Aber wie laufen solche Angriffe ab? Wir erklären es Ihnen anhand von 6 Beispielen.
1. Phishing
Als Phishing bezeichnet man den Versuch von Social Engineers, nach Zugangsdaten für Online-Benutzerkonten zu „fischen“. Phishing-Versuche erfolgen meist über E-Mails oder Messenger. Die Empfänger werden klassischerweise mit einem Hinweis auf verdächtige Kontoaktivitäten unter Druck gesetzt und dazu aufgefordert, auf einen Hyperlink zu klicken und auf der verlinkten Webseite Ihre Benutzerdaten einzugeben. Die versendeten Nachrichten stammen angeblich von Absendern wie Amazon, PayPal oder der unternehmenseigenen IT-Abteilung. Auch die verlinkten Webseiten sind häufig den Internetauftritten des eigenen Unternehmens oder des vermeintlichen Absenders nachempfunden.
Tipp: Melden Sie sich immer nur über die offizielle Webseite mit Ihren Zugangsdaten an und folgen Sie keinen Hyperlinks aus E-Mails, da diese zu einer manipulierten Phishing-Seite führen könnten.
2. Baiting
Beim Baiting, zu deutsch Ködern, verteilen Social Engineers mit Schadsoftware infizierte Datenträger und verlassen sich darauf, dass der Empfänger das Fundstück aus Neugier an seinen PC anschließt. So ist es Kriminellen möglich, Viren und Trojaner auf fremden Rechnern zu installieren und Zugriff auf vertrauliche Informationen zu erlangen. Beim Baiting werden klassischerweise USB-Sticks strategisch an Orten platziert, die durch Mitarbeiter des Zielunternehmens stark frequentiert sind. Das kann zum Beispiel ein Parkplatz, die Raucherecke oder die Cafeteria sein. Nicht selten werden die Köder aber auch einfach als vermeintliche Werbegeschenke verteilt. Wer den Datenträger an seinen PC anschließt, läuft Gefahr, automatisch Schadsoftware zu installieren.
Tipp: Lassen Sie niemals Ihre Neugier siegen, wenn Sie fremde Datenträger finden oder als Werbegeschenk erhalten. Insbesondere am Arbeitsplatz sollten fremde Datenträger vor der Benutzung immer von der zuständigen Abteilung auf Schadsoftware geprüft werden.
3. Tailgaiting
Als Tailgating bezeichnet man den unbefugten Zutritt zu Gebäuden, indem man sich Verhaltensweisen seiner Mitmenschen zunutze macht. Sind die Eingänge zu einem Firmengebäude beispielsweise nur mit einem Schlüssel oder Chip zu öffnen, warten Social Engineers einfach ab, bis ein Mitarbeiter aufschließt und schlüpfen dann als vermeintlich neuer Kollege mit ins Gebäude. Eine weitere Möglichkeit: Die Kriminellen geben sich als Lieferanten aus und bitten einen Mitarbeiter freundlich, die Tür aufzuhalten.
Tipp: Gewähren Sie Fremden nur dann Zutritt zum Firmengebäude, wenn diese eine Zugangsberechtigung vorlegen können. Eine Nachfrage mag Ihnen zwar unhöflich erscheinen, ist aber bedeutend für die Abwehr von Social-Engineering-Angriffen.
4. Dumpster Diving
Beim Dumpster Diving, wörtlich übersetzt Mülleimertauchen, handelt es sich um die wohl kurioseste Methode des Social Engineering. Dabei durchwühlen Angreifer den Müll des Zielunternehmens auf der Suche nach wertvollen Informationen. Besonders interessant ist in der Regel der Papiermüll. Hier verbergen sich nicht selten Kennwortzettel, Telefonlisten oder Mitschriebe, die für weitere Social-Engineering-Angriffe interessant sein können. Aber auch Datenträger wie USB-Sticks, DVDs oder ganze Festplatten werden immer wieder achtlos entsorgt, obwohl noch vertrauliche Daten darauf gespeichert sind.
Tipp: Schreddern Sie sämtliche Ausdrucke je nach Schutzklasse und Sicherheitsstufe. Häufig ist nicht nur ein Streifenschnitt, sondern sogar ein Partikelschnitt (auch Kreuzschnitt genannt) erforderlich. Datenträger müssen vor der Entsorgung je nach Schutzklasse mindestens neu formatiert, wenn nicht sogar komplett vernichtet werden. Weitere Informationen dazu finden Sie in der Norm DIN 66399.
5. Shoulder Surfing
Wie der Name schon andeutet, geht es beim Shoulder Surfing darum, den Opfern bei der Computernutzung über die Schulter zu sehen, um Anmeldedaten oder andere vertrauliche Informationen auszuspähen. Im Visier der Social Engineers stehen dabei besonders Geschäftsreisende. Diese nutzen ihre Arbeitsgeräte nämlich nicht nur im eigenen Büro, sondern auch unterwegs in Bahn, Flugzeug oder Restaurant. Für Kriminelle ist es ein Leichtes, ihren Opfern zuzuschauen und angezeigte oder eingegebene Informationen mitzulesen.
Tipp: Benutzen Sie Blickschutzfolien bei der Arbeit auf mobilen Geräten. Sie sorgen dafür, dass ein Blick auf das Display nur aus einem beschränkten Winkel möglich ist. Wählen Sie Ihren Sitzplatz außerdem so, dass Ihnen niemand heimlich über die Schulter schauen kann.
6. Fake Identity
Um Mitarbeiter auf’s Glatteis zu führen, setzen Cyberkriminelle immer häufiger auf das Vortäuschen falscher Identitäten. Die wohl bekannteste Variante ist der CEO-Fraud. Beim CEO Fraud, auch Geschäftsführer-Betrug, Chef-Masche oder Fake President Fraud genannt, schlüpft ein Krimineller in die Rolle des Geschäftsführers und weist einen zahlungsberechtigten Mitarbeiter per E-Mail oder Telefon an, umgehend Geld für einen besonders wichtigen Deal zu überweisen. Das Geld soll an eine bis dahin vollkommen unbekannte Kontoverbindung überwiesen werden. Und natürlich geht der Betrag nicht an den vorgeblichen Empfänger. Das Geschäft kommt ebenfalls nie zustande.
Tipp: Halten Sie sich unabhängig von Zeitdruck oder sonstigen Stressfaktoren immer an die internen Vorschriften. Diese sehen ab bestimmten Summen in der Regel ein Vier-Augen-Prinzip zur Freigabe von Überweisungen vor. Fragen Sie im Zweifel unbedingt nach!
Social-Engineering-Angriffe verhindern
Wie Sie sehen, steht beim Social Engineering nicht die Technik, sondern der Mensch im Fokus der Angreifer. Menschen sind in der Regel nämlich wesentlich einfacher zu überlisten. Aber wie können Sie verhindern, dass Ihre Mitarbeiter auf Social Engineers hereinfallen? Die Lösung ist denkbar einfach: Schulen Sie Ihre Mitarbeiter!Nur wer weiß, wie Cyberkriminelle vorgehen und welche menschlichen Schwachstellen sie ausnutzen, kann Warnsignale erkennen und Angriffe im Keim ersticken.