In unserem letzten Beitrag haben wir das Phänomen Social Engineering erläutert. Wie ein Angriff generell geplant wird und abläuft, lesen Sie dort. In diesem Beitrag gehen wir auf die häufigsten Methoden des Social Engineering ein. Ein paar Beispiele aus den vergangenen Jahren finden Sie in diesem Beitrag zum Nachlesen.
Phishing
Unter Phishing (zusammengesetzt aus „fishing“ und dem „P“ von „password“) versteht man einen Angriff, bei dem vertrauliche Angaben (Passwörter, Zugangsdaten oder andere Authentitfizierungsmerkmale) erlangt oder Malware, z.B. Ransomware oder Trojaner, installiert werden sollen. Echt wirkende E-Mails fordern die attackierten Personen beispielsweise auf, über eine Link diese Informationen preiszugeben. Oftmals ist die Zielseite gut gefälscht und sieht aus wie das Original. Zu erkennen ist die Fälschung in der Regel an dem Domainnamen, der von der originalen Seite abweicht (z.B. www.amazone.com, www.facebokk.de). E-Mail-Angriffe sind nach wie vor die bevorzugte Angriffstaktik.
Spear-Phishing
Eine besondere Form des Phishing ist das Spear-Phishing, ein gezielter Angriff auf Einzelpersonen oder -gruppen. Dieser erfolgt mittels personalisierter E-Mail oder sogar einer telefonischen Kontaktaufnahme mit dem gezielten Opfer. Vorausgehend sammeln die Angreifer oftmals über einen längeren Zeitraum Informationen, z.B. über Social Media oder telefonische Anfragen. Mit diesem Hintergrundwissen überwinden sie Misstrauensbarrieren und gelangen an sensible Daten. Gerne geben sich Angreifer dann entweder als kompetente Vertrauensperson (z.B. Administrator, Mitarbeiter einer bekannten oder vertrauten Firma wie z.B. Microsoft) oder einfache Hilfskräfte (z.B. Aushilfen, Sekretäre) aus. In beiden Fällen beugen sie meist weiteren Nachfragen vor. So kann ein Angreifer beispielweise als IT-Administrator getarnt auffordern, Zugriffsrechte zu ändern oder eine (Schad-)Software zu installieren, um ein IT-Problem zu lösen. So gelangt er an die gewünschten Passwörter. Diese Methode ist zwar aufwendiger für den Angreifer, hat jedoch eine deutliche höhere Erfolgschance.
CEO-Fraud
Der CEO-Fraud (deutsch „Cheftrick“) oder auch die Fake-President-Methode, zielt in der Regel auf die Transaktion von Gelder ab. Ein Mitarbeiter erhält eine vermeintliche E-Mail von seinem Vorgesetzen, in dem dieser in in einer dringlichen und oftmals auch geheimhaltungsbedürftigen Sache bittet, umgehend einen Finanztransaktion durchzuführen. Diese Methode wenden Betrüger gerne zum Jahreswechsel an, die Dringlichkeit wird dann mit Termindruck begründet. Zudem nutzen sie die Abwesenheit um die Feiertage und das damit verbundene Fehlen eines direkten Austausches als Tarnmantel. In Corona- und damit verbundenen Homeoffice-Zeiten hat die Methode unter anderem deshalb einen weiteren Schub erhalten.
Und die Betrüger werden immer einfallsreicher, die Mittel immer ausgereifter. Ein besonders tückischer Fall: Inzwischen haben es Cyber-Kriminelle sogar schon geschafft, mittels KI-Software technisch die Stimmen von Führungskräften zu imitieren. Damit konnten sie den Angriff telefonisch durchführen und so das Vertrauen der Mitarbeiter ausnutzen.
Ein weiterer außergewöhnlicher Fall ereignete sich bereits 2017. Hier gaben sich Angreifer als Vertreter der Bundeskanzleramts aus und versuchten Gelder für Erpressungsforderungen angeblich entführter Bundesbürger zu erschleichen.
Wie kann ich mich vor Social Engineering schützen?
Geeignete Maßnahmen, die bereits im Vorfeld die Gefahr von Social Engineering-Angriffen minimieren, erläutern wir in unserem nächsten Beitrag.