Social Engineering: Das sind die aktuellen Köder

clark-young-PTWiAcYnkWw-unsplash

Mit Social Engineering versuchen Cyberkriminelle, falsche Identitäten vorzutäuschen. Um dies zu erreichen, stellen sie den Opfern gefälschte Nachrichten von bekannten Institutionen oder vertrauten Persönlichkeiten zu. Diese Art von Attacken zielen darauf ab, an Passwörter zu gelangen, Schadsoftware zu platzieren oder finanzielle Transaktionen auszulösen. Eine gut vorbereitete Abwehr verhindert Angriffe und damit Schäden für das Unternehmen.

Was ist Social Engineering? 

Bei einem Social-Engineering-Angriff wendet ein Angreifer soziale Interaktionen an, um Informationen über eine Organisation oder ihre Computersysteme zu erhalten oder diese zu kompromittieren. Dabei versuchen die Cyberkriminellen zunächst, das persönliche oder berufliche Umfeld eines Mitarbeitenden zu erkunden. Gegenüber seinem Opfer wirkt der Angreifer unscheinbar und vertrauenswürdig. Er behauptet etwa, ein neuer Mitarbeiter zu sein, zum Personal eines Dienstleisters des Unternehmens oder zu einem Umfrageinstitut zu gehören.

Indem der Angreifer geschickt verschiedene Fragen stellt, erhält er sensitive Informationen zum Unternehmen. Ist ein Angreifer nicht in der Lage, genügend Informationen aus einer Quelle zu sammeln, wendet er sich an weitere Quellen innerhalb derselben Organisation und bringt im Gespräch Informationen des ersten Antwortgebers ein, um seine Glaubwürdigkeit und vermeintliche Authentizität zu erhöhen. Auf diese Weise sammeln die Kriminellen bei verschiedenen Stellen der Organisation Stück für Stück Informationen, um letztlich glaubhaft das Netzwerk eines Unternehmens zu infiltrieren. Danach sind sie in der Lage, für das Unternehmen schädliche Aktivitäten auszulösen, wie etwa Schadsoftware zu platzieren, Daten zu stehlen oder Finanztransaktionen zu veranlassen. 

Wie funktioniert Phishing?

Phishing ist die bekannteste Art von Social Engineering und bezeichnet den Versuch, falsche Identitäten vorzutäuschen, indem die Kriminellen dem Opfer gefälschte elektronische Nachrichten von bekannten Institutionen oder vertrauten Persönlichkeiten zustellen. Phishing-Angriffe stützen sich in der Regel auf Social-Networking-Techniken, die über E-Mails, Telefonanrufe, Messenger-Dienste oder andere elektronische Kommunikationskanäle zum Einsatz kommen. 

Kriminelle, die Phishing anwenden, nutzen oft öffentlich zugängliche Informationen, um Hintergrundinformationen über private und berufliche Aktivitäten, Lebensumstände und Interessen des Opfers zu sammeln. Ergiebige Quellen sind typischerweise soziale Netzwerke wie LinkedIn, Xing, Facebook, Twitter oder Instagram. Über diese Plattformen lassen sich Namen, Berufsbezeichnungen und E-Mail-Adressen potenzieller Opfer ermitteln. Diese Informationen genügen bereits, um eine weitgehend glaubwürdige E-Mail zu erstellen.

Das Opfer erhält danach eine Nachricht, die von einem vermeintlich bekannten Kontakt oder Organisation zu stammen scheint. Der eigentliche Angriff erfolgt dann über eine Dateianlage, die Schadsoftware enthält oder über in der Botschaft enthaltene bösartige Links. Ziel der Angreifer ist es, Malware auf dem Gerät des Benutzers zu installieren oder das Opfer auf eine gefälschte Website zu leiten. Eine solche falsche Website soll die Zielperson dazu bringen, persönliche und finanzielle Informationen wie Passwörter, Konto- oder Kreditkartendaten preiszugeben. 

 

Die aktuell häufigsten Phishing-Methoden

Cyberkriminelle perfektionieren laufend ihre Fähigkeiten, um Phishing-Angriffe und -Betrug wirkungsvoll umzusetzen. Beim klassischen E-Mail-Phishing versenden die Angreifer dieselbe E-Mail an eine hohe Anzahl von Empfängern – diese Art von Phishing ist immer weniger erfolgreich, da diese E-Mails aufgrund ihrer unpersönlichen Aufmachung oft als Fälschungen zu erkennen sind. Folgende Arten von professionell aufbereiteten Attacken sind derzeit am häufigsten anzutreffen:

  • Pharming
  • Whaling
  • Clone Phishing
  • Spear Phishing
  • Evil Twin
  • Vishing

Pharming

Pharming ist eine Art von Phishing bei der die Angreifer einen DNS-Server manipulieren, der anschliessend den ahnungslosen Benutzer von seiner angewählten Website zu einer betrügerischen Website umleitet. Ziel dieses Angriffs ist es, den Benutzer dazu zu verleiten, sich mit persönlichen Anmeldeinformationen bei der gefälschten Website anzumelden. Diese Informationen dienen den Angreifern anschliessend, um sich in der echten Seite im Namen des Opfers einzuloggen.

Whaling

Whaling-Attacken richten sich speziell gegen Führungskräfte innerhalb einer Organisation. Dieser Angriff hat meist das Ziel, an hohe Geldsummen heranzukommen. Die Angreifer erforschen ihre Opfer im Detail und über eine längere Zeit, um ihnen anschliessend eine täuschend echte Botschaft zuzustellen. Die Verwendung von individuellen Informationen, die für die Zielperson relevant oder spezifisch sind, erhöht die Erfolgswahrscheinlichkeit eines Angriffs. Eine Whaling-Attacke zielt typischerweise auf Opfer ab, die Zahlungen autorisieren. Die entsprechende Falschnachricht ist daher häufig eine direkte Instruktion an eine Führungskraft, eine grössere Zahlung zu genehmigen.

Clone Phishing

Clone-Phishing-Angriffe verwenden zuvor zugestellte, legitime Original-E-Mails, die entweder einen Link oder einen Anhang enthalten. Bei dieser besonders perfiden Methode erstellen die Angreifer eine Kopie (Klon) des Original-E-Mails und ersetzen die ursprünglichen Links oder Dateien durch schädliche Versionen. Das Opfer hat bei dieser Angriffsart den Eindruck, dass das E-Mail von einem ihm bekannten Absender im Unternehmen stammt. Die Wahrscheinlichkeit, dass der Angegriffene keinen Verdacht schöpft und auf den bösartigen Link klickt oder den schädlichen Anhang öffnet ist hoch.

Cyberkriminelle verwenden diese Technik oft dann, wenn sie die Kontrolle über das System eines anderen Opfers im gleichen Unternehmen übernommen haben. Auf diese Weise sind die Angreifer in der Lage, innerhalb einer Organisation Nachrichten von einem vertrauenswürdigen Absender zu senden, der den Opfern bekannt ist, wie etwa ein Vorgesetzter oder ein Arbeitskollege etc.

Spear Phishing

Spear-Phishing-Attacken sind Angriffe, die sich an bestimmte Personen oder Unternehmen richten. Bei diesen Angriffen sammelt der Urheber Informationen über das Opfer. Der Angreifer schliesst persönliche Informationen des Opfers in seine Kommunikation ein, individualisiert die Botschaft und verwendet eine gefälschte Absenderadresse. So werden in der Nachricht etwa die Namen von Mitarbeitenden oder Führungskräften der Firma des Opfers erwähnt und in einen glaubhaften Kontext gebracht. Für dem Empfänger kann eine solche Nachricht sehr authentisch wirken. Bei professionell umgesetzten Angriffen ist es schwer zu erkennen, ob die betrügerische E-Mail von einem Angreifer oder einem echten Kontakt stammt. So melden sich Kriminelle beispielsweise als Kunden bei der Verkaufsabteilung und nehmen in ihrer E-Mail Bezug auf tatsächliche Produkte des Unternehmens. In der gleichen Nachricht bauen sie einen gefälschten Link ein oder fügen Malware bei.

Evil-Twin

Bei einer Evil-Twin-Attacke (böser Zwilling) setzen die Angreifer einen zusätzlichen WLAN-Zugangspunkt auf und statten ihn mit einem trügerischen Namen aus, der nach einem real existierenden Access Point in der Organisation klingt. Stellt das Opfer eine Verbindung zum Evil-Twin-Zugangspunkt her, erhält der Angreifer Zugriff auf alle Übertragungen des verbundenen Geräts der Zielperson. Indem die Kriminellen diese Methode auch zum Platzieren von betrügerischen Eingabeaufforderungen verwenden, bekommen sie Zugriff auf die Login-Daten des Benutzers.

Vishing

Angreifer nutzen Vishing (Voice Phishing) auf sprachbasierten Medien über Voice over IP (VoIP). Ein typischer Betrug dieser Art setzt Sprachsynthese-Software ein, um gefälschte Voicemails zu hinterlassen. Diese benachrichtigen das Opfer über angeblich verdächtige Aktivitäten auf dem Unternehmens-Bankkonto. Anschliessend fordern sie die Zielperson auf, zu reagieren, damit sich ihre Identität überprüfen lässt. Auf diese Weise kommen die Angreifer zu den Konto- und Logindaten des Opfers.

Wie lässt sich eine Phishing-Botschaft als Social-Engineering-Angriff erkennen?

Professionell aufbereitete Phishing-Nachrichten sind kaum von echten Nachrichten zu unterscheiden. In der Regel weisen sie fast alle Merkmale einer Nachricht einer bekannten Organisation auf: Firmenlogos, Layout und grafische Darstellung können täuschend echte Nachbildungen einer authentischen Originalnachricht des Unternehmens sein. Allerdings gibt es mehrere Anhaltspunkte, die bei einer Nachricht auf einen möglichen Phishing-Versuch hinweisen können:

  1. Die Nachricht verwendet als Absender Subdomains (z.B. www.swisscom.ch.abo.ch), kaum erkennbar falsch geschriebene URLs (z.B. swissscom.ch mit drei «s») oder anderweitig verdächtig scheinende URLs.
  2. Der Empfänger verwendet eine G-Mail oder eine andere von einem öffentlichen Gratis-Provider erhältliche E-Mail-Adresse anstelle einer Unternehmens-E-Mail-Adresse.
  3. Die Botschaft ist so formuliert, dass sie beim Empfänger Angst oder ein Gefühl der Dringlichkeit vermittelt.
  4. Die Nachricht enthält eine Anforderung zur Überprüfung persönlicher Informationen, z. B. Finanzdaten oder ein Kennwort.
  5. Die Nachricht ist schlecht geschrieben und weist Grammatikfehler auf.

Wie lässt sich Phishing verhindern?

Um zu verhindern, dass Angreifer Social Engineering mit Phishing-Nachrichten erfolgreich bei den Mitarbeitenden des Unternehmens einsetzen, ist es ratsam, verschiedene Abwehrmassnahmen innerhalb der Cyber Security vorzusehen. Dazu gehören regelmässige Cybersicherheits-Schulungen der Mitarbeitenden, um sie auf die rasche Erkennung von Phishing-Botschaften zu sensibilisieren.

Für die technische Abwehr hat sich ein technisches Schutzkonzept bestehend aus mehreren Verteidigungslinien als zielführend erwiesen. Wichtig sind dabei der Einsatz von Antivirensoftware, Firewalls für Desktop-Computer und mobile Geräte, Antispyware-Software, Spam-Filter und Phishing-Filter. Auch die Aktivierung einer Multifaktor-Authentifizierung für den Zugriff auf sensible Daten oder Bankkonten, erschwert einen Angriff erheblich. Qualifizierte Anbieter von Managed IT Services bieten für die Phishing-Abwehr kompetente Beratung sowie Dienstleistungen wie Managed Antivirus, Managed Firewall oder IT-Security-Checkups an.

Passwort Hacking: Hacking-Methoden und Gegenmassnahmen für KMU

 

Titelbild: Clark Young, Unsplash


Themen: Cyber Security
Autor: Philipp Hollerer | 02.10.2020 | 11:30
Philipp Hollerer
Besuchen Sie mich auf Social Media:
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Twitter
  • Share on Facebook
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Twitter
  • Share on Facebook

Jetzt IT-Blog für KMU als E-Mail abonnieren.