Bei Social-Engineering-Angriffen werden die Opfer so manipuliert, dass sie sensible Informationen aushändigen, die für böswillige Zwecke verwendet werden können.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Was ist eine Datenschutzverletzung?
Sicherheit von Webanwendungen?
Brute-Force-Angriff
Man-in-the-Middle-Angriff
Pufferüberlaufangriff
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Im Großen und Ganzen ist Social Engineering die Praxis, Menschen so zu manipulieren, dass sie sensible Informationen offenlegen. Social-Engineering-Angriffe können persönlich erfolgen, wie z. B. bei einem Einbrecher, der sich als Paketbote verkleidet, um sich in ein Gebäude einzuschleichen. Dieser Artikel widmet sich jedoch Social-Engineering-Cyberangriffen. In den meisten Fällen zielen diese Angriffe darauf ab, das Opfer dazu zu bringen, entweder Anmeldedaten oder sensible Finanzinformationen preiszugeben.
Zusätzlich zu diesen Arten von kleinen und persönlichen Social-Engineering-Betrugsmaschen gibt es auch weitaus raffiniertere Social-Engineering-Angriffe, die gegen ganze Organisationen gerichtet sind, z. B. das absichtliche „Verlieren“ von USB-Sticks. Diese Angriffe können auf die Netzwerke gut geschützter Unternehmen abzielen – sogar auf solche, die nicht mit dem Internet verbunden sind. Die Angreifer legen hierzu mehrere USB-Sticks auf dem Parkplatz der Zielfirma aus. Sie versehen diese Sticks mit einem verlockenden Etikett, wie etwa „Vertraulich“, in der Hoffnung, dass irgendein neugieriger Angestellter einen findet und an seinen Computer ansteckt. Diese Laufwerke können extrem schädliche Viren oder Würmer enthalten, die schwer nachzuverfolgen sind, da sie von einem lokalen Computer aus in das Netzwerk gelangen.
Die Datenschutzverletzung von RSA im Jahr 2011 sorgte für großes Aufsehen – vor allem deshalb, weil RSA ein vertrauenswürdiges Sicherheitsunternehmen ist. Diese Verletzung hebelte den beliebten Zwei-Faktor-Authentifizierungsdienst von RSA, SecurID, aus. Zwar wurden nicht alle Einzelheiten dieser Attacke öffentlich bekanntgegeben, aber man weiß, dass sie mit einem Social-Engineering-Angriff begann. Ausgangspunkt war ein simpler Phishing-Angriff, bei dem die Angreifer E-Mails an niedrigrangige RSA-Angestellte schickten, die den Anschein erweckten, es handle sich um Firmen-E-Mails aus dem Personalbüro. Einer der anvisierten Mitarbeiter öffnete den Anhang dieser E-Mail und löste so den Angriff aus.
Die Associated Press fiel 2013 einem Social-Engineering-Angriff zum Opfer, der zu einem Börsensturz in der Höhe von 136 Milliarden Dollar führte. Auch diesem Fall lag ein Phishing-Angriff zugrunde, der an Mitarbeiter verschickt wurde. Lediglich durch das Öffnen eines Links in der E-Mail löste einer der Mitarbeiter den Angriff aus. Das führte dazu, dass der Twitter-Account der AP kompromittiert wurde und die Angreifer eine gefälschte Nachrichtenmeldung über eine Explosion im Weißen Haus twittern konnten. Diese Falschmeldung verbreitete sich wie ein Lauffeuer und führte zu einem Kurssturz des Dow-Jones-Index um 150 Punkte. Eine syrische Hackergruppe, bekannt als die Syrian Electronic Army, bekannte sich zu dem Angriff, lieferte aber nie Beweise dafür.
Der Datendiebstahl bei der US-Einzelhandelskette Target im Jahr 2013 hat sich aufgrund seiner Raffinesse zu einem der berüchtigsten Cyberangriffe der Geschichte entwickelt. Wie die anderen hier erwähnten Angriffe begann er mit Social Engineering. Allerdings hatten es die Angreifer zunächst nicht auf jemanden abgesehen, der für Target arbeitet. Stattdessen schickten sie E-Mails an Mitarbeiter eines Heizungs- und Klimaanlagenanbieters, der High-Tech-Klimaanlagen in den Geschäften von Target installiert hatte. Diese Klimaanlagen waren mit den Computersystemen in den Geschäften von Target verbunden, und sobald die Angreifer in der Lage waren, den Drittanbieter zu kompromittieren, konnten sie sich in die Netzwerke von Target einhacken und Kreditkartendaten von Kartenscannern in Tausenden von Geschäften sammeln, wodurch ihnen die Finanzdaten von etwa 40 Millionen Target-Kunden in die Hände fielen.
Während automatisierte Sicherheitsfeatures wie E-Mail-Screening Angreifer daran hindern können, mit Opfern in Kontakt zu treten, ist die beste Verteidigung gegen Social-Engineering-Angriffe der gesunde Menschenverstand in Verbindung mit aktuellem Wissen über die gängigsten Social-Engineering-Angriffe. In den USA rät das Computer Emergency Readiness Team (US-CERT), bei verdächtigen Nachrichten vorsichtig zu sein und sensible Informationen über das Internet nur auf sicheren Webseiten zu übermitteln (HTTPS und TLS sind gute Hinweise auf die Sicherheit von Websites). Außerdem wird empfohlen, nicht auf in E-Mails enthaltene Links zu klicken und stattdessen die URLs vertrauenswürdiger Unternehmen direkt in den Browser einzugeben. Website-Eigentümer können ihren Teil dazu beitragen, indem sie einen Dienst wie das Cloudflare CDN nutzen, das sie benachrichtigt, sobald Angreifer ihre Domain für Phishing-Angriffe nutzen.