Vorgesetzten ein wichtiges Anliegen abzuschlagen – vor allem nicht in einer Notsituation.

Die Nachrichten sind meistens täuschend echt, weil die Trickbetrüger nämlich oft schon lange im Vorfeld das entsprechende Unternehmen ausspionieren und sich z.T. auch über die Eigenarten des Vorgesetzten informieren. Der CEO-Fraud stellt als Sonderform der Social-Engineering-Methoden Pretexting und Spear Phishing den beliebtesten Social-Engineering-Angriff gegen Unternehmen dar.

Der wirtschaftliche Schaden, der bei einem Chef-Trick entsteht, kann enorm sein. Bekannt geworden ist der CEO-Fraud unter anderem durch die Phishing-Mail mit dem Absender @ceopvtmail.com.

Lesen Sie mehr in unseren Blogeinträgen zum CEO-Betrug bzw. CEO-Fraud und zum E-Mail-Betrug mit @ceopvtmail.com.

border_color

IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!

Unsere IT-Dienstleister beraten Sie zum Schutz vor den verschiedenen Social-Engineering-Methoden. Sorgen Sie dafür, dass Ihr Unternehmen ganzheitlich geschützt ist.

Jetzt Kontakt aufnehmen!

Robin Laufenburg

Robin Laufenburg unterstützt seit 2018 den Blog des IT-SERVICE.NETWORK als Werkstudent. Neben seiner Arbeit als SEO-Texter studiert er Germanistik im Master. Auch in seiner Freizeit schreibt Robin Texte und tritt damit bei Poetry Slams auf.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.