Bei Social-Engineering-Angriffen werden die Opfer so manipuliert, dass sie sensible Informationen aushändigen, die für böswillige Zwecke verwendet werden können.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Was ist eine Datenschutzverletzung?
Was ist Web Application Security?
Brute-Force-Angriff
Man-in-the-Middle-Angriff
Pufferüberlaufangriff
Abonnieren Sie theNET und erhalten Sie monatlich die meistdiskutierten Internet-Insights von Cloudflare.
Link zum Artikel kopieren
Im Allgemeinen ist Social Engineering die Praxis, Menschen zu manipulieren, damit sie sensible Informationen preisgeben. Social-Engineering-Angriffe können persönlich stattfinden, zum Beispiel wenn sich ein Einbrecher als Lieferwagenfahrer verkleidet, um in ein Gebäude eingelassen zu werden. Dieser Artikel wird sich stattdessen auf Social-Engineering-Cyberangriffe konzentrieren. In den meisten Fällen zielen diese Angriffe darauf ab, das Opfer dazu zu bringen, entweder Anmeldedaten oder sensible Finanzinformationen preiszugeben.
Social-Engineering-Angriffe können folgendermaßen aussehen:
Zusätzlich zu diesen Arten von kleinen und persönlichen Social-Engineering-Betrugsmaschen gibt es auch weitaus ausgeklügeltere Social-Engineering-Angriffe, die gegen ganze Organisationen gerichtet sind. Ein Beispiel ist das Verlieren von USB-Sticks. Diese Angriffe können die Netzwerke gut geschützter Unternehmen ins Visier nehmen – sogar solche, die nicht mit dem Internet verbunden sind. Angreifer tun dies, indem sie mehrere USB-Sticks auf dem Parkplatz der Zielfirma verteilen. Sie versehen diese Laufwerke mit einem verlockenden Etikett wie „Vertraulich“ in der Hoffnung, dass ein neugieriger Mitarbeitender einen findet und ihn in seinen Computer steckt. Diese Laufwerke können sehr zerstörerische Viren oder Würmer enthalten, die schwer zu erkennen sind, da sie von einem lokalen Computer aus in das Netzwerk gelangen.
Social-Engineering-Angriffe können per Telefon, über E-Mail, über Social-Media-Beiträge und sogar persönlich erfolgen. Sie verwenden eine Vielzahl von Taktiken, von denen einige unten beschrieben werden, um das Vertrauen des Opfers zu gewinnen und es zu manipulieren, die gewünschte Handlung auszuführen. Das Ziel ist immer, das Opfer zu etwas zu bringen, das es anfangs nicht wollte.
Manche Social Engineering-Angreifer versuchen einfach, aus ihren direkten Opfern so viel wie möglich herauszuholen. Andere hingegen nutzen Social Engineering, um größere Ziele zu erreichen, wie etwa die Kompromittierung eines gesamten Unternehmens oder Netzwerks und der darin enthaltenen Daten. Viele Ransomware-Angriffe und Datenschutzverletzungen beginnen mit Social Engineering. Sobald die Angreifer eine Person kompromittiert haben, fällt es ihnen leichter, auf den Rest der Organisation dieser Person zuzugreifen.
Die Datenschutzverletzung von RSA im Jahr 2011 sorgte für großes Aufsehen – vor allem deshalb, weil RSA ein vertrauenswürdiges Sicherheitsunternehmen ist. Diese Verletzung hebelte den beliebten Zwei-Faktor-Authentifizierungsdienst von RSA, SecurID, aus. Zwar wurden nicht alle Einzelheiten dieser Attacke öffentlich bekanntgegeben, aber man weiß, dass sie mit einem Social-Engineering-Angriff begann. Ausgangspunkt war ein simpler Phishing-Angriff, bei dem die Angreifer E-Mails an niedrigrangige RSA-Angestellte schickten, die den Anschein erweckten, es handle sich um Firmen-E-Mails aus dem Personalbüro. Einer der anvisierten Mitarbeiter öffnete den Anhang dieser E-Mail und löste so den Angriff aus.
Die Associated Press fiel 2013 einem Social-Engineering-Angriff zum Opfer, der zu einem Börsensturz in der Höhe von 136 Milliarden Dollar führte. Auch diesem Fall lag ein Phishing-Angriff zugrunde, der an Mitarbeiter verschickt wurde. Lediglich durch das Öffnen eines Links in der E-Mail löste einer der Mitarbeiter den Angriff aus. Das führte dazu, dass der Twitter-Account der AP kompromittiert wurde und die Angreifer eine gefälschte Nachrichtenmeldung über eine Explosion im Weißen Haus twittern konnten. Diese Falschmeldung verbreitete sich wie ein Lauffeuer und führte zu einem Kurssturz des Dow-Jones-Index um 150 Punkte. Eine syrische Hackergruppe, bekannt als die Syrian Electronic Army, bekannte sich zu dem Angriff, lieferte aber nie Beweise dafür.
Der Datendiebstahl bei der US-Einzelhandelskette Target im Jahr 2013 hat sich aufgrund seiner Raffinesse zu einem der berüchtigsten Cyberangriffe der Geschichte entwickelt. Wie die anderen hier erwähnten Angriffe begann er mit Social Engineering. Allerdings hatten es die Angreifer zunächst nicht auf jemanden abgesehen, der für Target arbeitet. Stattdessen schickten sie E-Mails an Mitarbeiter eines Heizungs- und Klimaanlagenanbieters, der High-Tech-Klimaanlagen in den Geschäften von Target installiert hatte. Diese Klimaanlagen waren mit den Computersystemen in den Geschäften von Target verbunden, und sobald die Angreifer in der Lage waren, den Drittanbieter zu kompromittieren, konnten sie sich in die Netzwerke von Target einhacken und Kreditkartendaten von Kartenscannern in Tausenden von Geschäften sammeln, wodurch ihnen die Finanzdaten von etwa 40 Millionen Target-Kunden in die Hände fielen.
Während automatisierte Sicherheitsfunktionen wie E-Mail-Screening Angreifer daran hindern können, mit Opfern in Kontakt zu treten, ist die beste Verteidigung gegen Social-Engineering-Angriffe der gesunde Menschenverstand in Verbindung mit aktuellem Wissen über gängige Social-Engineering-Angriffe. Das United States Computer Emergency Readiness Team (US-CERT) rät Bürgern, bei verdächtigen Mitteilungen vorsichtig zu sein und sensible Informationen nur auf sicheren Webseiten zu übermitteln (HTTPS und TLS sind gute Indikatoren für die Sicherheit von Webseiten). Es wird auch empfohlen, nicht auf Links in E-Mails zu klicken, sondern die URLs vertrauenswürdiger Unternehmen direkt in den Browser einzugeben. Website-Eigentümer können ihren Teil dazu beitragen, indem sie einen Dienst wie Cloudflare nutzen, der sie benachrichtigt, wenn Angreifer ihre Domain für Phishing-Angriffe verwenden.
Für Unternehmen kann der Schaden eines Social-Engineering-Angriffs eingedämmt werden, wenn eine Organisation ein Zero Trust-Sicherheitsmodell verwendet. Dieses Modell erschwert es Angreifern erheblich, weiter in ein Netzwerk oder ein System vorzudringen, sobald sie einmal Fuß gefasst haben. Erfahren Sie mehr darüber, wie Unternehmen sich mit Zero-Trust-Sicherheit vor Social Engineering schützen.
Ein Social-Engineering-Angriff ist die Praxis, Menschen zu manipulieren, um vertrauliche Informationen wie Anmeldedaten oder Finanzdaten preiszugeben. Diese Angriffe können persönlich, per Telefon, per E-Mail, über soziale Medien oder online erfolgen.
Social-Engineering-Angriffe verwenden verschiedene Taktiken, um das Vertrauen des Opfers zu gewinnen und es zu einer unbeabsichtigten Handlung zu verleiten. Übliche Taktiken umfassen das Auftreten als eine vertrauenswürdige Partei, das Ködern von Opfern mit etwas Begehrenswertem oder das Erstellen einer gefälschten Situation, um Informationen zu erhalten (Pretexting). Angreifer nutzen auch emotionale Appelle an Gier, Angst oder Neugier, um ihre Opfer zum Handeln zu bewegen.
Beispiele für Social-Engineering-Angriffe sind das Senden einer E-Mail von einer Person aus der Kontaktliste des Opfers mit einem bösartigen Link, die Verwendung einer gefälschten Anmeldeseite, um das Passwort eines Benutzers zu stehlen, oder die Durchführung eines USB-Stick-Drop-Angriffs, um ein gut geschütztes Firmennetzwerk anzugreifen.
Die beste Verteidigung ist gesunder Menschenverstand und aktuelles Wissen über diese Angriffe. Menschen sollten bei verdächtigen Mitteilungen vorsichtig sein, keine Links in E-Mails anklicken (stattdessen vertrauenswürdige URLs direkt in ihren Browser eingeben) und sich direkt an Institutionen und Dienstleister wenden, wenn sie eine unerwartete Nachricht erhalten. Für Unternehmen kann die Implementierung eines Zero-Trust-Sicherheitsmodells dazu beitragen, den Schaden zu begrenzen, wenn ein Angreifer Social-Engineering-Techniken einsetzt, um im Netzwerk Fuß zu fassen.
Social-Engineering-Angriffe können von Advanced Persistent Threats (APTs) als Ausgangspunkt für größere Cyberangriffe genutzt werden. Indem eine einzelne Person kompromittiert wird, können Angreifer leichter auf den Rest der Organisation zugreifen. Erfolgreiche Social-Engineering-Angriffe können zu Datenexfiltration und Ransomware-Infektionen führen, unter anderem.