Social Engineering: Von der Kunst, perfide Tricks zu durchschauen
Die weitaus meisten Angriffe auf Unternehmenssysteme beginnen mit Social Engineering, also dem Ausnutzen der „Schwachstelle Mensch“. Und die Tricks der Hacker werden immer raffinierter. Umso wichtiger ist es, auf dem Laufenden zu bleiben und Mitarbeitende stärker zu sensibilisieren.
Noch vor einigen Jahren waren Phishing- und Smishing-Versuche leicht zu durchschauen: Die per E-Mail oder SMS lancierten Botschaften der Cyberkriminellen lasen sich konfus und unglaubwürdig, sie strotzten vor Fehlern, die Absenderadressen waren dubios. Hingegen imitieren die heutigen Attacken das Look & Feel authentischer E-Mails – einschließlich der integrierten Links. Potenzielle Opfer sind so leicht zu täuschen.
Derzeit kursieren unter anderem gefälschte Zustellbenachrichtigen von DHL und Zahlungsaufforderungen von PayPal, die dringend – teilweise unter Androhung von Strafzahlungen – die Eingabe persönlicher Daten fordern. Die PayPal-Nachrichten wurden sogar von Servern des Zahlungsdienstes verschickt, wodurch es noch schwerer fällt, sie als Fake zu erkennen.
Auch IT-affine User fallen auf Smishing rein
Bei Angreifern beliebt und häufig praktiziert sind Nachrichten, die angeblich von Vorgesetzten oder aus der Unternehmens-IT stammen. Darin wird zum Beispiel um das sofortige Login auf einer Unternehmens-Seite gebeten. Für Rückfragen bleibt keine Zeit – sollen Adressat oder Adressatin glauben. So fallen Cyberkriminellen User-Namen und Passwörter sowie andere sensible Informationen in die Hände. Mit etwas Glück oder dank intensiver Recherche ist darunter auch ein Admin-Account, der die Tür zum Unternehmensnetz öffnet.
Smishing plus Vishing
Eine solche Attacke traf kürzlich die Krypto-Börse Coinbase. Wie der Informationsdienst Hackread.com berichtet, gaben sich die Angreifenden als Mitglieder der Inhouse-IT aus und verschickten SMS mit Login-Aufforderungen. Mindestens eine Mitarbeiter:in gab daraufhin die Credentials preis. Zwar scheiterte der Angriff zunächst an der Zweifaktor-Authentifizierung, doch so schnell gaben die Hacker nicht auf: Sie versuchten es per „Vishing“ (Voice Phishing) und riefen den als Schwachstelle identifizierten User an, um ihn zu überreden, persönliche Informationen einzugeben. Glücklicherweise wurde das Opfer misstrauisch und alarmierte die echte IT. Der Schaden für die Krypto-Börse hielt sich also in Grenzen. Doch das Beispiel belegt: Auch Mitarbeitende eines Tech-affinen Unternehmens sind nicht gefeit gegen Cyberattacken.
Recruiting und Jobsuche als Einfallstor
Ein Ziel der Cyberkriminellen sind unzufriedene Mitarbeitende, ein anderes sind Recruiter beziehungsweise Stellensuchende: Neuerdings verstecken sie ihre digitalen Spione oder Schadsoftware wie AgentTesla und Emotet in vermeintlichen Job-Angeboten oder Pseudo-Bewerbungen mit angehängten Fake-Lebensläufen.
Nach einem Bericht auf www.databreachtoday.com nutzen Cyberkriminelle sogar gestohlene oder gefälschte Dokumente wie Sozialversicherungsnummern oder Führerscheine, um ihre Bewerbungen authentisch erscheinen zu lassen. Sie imitieren LinkedIn-Accounts von potenziellen Arbeitgebern, oder sie verwenden minimal veränderte Versionen einschlägiger E-Mail-Adressen als Absender, beispielsweise indedd.com oder linkednn.com, eine Taktik, die als Typosquatting bekannt ist.
Verbote reichen nicht
Ziel der Aktionen ist entweder der Zugriff auf sensible Daten, also persönliche Informationen und Unternehmensgeheimnisse, der Zugang zu Enterprise-Systemen/-netzen oder auch die Platzierung von Viren, Trojanern und Erpresser-Software. Damit nehmen die Angreifenden ihre Opfer nicht nur finanziell aus, sondern schädigen auch deren Reputation – im Extremfall sogar das Vertrauen in ganze Wirtschaftszweige.
Es hängt also viel davon ab, in Unternehmen für die Konsequenzen eines unbedarften Umgangs mit Mails und Messages zu sensibilisieren. Social Engineering nutzt eine natürliche Schwäche der meisten Menschen aus: Es ist unsere angeborene Neugier, die den „nervösen Klick-Finger“ steuert. Um sie im Zaum zu halten, reichen ständig wiederholte Ge- und Verbote sicher nicht aus. Auch die Routine macht Menschen unaufmerksam. Mehr Erfolg verspricht eine abwechslungsreiche, einprägsame und spielerische Ansprache mit immer wieder neuen Mitteln und Medien. Hilfreich ist zudem eine Unternehmenskultur, die Fehler toleriert. Wer trotz Sensibilisierung doch mal auf den falschen Link geklickt hat, sollte sich umgehend dazu bekennen können – und nicht aus Furcht oder Scham schweigen. Dies wäre der Best Case für Angreifende, weil sie dann in aller Ruhe zu Werke gehen können.
Quelle Titelbild: AdobeStock/Pungu X