Was ist ein Social-Engineering-Angriff?

Bei Social-Engineering-Angriffen werden die Opfer so manipuliert, dass sie sensible Informationen aushändigen, die für böswillige Zwecke verwendet werden können.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Social Engineering definieren
  • Verschiedene Arten von Social-Engineering-Angriffen beschreiben
  • Bewährte Vorgehensweisen verstehen, um zu vermeiden, Opfer eines Social-Engineering-Angriffs zu werden

Link zum Artikel kopieren

Was ist Social Engineering?

Im Großen und Ganzen ist Social Engineering die Praxis, Menschen so zu manipulieren, dass sie sensible Informationen offenlegen. Social-Engineering-Angriffe können persönlich erfolgen, wie z. B. bei einem Einbrecher, der sich als Paketbote verkleidet, um sich in ein Gebäude einzuschleichen. Dieser Artikel widmet sich jedoch Social-Engineering-Cyberangriffen. In den meisten Fällen zielen diese Angriffe darauf ab, das Opfer dazu zu bringen, entweder Anmeldedaten oder sensible Finanzinformationen preiszugeben.

  • Beispielsweise kann ein Angreifer eine E-Mail an sein Opfer senden und es dabei aussehen lassen, als würde die Nachricht von einer Person aus der Kontaktliste des Betroffenen stammen. Diese E-Mail kann einen verdächtigen Link enthalten, der bei Anklicken einen böswilligen Cross-Site-Scripting-Angriff ausführt oder das Opfer auf eine böswillige Website leitet.
  • Oder aber ein Angreifer ködert Online-Benutzer mit Links, die vorgeben, zu Downloads beliebter Filme oder Software zu führen, jedoch in Wirklichkeit eine böswillige Nutzlast beinhalten.
  • Ein anderer Angreifer wiederum kontaktiert sein Opfer und behauptet, ein wohlhabender Ausländer zu sein, der deutsche Kontodaten benötigt, um sein Vermögen zu überweisen, und verspricht, das Opfer im Gegenzug für seine Bankinformationen großzügig zu belohnen. In Wirklichkeit ist der Angreifer jedoch nur darauf aus, die Konten des Opfers zu leeren.
Beispiel für Social Engineering

Zusätzlich zu diesen Arten von kleinen und persönlichen Social-Engineering-Betrugsmaschen gibt es auch weitaus raffiniertere Social-Engineering-Angriffe, die gegen ganze Organisationen gerichtet sind, z. B. das absichtliche „Verlieren“ von USB-Sticks. Diese Angriffe können auf die Netzwerke gut geschützter Unternehmen abzielen – sogar auf solche, die nicht mit dem Internet verbunden sind. Die Angreifer legen hierzu mehrere USB-Sticks auf dem Parkplatz der Zielfirma aus. Sie versehen diese Sticks mit einem verlockenden Etikett, wie etwa „Vertraulich“, in der Hoffnung, dass irgendein neugieriger Angestellter einen findet und an seinen Computer ansteckt. Diese Laufwerke können extrem schädliche Viren oder Würmer enthalten, die schwer nachzuverfolgen sind, da sie von einem lokalen Computer aus in das Netzwerk gelangen.

Was sind die bekanntesten Beispiele von Social-Engineering-Angriffen?

Die Datenschutzverletzung von RSA im Jahr 2011 sorgte für großes Aufsehen – vor allem deshalb, weil RSA ein vertrauenswürdiges Sicherheitsunternehmen ist. Diese Verletzung hebelte den beliebten Zwei-Faktor-Authentifizierungsdienst von RSA, SecurID, aus. Zwar wurden nicht alle Einzelheiten dieser Attacke öffentlich bekanntgegeben, aber man weiß, dass sie mit einem Social-Engineering-Angriff begann. Ausgangspunkt war ein simpler Phishing-Angriff, bei dem die Angreifer E-Mails an niedrigrangige RSA-Angestellte schickten, die den Anschein erweckten, es handle sich um Firmen-E-Mails aus dem Personalbüro. Einer der anvisierten Mitarbeiter öffnete den Anhang dieser E-Mail und löste so den Angriff aus.

Die Associated Press fiel 2013 einem Social-Engineering-Angriff zum Opfer, der zu einem Börsensturz in der Höhe von 136 Milliarden Dollar führte. Auch diesem Fall lag ein Phishing-Angriff zugrunde, der an Mitarbeiter verschickt wurde. Lediglich durch das Öffnen eines Links in der E-Mail löste einer der Mitarbeiter den Angriff aus. Das führte dazu, dass der Twitter-Account der AP kompromittiert wurde und die Angreifer eine gefälschte Nachrichtenmeldung über eine Explosion im Weißen Haus twittern konnten. Diese Falschmeldung verbreitete sich wie ein Lauffeuer und führte zu einem Kurssturz des Dow-Jones-Index um 150 Punkte. Eine syrische Hackergruppe, bekannt als die Syrian Electronic Army, bekannte sich zu dem Angriff, lieferte aber nie Beweise dafür.

Der Datendiebstahl bei der US-Einzelhandelskette Target im Jahr 2013 hat sich aufgrund seiner Raffinesse zu einem der berüchtigsten Cyberangriffe der Geschichte entwickelt. Wie die anderen hier erwähnten Angriffe begann er mit Social Engineering. Allerdings hatten es die Angreifer zunächst nicht auf jemanden abgesehen, der für Target arbeitet. Stattdessen schickten sie E-Mails an Mitarbeiter eines Heizungs- und Klimaanlagenanbieters, der High-Tech-Klimaanlagen in den Geschäften von Target installiert hatte. Diese Klimaanlagen waren mit den Computersystemen in den Geschäften von Target verbunden, und sobald die Angreifer in der Lage waren, den Drittanbieter zu kompromittieren, konnten sie sich in die Netzwerke von Target einhacken und Kreditkartendaten von Kartenscannern in Tausenden von Geschäften sammeln, wodurch ihnen die Finanzdaten von etwa 40 Millionen Target-Kunden in die Hände fielen.

Schutz gegen Social-Engineering-Angriffe

Während automatisierte Sicherheitsfunktionen wie E-Mail-Screening Angreifer daran hindern können, mit Opfern in Kontakt zu treten, ist die beste Verteidigung gegen Social-Engineering-Angriffe der gesunde Menschenverstand in Verbindung mit aktuellem Wissen über die gängigsten Social-Engineering-Angriffe. In den USA rät das Computer Emergency Readiness Team (US-CERT), bei verdächtigen Nachrichten vorsichtig zu sein und sensible Informationen über das Internet nur auf sicheren Webseiten zu übermitteln (HTTPS und TLS sind gute Hinweise auf die Sicherheit von Websites). Außerdem wird empfohlen, nicht auf in E-Mails enthaltene Links zu klicken und stattdessen die URLs vertrauenswürdiger Unternehmen direkt in den Browser einzugeben. Website-Eigentümer können ihren Teil dazu beitragen, indem sie einen Dienst wie das Cloudflare CDN nutzen, das sie benachrichtigt, sobald Angreifer ihre Domain für Phishing-Angriffe nutzen.