Die Social-Engineering-Bedrohung
Eine gängige Vorstellung von Cyberangriffen geht davon aus, dass ein Hacker eine Schwachstelle in den Systemen eines Unternehmens identifiziert und ausnutzt. Dadurch können sie auf sensible Daten zugreifen, Malware einschleusen oder andere böswillige Aktionen ausführen. Obwohl diese Art von Angriffen häufig vorkommt, ist Social Engineering eine häufigere Bedrohung. Im Allgemeinen ist es einfacher, eine Person zu einer bestimmten Aktion zu verleiten – etwa zur Eingabe ihrer Anmeldedaten auf einer Phishing-Seite –, als dasselbe Ziel auf andere Weise zu erreichen.
11 Arten von Social-Engineering-Angriffen
Cyber-Bedrohungsakteure können Social-Engineering-Techniken auf verschiedene Weise nutzen, um ihre Ziele zu erreichen. Einige Beispiele für häufige Social-Engineering-Angriffe sind die folgenden:
- Phishing: Beim Phishing handelt es sich um das Versenden von Nachrichten, die darauf abzielen, das Ziel auszutricksen oder zu zwingen, eine Aktion auszuführen. Beispielsweise enthalten Phishing-E-Mails häufig einen Link zu einer Phishing-Webseite oder einen Anhang, der den Computer des Benutzers mit Malware infiziert. Spear-Phishing- Angriffe sind eine Art von Phishing, das auf eine Einzelperson oder eine kleine Gruppe abzielt.
- Kompromittierung von Geschäfts-E-Mails (BEC): Bei einem BEC-Angriff gibt sich der Angreifer als Führungskraft innerhalb der Organisation aus. Anschließend weist der Angreifer einen Mitarbeiter an, eine Überweisung durchzuführen und Geld an den Angreifer zu überweisen.
- Rechnungsbetrug: In manchen Fällen geben sich Cyberkriminelle als Verkäufer oder Lieferant aus, um dem Unternehmen Geld zu stehlen. Der Angreifer sendet eine gefälschte Rechnung, die bei Bezahlung Geld an den Angreifer sendet.
- Markenimitation: Markenimitation ist eine gängige Technik bei Social-Engineering-Angriffen. Beispielsweise können Phisher vorgeben, von einer großen Marke (DHL, LinkedIn usw.) zu stammen, und die Zielperson dazu verleiten, sich auf einer Phishing-Seite bei ihrem Konto anzumelden, wobei sie dem Angreifer die Anmeldeinformationen des Benutzers mitteilen.
- Walfang: Whaling-Angriffe sind im Grunde Spear-Phishing-Angriffe, die auf hochrangige Mitarbeiter innerhalb eines Unternehmens abzielen. Führungskräfte und das obere Management haben die Macht, Aktionen zu genehmigen, die einem Angreifer zugute kommen.
- Hetze: Hetze-Angriffe nutzen einen kostenlosen oder wünschenswerten Vorwand, um das Interesse des Ziels zu wecken und es dazu zu verleiten, Anmeldedaten herauszugeben oder andere Maßnahmen zu ergreifen. Verlocken Sie beispielsweise Zielgruppen mit kostenloser Musik oder Rabatten auf Premium-Software.
- Vishing: Vishing oder „Voice Phishing“ ist eine Form des Social Engineering, das über das Telefon durchgeführt wird. Es verwendet ähnliche Tricks und Techniken wie Phishing, jedoch ein anderes Medium.
- Schmunzelnd: Smishing ist Phishing, das über SMS-Textnachrichten ausgeführt wird. Mit der zunehmenden Nutzung von Smartphone und Linkverkürzungsdiensten wird Smishing immer häufiger zu einer Bedrohung.
- Vorwand: Beim Vorwand erschafft der Angreifer ein vorgetäuschtes Szenario, in dem es logisch wäre, dass das Ziel dem Angreifer Geld schickt oder vertrauliche Informationen weitergibt. Beispielsweise kann der Angreifer behaupten, eine vertrauenswürdige Partei zu sein, die Informationen benötigt, um die Identität des Opfers zu überprüfen.
- Gegenleistung: Bei einem Gegenleistungsangriff gibt der Angreifer dem Ziel etwas – zum Beispiel Geld oder eine Dienstleistung – als Gegenleistung für wertvolle Informationen.
- Tailgating/Piggybacking: Tailgating und Huckepack sind Social-Engineering-Techniken, die eingesetzt werden, um sich Zugang zu sicheren Bereichen zu verschaffen. Der Social Engineer folgt jemandem mit oder ohne dessen Wissen durch eine Tür. Beispielsweise kann ein Mitarbeiter jemandem, der mit einem schweren Paket zu kämpfen hat, die Tür aufhalten.
So verhindern Sie Social-Engineering-Angriffe
Social Engineering zielt eher auf die Mitarbeiter eines Unternehmens als auf Schwachstellen in seinen Systemen ab. Zu den Möglichkeiten, wie sich ein Unternehmen vor Social-Engineering-Angriffen schützen kann, gehören:
- Schulung der Mitarbeiter: Social-Engineering-Angriffe sollen das beabsichtigte Ziel austricksen. Die Schulung der Mitarbeiter darin, gängige Social-Engineering-Techniken zu erkennen und richtig darauf zu reagieren, trägt dazu bei, das Risiko zu verringern, dass sie auf sie hereinfallen.
- Geringstes Privileg: Social-Engineering-Angriffe zielen in der Regel auf Benutzeranmeldeinformationen ab, die für Folgeangriffe verwendet werden können. Durch die Einschränkung des Benutzerzugriffs wird der Schaden begrenzt, der mit diesen Anmeldeinformationen angerichtet werden kann.
- Aufgabentrennung: Die Verantwortung für kritische Prozesse, wie z. B. Überweisungen, sollte auf mehrere Parteien aufgeteilt werden. Dadurch wird sichergestellt, dass kein einzelner Mitarbeiter von einem Angreifer dazu verleitet oder gezwungen werden kann, diese Aktionen auszuführen.
- Anti-Phishing-Lösungen: Phishing ist die häufigste Form des Social Engineering. Anti-Phishing-Lösungen wie E-Mail-Scanning können dabei helfen, bösartige E-Mails zu erkennen und daran zu hindern, die Posteingänge der Benutzer zu erreichen.
- Mehrstufige Authentifizierung (MFA): MFA erschwert es einem Angreifer, durch Social Engineering kompromittierte Anmeldeinformationen zu verwenden. Zusätzlich zu einem Passwort würde der Angreifer auch Zugriff auf den anderen MFA-Faktor benötigen.
- Endgerätesicherheit: Social Engineering wird häufig eingesetzt, um Malware auf Zielsysteme zu übertragen. Lösungen der Endgerätesicherheit können die negativen Auswirkungen eines erfolgreichen Phishing-Angriffs begrenzen, indem sie Malware-Infektionen erkennen und beheben.