Social Engineering

Social Engineering Angriffe nutzen die Hilfsbereitschaft, Gutgläubigkeit oder die Unsicherheit von Personen aus, um beispielsweise an vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Aktionen zu bewegen. Neben allen Angriffsmöglichkeiten ist dies nach wie vor eine der erfolgreichsten. Ein Angreifer kann mittels Social Engineering beispielsweise versuchen, an Benutzernamen und Passwörter von Mitarbeitern eines Unternehmens zu gelangen, indem er sich am Telefon als Systemadministrator oder Sicherheitsverantwortlicher ausgibt. Durch Vorgeben akuter Computerprobleme und Vortäuschen von Betriebskenntnissen (z. B. Namen von Vorgesetzten, Arbeitsabläufe, usw.) wird das Opfer so lange verunsichert, bis es die gewünschten Informationen preis gibt.

Zur Ausbreitung von Viren oder Trojanischen Pferden werden oft Methoden des Social Engineering angewandt, etwa wenn der Name des E-Mail-Anhangs mit einem Virus einen besonders interessanten Inhalt verspricht. Phishing ist ebenfalls eine spezielle Form eines Social Engineering-Angriffs.

Auswirkungen und Gefahren

  • Preisgabe von vertraulichen Informationen
  • Betrug
  • Verbreitung von Viren und Trojanischen Pferden 
Massnahmen
  • Publizieren Sie auf dem Internet nur so viel Informationen wie nötig. Dies gilt besonders für Firmen und die Publikation von Namen und Funktionen von Mitarbeitenden.

  • Seien Sie auch am Telefon zurückhaltend mit der Herausgabe von solchen Informationen. 

  • Geben Sie keine vertraulichen Informationen (z. B. Benutzername, Passwort, usw.) an Personen weiter. Falls jemand darauf besteht, so melden Sie dies Ihrem Vorgesetzten, dem Systemverantwortlichen oder dem Dienstleistungsanbieter (z. B. Bank, Internet Service Provider, usw.). Kein seriöser Dienstleistungsanbieter wird Sie nach einem Passwort fragen.
 

Beispiel:

Bei aktuellen Fällen werden durch die Angreifer im Vorfeld Informationen über die Firma eingeholt, um sich so ein genaues Bild über das Umfeld des Zieles zu machen. Gesammelt werden beispielsweise Informationen zu Betätigungsfeldern, Schlüsselposten oder etwa das verwendete Format bei E-Mail-Adressen. Dabei nutzen die Betrüger typischerweise Informationen aus offenen Quellen, wie sie beispielsweise auf der Firmenwebseite zu finden sind. Diese Informationen werden jedoch zum Teil auch durch aktive Recherche ergänzt, indem die Betrüger mit der Firma via E-Mail oder Telefon Kontakt aufnehmen und so versuchen an Informationen der Firma zu gelangen.

Anschliessend beginnt der eigentliche Angriff. In der Regel wird dabei eine E-Mail an einen Mitarbeitenden der Finanzabteilung versendet, welche vorgibt, von einem Mitglied des Kaders zu stammen. Während die Absender-Adressen mehrheitlich gefälscht werden, stammen E-Mails in vereinzelten Fällen tatsächlich von den Absender-Konten, welche durch die Angreifer zuvor gehackt wurden. Die versendete E-Mail handelt dann von laufenden, vertraulichen Finanzgeschäften und das Opfer wird mit der «juristischen Abteilung der Firma» in Kontakt gebracht, welche mit den Angaben der Überweisung betraut sein soll. In einem weiteren Schritt geben sich die Betrüger dann als diese Abteilung aus. Die Betrüger betonen den einmaligen Charakter und die Vertraulichkeit des Auftrages, jedoch auch die Dringlichkeit, welche die Situation erfordere. In manchen Fällen versuchen die Betrüger mit parallelen Telefonanrufen dem Szenario noch mehr Glaubwürdigkeit zu verleihen.

Die in diesen Fällen angewandte Social Engineering-Methode zielt vor allem darauf ab, das Opfer zu einer Zahlung an ein von den Betrügern angegebenes Konto zu bewegen. Es sind aber auch andere Szenarien denkbar. So können die Angreifer, nachdem sie beim Opfer das Vertrauen geweckt haben, auch eine gezielte E-Mail mit einer Schadsoftware oder mit einem Link zu einer Seite mit Schadsoftware senden.

 

Letzte Änderung 28.10.2016

Zum Seitenanfang

https://www.melani.admin.ch/content/melani/de/home/themen/socialengineering.html