People are weak points: Are employees an Achilles heel? - Social engineering

Schwachpunkt Mensch: Mitarbeiter als Achillesferse?

Gegen diese Angriffe helfen keine Firewall und kein Virenschutzprogramm. Die Rede ist von Social Engineering. Die Masche ist schon so alt, wie die Menschheit selbst – funktioniert aber noch immer hervorragend.

Mitarbeiter laden bösartige Dateien herunter, klicken auf Phishing-Links, korrespondieren mit Hackern und geben Kontaktinformationen von Kollegen preis. Social Engineering ist ein echter Klassiker unter den mächtigsten Werkzeugen für Cyber-Angreifer. Dabei kam diese Technik schon lange vor der Geburt des Internet zum Einsatz. Wahrscheinlich gibt es sie schon, seit Menschen kommunizieren können. Denn sie basiert darauf, unser Vertrauen zu gewinnen und Sachen zu machen, die wir eigentlich nicht tun sollten. Wie zum Beispiel ein Passwort, die Sozialversicherungsnummer, finanzielle Details oder andere geheime Informationen preiszugeben.

Angriff auf die Emotionen

Wie kann das gelingen? Psychologen haben herausgefunden, dass Menschen dazu neigen, Logik oder Fakten zu ignorieren, wenn sie emotionale Entscheidungen treffen. Genau darauf haben sich Kriminelle spezialisiert: Emotionen zu erzeugen und diese auszunutzen. Anstatt beispielsweise zu versuchen, eine Sicherheitslücke in einem Programm zu finden, ist es viel einfacher, einen Mitarbeiter anzurufen, sich als IT-Support-Mitarbeiter auszugeben und zu versuchen dem Mitarbeiter sein Passwort zu verraten. Niemand würde außerdem einfach so einem Wildfremden seine Facebook-Anmeldedaten geben. Aber wenn eine gut gemachte Phishing-Mail eintrudelt, die überzeugend genug eine Geschichte von einem gehackten Konto und einer Kontoprüfung erzählt, setzt bei vielen Nutzer der gesunde Menschenverstand aus. Solche Methoden funktionieren übrigens auch bestens außerhalb der digitalen Welt. Unzählige Menschen sind schon an der Haustür auf verkleidete Polizisten oder Handwerker hereingefallen.

Spear Phishing: Gezielte Angriffe auf bestimmte Personen

Cyberkriminelle suchen sich in der Regel aber ganz gezielt ihre Opfer aus. Im Gegensatz zu anderen Attacken tritt der Kriminelle bei dieser „Spear Phishing“ genannten Methode mit dem Opfer mitunter sogar in direkten Kontakt. Beispielsweise in Form einer E-Mail, in dem er sich als Systemadministrator vorstellt, oder mithilfe eines Fake-Profils bei Facebook, wo er sich als Kollege ausgibt. Manchmal wagen die Gauner selbst einen direkten Telefonanruf. Wie gut Social Engineering Angriffe generell funktionieren, zeigt eine aktuelle Studie von Positive Technologies, in dessen Rahmen 3.300 Mails an Mitarbeiter verschiedener Unternehmen verschickt wurden. Die wichtigsten Erkenntnisse der Sicherheitsforscher:

  • 17% aller Social Engineering-Angriffe waren erfolgreich und hätten zu einer Gefährdung des Arbeitsplatzes des Mitarbeiters und möglicherweise des gesamten Unternehmensnetzwerks geführt.
  • 27% der Mitarbeiter klickten auf einen per E-Mail versendeten Phishing-Link, was solche Angriffe zur effektivsten Social Engineering-Methode macht. Offenbar sind viele Nutzer nicht in der Lage, gefälschte Internetseiten zu erkennen.

Laut der Studie versuchten Nutzer in einigen Fällen gar, ihr Passwort auf einer gefälschten Website bis zu 40 Mal einzugeben. Und wenn sie eine angehängte Datei nicht sofort öffnen konnten, leiteten sie diese oft an die IT-Abteilung weiter. Solche Aktionen erhöhen das Risiko abermals, da die IT-Mitarbeiter wahrscheinlich ihren Kollegen vertrauen und die „defekte“ Datei dadurch eher ungeprüft ausführen würden, heißt es im Bericht.

Das hilft gegen Social Engineering

Im Gegensatz zu Viren und anderen typischen Angriffen hilft Sicherheitssoftware wie die Avira Internet Security Suite nicht in allen Fällen. Solche Programme erkennen immerhin in den meisten Fällen infizierte Anhänge und oft auch gefälschte Internetseiten. Die beste Strategie gegen Social Engineering besteht allerdings ins gezielter Aufklärung, gesundem Misstrauen und gezügelter Neugierde. Hätten diese Ratschläge auch die Mitarbeiter folgender Firmen beachtet, wäre es zu folgenden Social-Engineering-Skandalen wohl nicht gekommen.

Die drei erfolgreichsten Social Engineering-Attacken

Ubiquiti Networks

Für Ubiquiti, ein spezialisierter US-Hersteller von Wifi-Hardware und -Software, wurde es richtig teuer, als die Finanzabteilung einem Betrugsprogramm auf dem Leim ging. Diese bekam E-Mails mit Zahlungsaufforderungen, die angeblich von der Tochtergesellschaft des Unternehmens in Hongkong stammten. Die Beträge wurden direkt auf die Konten von Hackern ohne Prüfung überwiesen. Der Schaden belief sich auf satte 47 Millionen Dollar.

 

Sony Pictures

Dieser Angriff führte sogar zu Spannungen zwischen zwei Atommächten. Nordkoreanischen Hackern gelang es durch einen erfolgreichen Phishing-Angriff auf Sony Pictures, deren Server tagelang lahmzulegen. Hintergrund war der Streifen „The Interview“, in dem zwei US-Journalisten, gespielt von Seth Rogen und James Franco, den Auftrag bekommen, den nordkoreanischen Machthaber Kim Jong Un bei einem Interview zu töten.

 

Yahoo

Einer der größten Datenskandale aller Zeiten: Ein Yahoo-Ingenieur machte den Fehler, auf eine sogenannte Spear Phishing-Nachricht hereinzufallen, die in seinem Posteingang landete. Durch erhielten die Angreifer Zugang zu jedem einzelnen Kundenkonto des US-Unternehmens – mehr als 3 Milliarden Nutzer waren betroffen. Deren Daten landeten im Darknet und wurden dazu benutzt, weitere Angriffe auf andere Ziel zu starten.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch