Unternehmen werden Opfer von Phishing-Angriffen, weil sie sich oft nur sehr unzureichend mit den Gefahren des Social-Engineering (Human Hacking) auseinandersetzen. Ein aktuelles Beispiel ist der Cyber-Angriff auf Continental ↗. Für die Sicherheitslücke ist laut den Angaben des IT-Sicherheitschef des Konzerns ein einzelner Mitarbeiter verantwortlich, der einen nicht autorisierten Browser aus dem Internet heruntergeladen hat. Dadurch sei es Cyberkriminellen möglich gewesen, 40 Terabyte an Daten des Autozulieferers zu „exfiltrieren“.
Willkommen zum 2. Teil “Warum Unternehmen Opfer von Phishing-Angriffen werden”!
Im 1. Teil haben wir uns mit dem sorglosen Surfen von Mitarbeiterinnen und Mitarbeitern im Internet auseinandergesetzt. Im zweiten Teil geht es abermals um die IT-Sicherheitslücke “Schwachstelle Mensch”.
Schwachstelle Nr. 2: Es braucht nur einen Mitarbeiter, der den Köder annimmt.
Wenn wir die Risiken und Gefahren von Phishing-Angriffen aus der menschlichen, psychologischen Perspektive betrachten, lässt sich Folgendes feststellen:
In einem Unternehmen mit 1.000 Mitarbeitern gibt es 1.000 mögliche Angriffsziele!
Selbst wenn die IT-Abteilung eingehende und ausgehende Spam- und Webfilter eingerichtet hat, Sicherheitsübungen und Aufklärungskampagnen durchgeführt oder stattliche Summen zur Überwachung des Datenverkehrs und für Sicherheitsmaßnahmen ausgeben wurden, müssen Angreifer nur eine menschliche Schwachstelle im Unternehmen ausfindig machen mit deren Hilfe der Phishing-Angriff gelingt.
Ein großes IT-Sicherheits-Problem: Der Mensch
Technischen Hürden zur Überwindung von IT-Systemen werden von Tag zu Tag höher, Deshalb suchen potentielle Angreifer verstärkt nach einfacheren Wegen, um in Systeme einzudringen. In diesem Kontext ist es unabdingbar, die Schwachstelle Mensch und somit das Social-Engineering viel stärker in den Fokus der IT-Sicherheit zu rücken.
Was ist Social-Engineering?
Beim Social-Engineering ergaunern sich Angreifer auf einer menschlichen Ebene vertrauliche Informationen und Daten. Mit emphatischem Geschick, Schauspielkünsten und psychologischen Tricks werden Opfer manipuliert. Die Ziele solcher Angriffe reichen beispielsweise vom Identitäts- und Datendiebstahl bis hin zur Industriespionage.
Angreifer machen sich dabei die folgenden, menschlichen Eigenheiten und Züge zunutze:
- Ärger- und Konfliktvermeidung
- Harmoniebedürfnis
- Gutmütigkeit
- Hilfsbereitschaft
- Respekt, Wertschätzung, Bewunderung, Lob
- Urvertrauen
- …
Social-Engineers nutzen diese menschlichen Züge gezielt aus, zum Beispiel indem sie…
…sich an die Hilfsbereitschaft wenden:
“Ich bin ein Kollege aus der Buchhaltung. Ich muss schnell noch eine E-Mail beantworten. Mein PC wurde bereits heruntergefahren. Darf ich kurz Ihren Computer benutzen, während Sie eine Pause machen?”
…jemandem schmeicheln:
“Ich bin Journalist und schreibe über Unternehmer im High-Tech-Bereich. Sie sind mir positiv aufgefallen. Haben Sie ein paar Minuten Zeit? Ich möchte Sie zu Ihrer Person und Ihren aktuellen Absichten befragen.”
Die Erfolgsquote solcher Angriffe ist enorm hoch. Ein guter Social Engineer baut mit Fragen, Emphatie und Smalltalk Vertrauen auf.
Ein Social-Engineering-Angriff besteht in der Regel aus den folgenden Schritten:
- Recherchieren
- Kontakt aufnehmen
- Vorgeben einer falschen Identität
- Sensible Informationen sammeln
- Unauffällig verschwinden
- Anwenden der erbeuteten Informationen
Welche Arten von Social-Engineering-Angriffen gibt es?
BEC (Business Email Compdangerous romise)
Beim Business Email Compromise (BEC) hacken sich Cyberkriminelle in ein geschäftliches E-Mail-Konto ein und geben sich als hochrangige Mitarbeiter aus, um Partner, Mitarbeiter und Kunden zu betrügen. BEC zielt auf Unternehmen ab, die viele Überweisungen tätigen und Kunden in Übersee haben. Hacker nutzen BEC, um Social-Engineering-Angriffe effektiver zu gestalten.
Phishing – Köder werfen
Phishing ist die am weitesten verbreitete Variante des Social Engineering. Beim Phishing versuchen Angreifer Privat- oder Geschäftspersonen dazu zu verleiten, vertrauliche Informationen (Benutzernamen, Passwörter, Kreditkarteninformationen usw.) preiszugeben. Weitere, ausführlichere Infos zum Thema Phishing findest du in meinem Beitrag “Was ist Phishing?”
Angler-Phishing
Angler-Phishing, benannt nach dem Seeteufel (engl. „anglerfish“), ist ein Phishing-Angriff in den sozialen Medien. Im Gegensatz zum herkömmlichen Phishing, werden Angler-Phishing-Angriffe mit gefälschten Social-Media-Konten von Unternehmen gestartet. Cyberkriminelle erstellen gefälschte Social-Media-Konten, um sich beispielsweise als Kundendienstmitarbeiter eines Unternehmens auszugeben. Sie erhoffen sich damit, unzufriedene Kunden anzulocken, die sie gezielt attackieren können.
Spear-Phishing
Spear-Phishing ist ein gezielter Angriff, bei dem sich Cyberkriminelle als legitime Quellen tarnen, um bestimmte Opfer zur Preisgabe von persönlichen, finanziellen oder anderen sensiblen Daten zu bewegen. Beim Spear-Phishing befassen sich Angreifer im Vorfeld sehr gründlich mit ihren Opfern, so dass die Kommunikation vertrauenswürdig, individuell gestaltet und authentisch wirkt. Spear-Phishing-Angriffe lassen sich deshalb oft nur schwer erkennen.
Pharming
Pharming ist eine Betrugsmasche, bei dem ein Angreifer Besucher von einer legitimen Website auf eine gefälschte Website umleitet, um Benutzernamen, Passwörter und andere sensible Informationen zu stehlen. Bei diesem Cyberangriff werden die Browsereinstellungen des Benutzers übernommen oder bösartiger Code im Hintergrund ausgeführt. Das eigentliche Ziel beim Pharming ist der Identitätsdiebstahl.
Shoulder Surfing
Eine weitere, sehr effektive Social-Engineering-Technik ist das Shoulder Surfing. Es wird eingesetzt, um jemanden dazu zu bewegen, Zugangsdaten in eine Anwendung oder auf einer Website einzugeben.
Beispiel:
Wenn ein Angreifer zu jemandem an den Arbeitsplatz geht und sagt:
“Darf ich Sie kurz stören? Ich habe Probleme, mich bei meinem Computer anzumelden. Können Sie mir einen schnellen Gefallen tun und sich auf dieser Website oder in dieser Anwendung anmelden, damit wir ganz schnell etwas überprüfen können?”
Während der Angreifer hinter dem potentziellen Opfer steht, beobachtet er, was das Opfer eingibt. Die zur Abwehr oft empfohlenen Datenschutzbildschirme oder das Maskieren von Passwörtern helfen allerdings nur bedingt. Ein guter Angreifer beobachtet die Tastatureingaben, registriert sie oder zeichnet sie auf.
Physische Sicherheitsverstöße
Physische Sicherheitsverstöße umfassen den physischen Diebstahl von vertraulichen Dokumenten und anderen Wertgegenständen wie Computern und Speicherlaufwerken. Bei pysischen Sicherheitsverstößen werden die Opfer zunächst beschattet. Danach folgt das unbefugte Betreten des Firmengebäudes sowie der Diebstahl.
USB-Dropping
Wenn du einen USB-Stick findest, möchtest du die Person ausfindig machen, die den Stick verloren hat. Der erste Gedanke dabei ist oft: „Lass uns doch mal schauen, was drauf ist“. Diese Neugier, um den Besitzer ausfindig zu machen, ist jedoch sehr gefährlich. Über eine modifizierte Firmware oder einen als USB-Stick getarnten Microcomputer kann so Malware auf Systeme und Geräte eingeschleust werden.
Dumpster Diving – Ein Blick in die Tonne
Beim Dumpster Diving werden Papiertonnen und Abfallbehälter nach sensiblen Informationen durchsucht. Hier reicht es aus, wenn Mitarbeiter eine Haftnotiz mit dem Vermerk eines Passworts achtlos wegwerfen.
E-Mail-Hacking
Beim E-Mail-Hacking verschaffen sich Angreifer unbefugten Zugang zu den E-Mail-Konten ihrer Opfer.
Scareware
Scareware ist ein Cyberangriff, bei dem Nutzern Angst eingejagt wird. Die Opfer werden manipuliert, so dass sie glauben, dass ihr Computer mit Malware infiziert wurde. Die Angreifer fordern die Benutzer dann dazu auf, Malware zu kaufen, die als echte Cybersicherheitssoftware getarnt ist. Bei diesem Angriff werden u.a. Pop-ups und andere Social-Engineering-Taktiken eingesetzt.
Tabnabbing
Tabnabbing ist eine Angriffs-Technik, die auf statische Websites abzielt. Dabei können neu geöffnete Registerkarten die Benutzer auf betrügerische Websites umleiten, damit die Angreifer Anmeldedaten und andere wichtige Informationen stehlen können.
Access-Tailgating – Durchschlüpfen
Beim Tailgating versuchen Angreifer Sicherheitsbereiche ohne Zugangsberechtigung zu betreten. Access-Tailgating ist eine häufige Verletzung der physischen Sicherheit, bei der ein Cyberkrimineller einer autorisierten Person in einen geschützten Bereich folgt. Bei dieser Art von Social-Engineering-Angriff wird die menschliche Höflichkeit ausgenutzt, um anderen zu helfen. Das häufigste Beispiel ist das Aufhalten der Tür für eine unbekannte Person hinter sich.
Impersonation – Identitätswechsel
Bei einem Impersonation-Angriff gibt sich ein Angreifer als rechtmäßiger Benutzer oder Dienst aus, um Zugang zu geschützten Informationen zu erhalten. Hat ein Angreifer genügend Informationen über einen legitimen Benutzer oder Dienst gesammelt, kann er anderen problemlos eine falsche Identität vorgaukeln. Mit Hilfe dieser falschen, glaubhaft gemachten Identität, bewegen Agreifer ihre Opfer dazu sensible Informationen preiszugeben, die ansonsten durch Sicherheitsmaßnahmen geschützt wären.
Beim Inpersonation nutzen Angreifer oft E-Mails, in denen sie sich als eine andere Person ausgeben (Spoofing). Dazu können auch Phishing-E-Mails gehören, die Links enthalten, mit denen Malware auf das System eines ahnungslosen Opfers heruntergeladen wird. Impersonating-Angriffe können auch persönlich, per Telefon oder online erfolgen.
Identity Fraud – Identitätsbetrug
Identitätsbetrug wird immer mehr zu einer Bedrohung. Die Identität eines Opfers wird beispielsweise dazu verwendet, um einen Kredit zu erhalten oder Geld von Bankkonten oder von Geschäftskonten zu stehlen. Für die Informationsbeschaffung werden Malware, Social-Engineering-Techniken und Old-School-Methoden, wie z. B. Dumpster Diving, eingesetzt. Bei den für die Angreifer relevanten Information handelt es sich meist um Quittungen, Rechnungen oder Zettel mit personenbezogene Daten, die Menschen oft achtlos wegwerfen.
Ein Identitätsbetrug kann auch elektronisch durch Malware erfolgen, indem etwas auf den Computer der Opfer heruntergeladen wird, ohne dass sie etwas davon bemerken. Dabei kompromitieren oder mißbrauchen Angreifer Software und Fernzgriffe, um Daten von PCs oder Systemen im Netzwerk zu exfiltrieren. Social-Engineering-Techniken werden beim Identitätsbetrug sehr effektiv eingesetzt, da die Opfer häufig nicht unmittelbar erkennen, dass sie wichtige Informationen gegenüber Unbefugten preisgeben.
Invoice Scam
Invoice-Scam (Rechnungsbetrug) geht normalerweise mit dem sogenannten Whaling einher. Eine Whaling-Technik besteht also darin, dass schlechte Akteure E-Mail-Konten von Führungskräften fälschen. Sie werden sich dann an eine Finanz- oder Kreditorenbuchhaltung oder irgendeine Art von Buchhaltungsgruppe wenden und sie auffordern, eine betrügerische Rechnung zu bezahlen. Sie fragen möglicherweise nach einer Überweisung, einer Firmenkreditkarte oder noch seltener nach einer Kryptowährung.
Typo Squatting / URL Hijacking – Tippfehler / URL-Hijacking
Beim Typosquatting gibt das Ziel oder Opfer im Grunde etwas Falsches in die Browseradresszeile ein. Hacker wissen, dass Nutzer die Namen von bestimmten Websites auf verschiedene Arten falsch schreiben werden. Sie geben z. B. Facbook statt Facebook, Goggle oder Googel statt Google ein. Tippfehler passieren millionenfach pro Stunde. Das Vertippen machen sich Hacker zunutze. Sie richeten Websites mit den falsch geschriebenen Domänennamen ein, die so aussehen, als handle es sich dabei um die originalen, legitimen Websites von Facebook oder Google. Die gefälschten Sites sind eine perfekte Möglichkeit für Angreifer, Anmeldeinformationen, Benutzernamen, Passwörter usw. zu erfassen.
Hybrid Warfare – Hybride Kriegsführung
Mit Hybrid Warfare versuchen Hacker, Gruppierungen und Staaten wirtschaftlichen oder politischen Einfluss zu nehmen. Sie manipulieren die Börse oder sie bringen damit eine bestimmte Branche zu Fall. Ebenso kann mit Hybrid Warfare die öffentliche Wahrnehmung gegenüber einem bestimmten Unternehmen geändert werden. Theoretisch wäre es sogar möglich ganze Regierungen damit zu stürzen. Beim Hybrid Warfare werden z. B. Bots und Malware verwendet, um gefälschte Nachrichten (Fake News) und Propaganda zu verbreiten.
Spam
Ein Spam-Angriff besteht darin, dass Cyberkriminelle zahlreiche E-Mails an ihre Opfer senden. Spam-Nachrichten können von echten Menschen oder von Botnetzen (einem Netzwerk aus mit Malware infizierten Computern, das von einem Angreifer kontrolliert wird) versendet werden. Ziel solcher Angriffe ist, die Nutzer dazu zu verleiten, Malware herunterzuladen oder sensible Daten weiterzugeben.
Social Media- und Influencer-Kampagnen
Eine noch recht neue Art von Social-Engineering-Technik, bei der Hacker soziale Medien für Einflussnahmekampagnen nutzen. Bei der Gestaltung der öffentlichen Meinung kann es ein äußerst mächtiges Instrument sein. Es kann dazu verwendet werden, um dem Image eines Unternehmens, einer politischen Partei, einem Aktienkurs usw. zu helfen oder zu schaden. Für Social-Media-Kampagnen ist nicht unbedingt viel Geld oder eine Riesentruppe erforderlich. Auch mit einer kleinen Gruppe oder Anhängerschaft können Stimmen und Meinungen in den sozialen Medien verstärkt werden. Die öffentliche Ordnung, Wahlen, Einstellungen zur Regierung, Einstellungen zur Strafverfolgung usw. können dazu verwendet werden, ein Gebiet oder eine Region entweder zu stärken oder zu schwächen.
Whaling/CEO-Betrug
Whaling oder CEO-Betrug ist ein Phishing-Angriff, der auf leitende Angestellte wie Chief Executive Officers, Chief Financial Officers oder Vorstandsmitglieder abzielt. Die Angreifer zielen darauf ab, sensible Informationen zu stehlen oder Mitarbeiter dazu zu bringen, große Überweisungen zu genehmigen oder Informationen über Vermögenswerte preiszugeben.
Baiting
Baiting ist eines der häufigsten und einfachsten Beispiele für Social-Engineering-Angriffe. Ähnlich wie beim Phishing werden beim Baiting falsche Versprechungen agemacht und falsche Anreize gegeben, um die Neugierde und Gier des Opfers zu wecken. Angreifer nutzen dabei in der Regel kostenlose Film- oder Software-Downloads, um die Benutzer zur Eingabe ihrer Anmeldedaten zu verleiten.
DNS-Spoofing
DNS-Spoofing, auch bekannt als DNS-Cache-Poisoning, ist eine Angriffsart, bei der Cyberkriminelle geänderte Domain-Namen verwenden, um Benutzer auf eine bösartige Website umzuleiten, die als die beabsichtigte Website getarnt ist. Die Benutzer werden dann aufgefordert, ihre Anmeldedaten einzugeben, wodurch die Angreifer sensible Daten stehlen können.
Pretexting
Pretexting ist einer der einfachsten Social-Engineering-Angriffe, bei dem Cyberkriminelle Szenarien entwerfen, um Opfer dazu zu bringen, private Informationen preiszugeben oder auf Netzwerkressourcen zuzugreifen. In den meisten Fällen denkt sich der Angreifer eine überzeugende Geschichte oder einen Vorwand aus und gibt sich als legitime Stelle aus, um das Opfer zu täuschen.
Watering-Hole-Angriffe
Ein Watering-Hole-Angriff ist die gezielte Ausnutzung einer Sicherheitslücke, bei der Cyberkriminelle versuchen, eine bestimmte Gruppe von Nutzern zu kompromittieren, indem sie die Website (das Netzwerk) infizieren, die die Mitglieder dieser Gruppe häufig besuchen. Ziel der Angreifer ist es, die Computer ihrer Opfer zu infizieren und Zugang zu deren Netzwerkressourcen zu erhalten.
Quid-pro-Quo
Quid-pro-Quo ist ein weiterer gängiger Social-Engineering-Angriff. Hier versprechen die Hacker einen Vorteil, um die Opfer zur Preisgabe personenbezogener Daten zu verleiten. Sie können beispielsweise einen Anruf von einer zufälligen Nummer erhalten, die behauptet, ein technischer Supportmitarbeiter von einem von dir genutzten Dienste zu sein. Sie bitten um kritische Daten im Austausch für eine Dienstleistung.
Umleitungsdiebstahl
Umleitungsdiebstahl, auch als „Diversion Theft“ oder „Corner Game“ bekannt, bei dem die Täter Lieferungen abfangen, indem sie sie an falsche Orte umleiten.
Honey Trap
Eine Honey Trap (Honigfalle) gehört zu den Social-Engineering-Angriffen, bei denen sexuelle Beziehungen genutzt werden, um Netzwerke zu kompromittieren und Menschen dazu zu bewegen, wichtige Informationen preiszugeben. In den meisten Fällen erstellt ein Honey Trapper ein weibliches Profil, identifiziert seine Opfer und freundet sich dann mit ihnen an, um ihr Vertrauen zu gewinnen.
Vorschussbetrug
Bei Vorschussbetrügereien fordern die Angreifer die Zielpersonen auf, eine Vorauszahlung zu leisten, bevor sie versprochene Dienstleistungen, Waren oder Produkte erhalten. Bei dieser Methode werden die bestellten Produkte nie geliefert.
Fazit
Social-Engineering-Angriffe sind aufgrund menschlicher Fehler und der Unfähigkeit, die von Cyberriminellen verwendeten Muster zu erkennen, erfolgreich. Deshalb müssen Unternehmen ihre Mitarbeiter über die Auswirkungen dieser Angriffe aufklären. Mitarbeiterinnen und Mitarbeiter sollten regelmäßig umfassend sensibilisiert und geschult werden.