Social Engineering Attacke: Erfahren Sie 5 Beispiele, wie Social Engineers ihren Weg tricksen

In diesem Artikel erfahren Sie mehr über fünf berühmte Beispiele für eine Social Engineering Attacke und wie diese Taktiken Menschen täuschen. Der Mensch ist von Natur aus ein soziales Wesen, das sich gerne mit anderen trifft, kommuniziert, arbeitet und gemeinsame Aktivitäten unternimmt. Diese Geselligkeit, die auf Vertrauen beruht, erleichtert die Zusammenarbeit und das Zusammenleben in menschlichen Gruppen.

Doch genau diese sozialen Eigenschaften werden auch von Cyberkriminellen ausgenutzt, um Schaden anzurichten. Social Engineering-Angriffe nutzen diese Schwachstellen aus, indem sie Personen durch Täuschung und Nachahmung zu Handlungen verleiten, die den Absichten des Betrügers dienen.

Dies wird durch den Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 2023 bestätigt, in dem festgestellt wurde, dass 82 % der Datenschutzverletzungen ein menschliches Element beinhalten.

Im Folgenden wird erläutert, wie Social Engineering-Angriffe ablaufen und was Sie tun können, um zu verhindern, dass Ihre Mitarbeiter Opfer von Social Engineering werden.

Was ist eine Social Engineering Attacke und wie geschieht sie?

Einem kürzlich erschienenen Bericht zufolge ist ein Unternehmen im Durchschnitt 700 Social Engineering-Angriffen pro Jahr ausgesetzt. Social Engineering-Angriffe kommen in vielen Formen vor und entwickeln sich zu neuen, um der Entdeckung zu entgehen.

Die Aufgabe eines Social Engineering-Angriffs besteht darin, jemanden dazu zu bringen, etwas zu tun, das einem Cyberkriminellen nützt. Zum Beispiel soll eine Person dazu gebracht werden, finanzielle Details preiszugeben, die dann für Betrugszwecke verwendet werden.

Social Engineering wird nicht nur mit digitalen Methoden durchgeführt. Social Engineer wenden jede Taktik an, um die Strukturen aufzubauen, die sie brauchen, um Menschen zu täuschen. Dazu kann es gehören, das Telefon zu benutzen oder in ein Büro zu gehen und mit dem Personal zu sprechen.

Zu den derzeit beliebtesten Social Engineering-Tricks gehören:

Pretexting und Tailgating

Die Angreifer geben sich als Mitarbeiter oder Autoritätsperson aus, z. B. als Polizeibeamter. Unter diesem Deckmantel bauen sie über eine digitale Methode, per Telefon oder persönlich Vertrauen zu einer Zielperson auf. Sobald das Vertrauen hergestellt ist, versucht der Betrüger, Informationen wie persönliche Daten oder finanzielle Details zu erlangen. Darüber hinaus führen Tailgater häufig physische Angriffe auf Unternehmen durch, indem sie Wege finden, unbemerkt oder sogar eingeladen ein Gebäude zu betreten. Sobald sie ein Gebäude betreten, können sie leicht verfügbare Tools wie USB RubberDucky verwenden, die von legitimen Penetrationstestern zum Stehlen von Daten, einschließlich Zugangsdaten, eingesetzt werden.

Phishing

Phishing gibt es in verschiedenen Varianten, z. B. per E-Mail, Telefonanruf, in sozialen Medien und als Textnachricht. Phishing-Angriffe beruhen auf Social Engineering-Taktiken, bei denen die Empfänger durch Vortäuschung von Vertrauen und den Drang zum Klicken dazu gebracht werden, persönliche Informationen wie Passwörter und Kreditkartendaten preiszugeben.

Eine Studie der britischen Regierung zur Cyber Security ergab, dass die überwiegende Mehrheit (83 %) der Unternehmen, die einen Cyberangriff feststellten, angaben, dass Phishing der primäre Vektor des Angriffs war.

Spear-Phishing ist die gezielte Form des Phishings, bei der Social Engineering den größten Erfolg erzielt. Spear-Phishing-E-Mails sind nur schwer von legitimen E-Mails zu unterscheiden, da die Betrüger große Anstrengungen unternehmen, um sie realistisch aussehen zu lassen, und oft vertrauensvolle Beziehungen zu ihrem Ziel aufbauen. Laut dem DBIR 2018 stecken 93 % der Cyberangriffe hinter Spear-Phishing.

Baiting

Dieser Social Engineering-Angriff nutzt Verlockungen oder die Angst, etwas zu verpassen („FOMO“), um bestimmte Verhaltensweisen zu fördern. So können einem Mitarbeiter beispielsweise kostenlose Geschenke angeboten werden, wenn er persönliche oder Unternehmensdaten oder Passwörter preisgibt.

Warum sind Social Engineering-Angriffe so effektiv?

Der Mensch hat sich so entwickelt, dass er auf bestimmte Weise handelt und sich verhält, um starke und kohäsive soziale Strukturen aufzubauen. Elemente wie Vertrauen sind wesentliche Bestandteile einer kohärenten Gesellschaft. Ohne Vertrauen scheitern die Beziehungen.

Betrüger verstehen das menschliche Verhalten und das Bedürfnis, vertrauensvolle Beziehungen aufzubauen. Sie wissen auch, wie sie Menschen manipulieren können, indem sie vorgeben, eine vertrauenswürdige Person zu sein oder Vertrauen aufzubauen.

Auch andere menschliche Verhaltensweisen wie der Drang, einen guten Job zu machen, nicht in Schwierigkeiten zu geraten oder etwas Gutes zu verpassen, werden von Cyberkriminellen missbraucht. All diese natürlichen Handlungen, die wir täglich in unserem Privat- und Arbeitsleben ausführen, können von Cyberkriminellen ausgenutzt werden, um Daten zu stehlen und auf Netzwerke zuzugreifen, um bösartige Handlungen auszuführen.

Social Engineering-Angriffe: 5 berühmte Beispiele

Beispiele für Social Engineering sind regelmäßig in der Presse zu finden, aber hier sind fünf, um Ihnen einen Eindruck davon zu vermitteln, wie Social Engineering funktioniert:

Marriott Hotel

Eine Hackergruppe nutzte Social Engineering-Taktiken, um 20 GB persönlicher und finanzieller Daten aus einem Marriott-Hotel zu stehlen. Die Hacker brachten einen Mitarbeiter des Marriott-Hotels dazu, der Hackergruppe Zugriff auf den Computer des Mitarbeiters zu gewähren.

US-Arbeitsministerium der Vereinigten Staaten („DoL“)

Es handelte sich um einen sozial manipulierten Angriff, bei dem Anmeldedaten für Office 365 gestohlen wurden. Der Angriff nutzte ein ausgeklügeltes Phishing, das auf geschickt gefälschten Domains basierte, die wie die legitime DoL-Domain aussahen. Die E-Mails schienen von einem leitenden DoL-Mitarbeiter zu stammen und forderten ihn auf, ein Angebot für ein Regierungsprojekt abzugeben. Durch Anklicken der Schaltfläche für die Angebotsabgabe gelangte der Mitarbeiter auf eine Phishing-Webseite, über die Anmeldedaten gestohlen wurden.

Zoom-Benutzer

Eine Phishing-Kampagne, die auf Mitarbeiter abzielte, betraf mindestens 50 000 Benutzer. Die Social Engineers nutzten die Angst vor Entlassung, um die Mitarbeiter dazu zu bringen, auf einen Link zu klicken, um sich mit der Personalabteilung über Zoom zu treffen. Wenn der Mitarbeiter auf den Link klickte, gelangte er auf eine gefälschte Zoom-Anmeldeseite, um Passwörter zu stehlen.

FACC (österreichischer Flugzeughersteller)

FACC verlor rund 42 Millionen Euro, als das Unternehmen Opfer eines ausgeklügelten Business Email Compromise (BEC)-Betrugs wurde. Das E-Mail-Konto des Geschäftsführers vom Unternehmen wurde gefälscht und dann benutzt, um eine „dringende“ E-Mail-Anfrage für eine Geldüberweisung zu senden. Mit dieser E-Mail wurde ein Angestellter des Unternehmens getäuscht, der der Aufforderung nachkam und das Geld auf das Konto des Betrügers überwies.

Crowdstrike-Rückruf

Sogar Sicherheitsanbieter bekommen die Macht des Social Engineerings zu spüren. Crowdstrike ist unwissentlich zum Spielball der Social Engineers geworden. Betrüger nutzen die vertrauenswürdige Marke von Crowdstrike und anderen Sicherheitsanbietern, um Phishing-E-Mails an Mitarbeiter zu senden. Die E-Mail enthält Details zu einer möglichen Malware-Infektion und eine Telefonnummer, die angerufen werden soll, um die installierte Malware zu entfernen. Wenn der Mitarbeiter die Nummer wählt, wird er dazu verleitet, dem Angreifer Zugang zu seinem Computer zu gewähren.

Wie Sie sich vor Social Engineering Attacken schützen können

Social Engineering ist erfolgreich, weil die Technik unsere alltäglichen Handlungen manipuliert. Dadurch ist es für die Mitarbeiter schwierig zu erkennen, dass sie Teil eines Social Engineering-Angriffs sind.

Social Engineering muss Teil des Gesprächs über Security Awareness sein, und die Sicherheitsrichtlinien sollten dies widerspiegeln. Es gibt jedoch praktische Möglichkeiten, um sicherzustellen, dass die Mitarbeiter mit den Tricks der Social Engineering-Betrüger auf dem Laufenden sind:

Machen Sie Social Engineering zu einem Teil Ihrer Sicherheitskultur

Informieren Sie Ihre Mitarbeiter regelmäßig über Social Engineering und dessen Funktionsweise.

Stellen Sie sicher, dass Social Engineering Teil Ihrer regelmäßigen Sicherheitsschulungen ist. Integrieren Sie Social Engineering in die Plakate für den Cyber Security Awareness Month und versenden Sie Newsletter an die Mitarbeiter, um sie über die durch Social Engineering verursachten Probleme zu informieren.

Einsatz von Phishing-Simulationen

Verwenden Sie eine fortschrittliche Plattform für Phishing-Simulationen, um Mitarbeiter darin zu schulen, wie Phishing-E-Mails aussehen, und um ihre Reaktion auf eine Phishing-E-Mail zu testen. Passen Sie diese E-Mails an die verschiedenen Rollen in Ihrem Unternehmen an und stützen Sie sich bei den Simulationen auf bekannte Taktiken von Betrügern.

Führen Sie Penetrationstests für Ihr Unternehmen und Ihre Mitarbeiter durch

Richten Sie verschiedene Testszenarien ein, um zu sehen, wie gut die Mitarbeiter auf mögliche Social Engineering-Versuche reagieren. Dazu können auch Tests gehören, um festzustellen, wie leicht (oder schwer) es ist, sich Zugang zum Gebäude zu verschaffen.

Testen Sie auch das Personal und seine Reaktion auf unbekannte Personen

Geben Sie sich z. B. als Reinigungskräfte oder Auftragnehmer aus und prüfen Sie, wie weit sie kommen, wenn sie Informationen über Ihr Unternehmen abfragen oder um Zugang zu einem Computer bitten.