Social Engineering ist ein Begriff, den viele schon einmal gehört haben, unter dem sich die wenigsten aber etwas Konkretes vorstellen können. Das liegt vor allem daran, dass Social-Engineering-Angriffe kaum unterschiedlicher aussehen könnten.
Was zehn beliebte Social-Engineering-Methoden beziehungsweise Social-Engineering-Beispiele sind und wie sie sich voneinander unterscheiden, erfahren Sie hier.
Was versteht man unter Social Engineering?
Was versteht man unter Social Engineering?
Beim Social Hacking (auch: Social-Engineering-Hack) oder Social Engineering missbrauchen Angreifer (auch: Social Engineers) zwischenmenschliche Interaktionen, um an sensible Daten zu gelangen. Die bekanntesten Social-Engineering-Methoden beziehungsweise Social-Engineering-Beispiele könnten kaum unterschiedlicher sein. Sie haben lediglich gemeinsam, dass Gefühle von Mitmenschen geschickt ausgenutzt werden. Die Unterschiedlichkeit von Social-Engineering-Methoden hebt Raj Samani in McAfees Studie „Hacking the Human Operation System“ hervor.
Unsere Reihe „Der Schutz vor Social Engineering“ im Überblick
Teil 1: Was ist Social Hacking/Social Engineering und wie kann man sich davor schützen?
Teil 2: Zehn beliebte Social-Engineering-Methoden im Vergleich
Social-Engineering-Methoden zielen darauf ab, Menschen als Werkzeuge zu missbrauchen. (Bild: pixabay.com/publicdomainpictures)
1. Das Pretexting
Das Pretexting ist eine weitgefächerte Methode des Social Engineering beziehungsweise der Social-Engineering-Beispiele. Der Social Engineer erfindet hierbei ein ausgeklügeltes Szenario. Es besteht aus glaubwürdigen, aber erfundenen Geschichten zur persönlichen oder geschäftlichen Verbindung zum Unternehmen. Hierbei nehmen die Lügen zum Teil gigantische Ausmaße an und umfassen manchmal auch extra angelegte E-Mail-Adressen und Websites zur Verifizierung der Geschichte.
Das Hauptziel des Social Engineer ist es, an persönliche und/oder geschäftliche Daten zu kommen, die in der Regel aber nicht ausschließlich vertraulichen Ursprungs sind. Meistens gibt er daher vor, Daten zu benötigen, um Identitäten zu bestätigen oder Dienstleistungen durchführen zu können. Angreifer beziehungsweise Social Engineers Pretexting können dem Anschein nach Techniker, aber auch interne Mitarbeiter, Polizisten, Finanzamtsangestellte oder Lieferanten sein.
Social Engineers setzen das meistens gemeinsam mit anderen Social-Engineering-Methoden ein. Viele von ihnen benötigen das Pretexting als Grundlage, um erfolgreich zu funktionieren.
2. Das Tailgating
Die Annahme, Social Engineering würde ausschließlich im Digitalen stattfinden, ist ein gefährlicher Irrtum. Social-Engineering-Methoden umfassen nicht nur technische Angriffe, sondern auch in der wirklichen Welt stattfindende. Raj Samani hebt in der McAfee-Studie hervor, dass für die Durchführung von komplexen Social-Engineering-Angriffen (Social-Engineering-Hacks) nicht zwingend weitreichende IT-Kenntnisse erforderlich sind.
Als Tailgating versteht man das physische Eindringen eines Social Engineers in den geschlossenen Bereich eines Unternehmens. In diesen gelangen Unbefugte meistens entweder durch die einfache Umgehung von Sperrzonen wie elektronischen Zugangskontrollen oder mithilfe von Pretexting. Eine dem Unternehmen gänzlich fremde Person kann so beispielsweise vorgaukeln, der Fahrer einer kooperierenden Lieferfirma, ein Netzwerktechniker oder aber auch ein neuer Kollege zu sein.
Social Engineering durch „Innentäter“
Das Social-Engineering-Beispiel Tailgating umfasst auch das Eindringen tatsächlicher Mitarbeiter in einen für sie nicht authentifizierten Bereich. Gerade, weil es sich bei den meisten Datendieben um aktuelle oder ehemalige Mitarbeiter eines Unternehmens handelt, ist die Gefahr des Social Engineering durch „Innentäter“ nicht zu unterschätzen.
Die Möglichkeiten und der Erfolg von Social-Engineering-Methoden variieren je nach Unternehmen, nach seiner Größe und Branche. Das Vorgehen eines Social Engineers ist auch stark von äußeren Einflüssen wie beispielsweise einer Festivität abhängig.
Mehr Informationen zu dieser Methode erhalten Sie in unserem Blogeintrag zur Security Awareness.
3. Das Phishing
Beim Phishing handelt es sich um das massenhafte Verschicken von Nachrichten, die vorgeben, von realen Dienstleistern oder Webshops wie Amazon oder PayPal zu sein. Darin werden Benutzer aufgefordert, ihre Daten wie Passwörter oder Kontodaten weiterzugeben oder Links zu folgen, die mithilfe von Malware das gesamte Netzwerk infizieren und/oder Daten verschlüsseln. Das Unternehmensnetzwerk kann zudem in Botnetze integriert und für DDoS-Angriffe missbraucht werden.
Nach Samani sind die zahlenmäßig meisten Social-Engineering-Attacken Phishing-Angriffe. Wer an Social Engineering denkt, denkt zuerst an Phishing: Nachrichten, die angeblich vom Systemadministrator kommen, Nachrichten von Dienstleistern oder fingierte Urlaubsgrüße. Phishing erfolgt aber nicht zwingend über E-Mail, sondern kann auch über den Chat, Briefe, das Telefon oder per Fax erfolgen.
Während das Phishing eine der beliebtesten Social-Engineering-Methoden ist, gilt das Social Engineering gleichzeitig als Herzstück des Phishings. Nur durch zwischenmenschliche Manipulation werden Benutzer erfolgreich dazu gebracht, auf bestimmte Links zu klicken, ihre Daten weiterzugeben oder Dateien herunterzuladen. Gerade die emotionale Komponente und die Authentizität macht professionelle Phishing-Nachrichten im Gegensatz zu falsch formatierten und schlecht geschriebenen E-Mails so gefährlich.
Was ist Phishing? – Eine Antwort bekommen Sie in unserem IT-Lexikon.
4. Das Spear Phishing
Die Hunting-Methode Spear Phishing stellt eine Sonderform der Farming-Methode Phishing dar. Hierbei wird ein gezielter und hochgradig individueller Social-Engineering-Hack auf ein spezifisches Unternehmen durchgeführt. Das Ziel von Spear-Phishing-Angriffen ist die Infiltration des Unternehmens. Die intensive Observation des Angriffsziels durch den Social Engineer ist im Vorfeld notwendig.
Unter Umständen werden mithilfe von weiteren Social-Engineering-Methoden beziehungsweise Social-Engineering-Beispielen Informationen über das Unternehmen und seine Mitarbeiter eingeholt. Durch die Bezugnahme des Social Engineers auf bestimmte Kollegen, unternehmensinterne Informationen oder anstehende Veranstaltungen ist das Spear Phishing häufig nur schwer als Social-Engineering-Attacke zu enttarnen. Erschwerend kommt hinzu, dass durch Schadsoftware wie der Blended Attack Emotet Spear-Phishing-Angriffe auch von legitimen E-Mail-Adressen, die gehackt worden sind, ausgeführt werden können.
Was ist Spear Phishing? – Eine Antwort bekommen Sie in unserem IT-Lexikon.
5. Das Baiting
Das Baiting ist eine Social-Engineering-Methode, die sich vor allem die menschliche Neugierde zunutze macht. Beim Baiting wird ein digitaler oder physischer Köder als Social-Engineering-Hack eingesetzt, hinter dem sich zumeist Malware verbirgt. Bei dem Köder kann es sich beispielsweise um einen Download-Link handeln, der zu einem vermeintlich kostenlosen Programm führt. Aber auch ein USB-Stick mit scheinbar interessanten Daten ist ein beliebter Köder. Baiting ähnelt dem Phishing. Es unterscheidet sich aber von ihm und anderen Social-Engineering-Methoden, indem es etwas Konkretes (den Köder) verspricht.
Erst nach dem Tailgating erfolgen andere Social-Engineering-Methoden wie das Media Dropping. (Bild: pixabay.com/jarmoluk)
6. Das Media Dropping
Das Media Dropping ist eine der Social-Engineering-Methoden (Social-Engineering-Beispiele), die sowohl digitale als auch analoge Komponenten aufweist. Hierbei kommen USB-Sticks, CDs oder andere Speichermedien zum Einsatz, die mit Malware infiziert sind. Oft handelt es sich bei der Schadsoftware um Spyware oder Bots für DDoS-Angriffe. Dieser einfache Trick ist einer der erfolgreichsten, um Unternehmen mithilfe eines Social Engineers zu infiltrieren.
Die Datenträger werden hierbei – häufig im Rahmen von Tailgating-Aktionen – bewusst so platziert, dass sie für Mitarbeiter sichtbar sind. Sie sind meistens als verlorene, verlegte oder aber als bewusst mit wichtigen Daten für bestimmte Mitarbeiter befüllte Speichermedien getarnt.
Social Engineers setzen beim Media Dropping darauf, dass die Neugier der Mitarbeiter groß genug ist, die Daten des Sticks zu öffnen und somit die Schadsoftware auf ihre Computer gelangen zu lassen. Verspricht sich der Finder etwas mit dem Datenträger, ist dieser also beispielsweise mit „Gehaltstabelle 2019“ beschriftet, so handelt es sich nicht nur um Media Dropping, sondern gleichzeitig immer auch um Baiting.
7. Honeypots
Als Social-Engineering-Beispiel Honeypots können fingierte Personen oder Institutionen verstanden werden, die im körperlichen und/oder wirtschaftlichen Sinn objektiv als attraktiv wahrgenommen werden. Honeypots, die sich an Privatpersonen richten, sind vor allem Personen, die vorgaukeln, eine persönliche Beziehung initiieren zu wollen. Wirtschaftliche Honeypots, die sich an Unternehmen richten, geben im Gegensatz dazu vor, wichtige Geschäftsbeziehungen darzustellen. Social Engineers versuchen dabei, kompromittierendes Material zu sammeln, um das Opfer damit zu erpressen und so an sensible Unternehmensdaten zu gelangen.
Achtung: Der Begriff „Honeypot“ wird nicht nur für die besagte Social-Engineering-Methode verwendet, sondern auch für einen Mechanismus zur Erkennung von Spam-Bots.
Was sind Honeypots? – Eine Antwort bekommen Sie in unserem IT-Lexikon.
8. Quid pro Quo
Quid-pro-Quo-Angriffe funktionieren ähnlich wie das Baiting. Im Gegensatz zu den anderen Social-Engineering-Methoden basiert diese Methode jedoch auf Vertrauen bzw. nach dem Prinzip „eine Hand wäscht die andere“. Social Engineers bieten etwas Wünschenswertes im Austausch gegen persönliche oder geschäftliche Informationen an.
Bei dem Begehrten handelt es sich zumeist um bestimmte Services. Unter anderem geben sich die Angreifer als Service-Personal aus und bieten ihren Opfern Hilfestellungen bei der Bearbeitung von bestimmten Aufgaben oder Problemen im Gegenzug zur Bereitstellung der Informationen an. Quid-pro-Quo-Angriffe werden häufig in Verbindung mit dem Social-Engineering-Hack Spear Fishing durchgeführt.
9. Die Scareware
Scareware sind automatisierte Schadprogramme, die dem Zweck dienen, ihre Opfer zu täuschen, zu verängstigen und gleichzeitig zu bestimmten unüberlegten Handlungen zu bewegen. Eine Gefahr, die äußerst bedrohlich wirkt, wird hierbei lediglich simuliert, existiert jedoch gar nicht wirklich.
Die scheinbaren Gefahren sollen meistens durch das Herunterladen von vermeintlichen Virenschutzprogrammen oder anderer Software behoben werden. Mit den Downloads gelangen jedoch tatsächlich gefährliche Trojaner auf das betroffene System. Bei dem Social-Engineering-Beispiel Scareware handelt es sich meistens um Browser-Plugins oder in Webseiten eingebundene Pop-Ups.
Für Unternehmen ist der CEO-Fraud eine der gefährlichsten Social-Engineering-Methoden. (Bild: pixabay.com/terovesalainen)
10. Der CEO-Betrug/CEO-Fraud
Eine der für Unternehmen besonders gefährlichen Social-Engineering-Methoden ist der CEO-Betrug bzw. CEO-Fraud. Hierbei wird die E-Mail oder der Anruf eines vermeintlichen Vorgesetzten mit dem Appell der sofortigen Mitteilung wichtiger Daten fingiert.
Die auch als Chef-Trick bezeichnete Methode basiert darauf, dass man allgemeine Sicherheitsbestimmungen eher ignoriert, wenn eine vermeintliche Autoritätsperson dazu auffordert: Kaum ein Mitarbeiter, so die Annahme, wagt es, dem Vorgesetzten ein wichtiges Anliegen abzuschlagen – vor allem nicht in einer Notsituation.
Die Nachrichten sind meistens täuschend echt, weil die Trickbetrüger nämlich oft schon lange im Vorfeld das entsprechende Unternehmen ausspionieren und sich zum Teil auch über die Eigenarten des Vorgesetzten informieren. Der CEO-Fraud stellt als Sonderform der Social-Engineering-Methoden Pretexting und Spear Phishing übrigens den beliebtesten Social-Engineering-Angriff gegen Unternehmen dar.
Der wirtschaftliche Schaden, der bei einem Chef-Trick entsteht, kann enorm sein. Bekannt geworden ist der CEO-Fraud unter anderem durch die Phishing-Mail mit dem Absender @ceopvtmail.com.
Mehr erfahren Sie in unseren Blogposts zum CEO-Betrug bzw. CEO-Fraud und zum CEO-E-Mail-Betrug.
Weiterführende Links:
Norton, McAfee, Mailfence, ITWissen.info, Trojaner-Info, Computerwoche, SoSafe, ComputerWeekly, Wikipedia, WhatIs.com
Geschrieben von
Robin Laufenburg unterstützt bereits seit 2018 den Blog des IT-SERVICE.NETWORK. Während er anfangs noch als Werkstudent Artikel schrieb, blieb er dem Blog auch nach seinem Masterabschluss in Germanistik erhalten. Mit privatem Interesse an der IT versteht er es, sich in komplexe Themen einzuarbeiten und sie in verständlicher Sprache darzustellen. Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung