zurück zur Übersicht

Social Engineering: Angriff aus dem Sozialen Netz

Social Engineering : Der Angreifer kommt ganz seriös daher„Herr Maier, bitte führen Sie so schnell wie möglich diese Zahlung aus!“

Ein typischer Fall von sogenanntem Social Engineering: Der Chef eines Unternehmens im hessischen Büdingen beauftragt per E-Mail seinen Buchhaltungsmitarbeiter mit der Durchführung einer Zahlung von 300.000 Euro an eine Anwaltskanzlei. Nichts Ungewöhnliches per se, aber hier ein Betrugsversuch. Diesmal hatte der Mitarbeiter schlussendlich doch Zweifel an der Legitimität des Auftrages, denn der echte Chef war im Urlaub und die E-Mail-Adresse hatte einen Tippfehler.

Schon alleine die den US-Behörden bekannten Fälle von Unternehmensbetrug per E-Mail belaufen sich auf eine Schadenssumme von fast 1 Milliarde US-Dollar pro Jahr. Aus Angst vor schlechter Publicity werden aber viele Fälle gar nicht erst angezeigt. Der zusätzliche Verlust von wichtigen Assets, wie z.B. interne Kundenlisten oder neue Produktentwicklungen ist ohnehin nur schwer zu beziffern. Dazu kommen die Fälle, in denen ein Schaden gerade noch so verhindert werden konnte.

Social Engineering ist omnipräsent

Betrug per E-Mail ist eine der vielen Ausprägungen von Social Engineering. Dabei werden gezielt Daten über Mitarbeiter und deren soziales Umfeld gesammelt. Das Ziel ist es, durch vorgegaukelte falsche Identitäten das Verhalten des Opfers zu manipulieren. So können selbst vorsichtige Mitarbeiter beispielsweise dazu gebracht werden, verseuchte E-Mailanhänge zu öffnen: Absender, Betreff und Mailtext mit persönlicher Anrede und Signatur erscheinen absolut plausibel und vertrauenswürdig.

Unternehmenswebsites, Social-Media-Aktivitäten und Stellenausschreibungen liefern im Unternehmensumfeld oft sehr wertvolle Informationen mit denen ein Angreifer kurzzeitig Vertrauen bei seinem Gegenüber aufbauen kann. Über Autoritätsbeziehungen, vorgebliche Dringlichkeit und unzureichende Authentifikation können Personen durch vermeintlich Vorgesetzte getäuscht werden – und schon ist der Schaden angerichtet.

Das kann sogar über die digitale Ebene hinausgehen. Im direkten persönlichen Kontakt kann ein Angreifer seine Vorabinformationen noch durch Beobachtung der Verhaltensweisen der übrigen Personen ergänzen. Folgt ein Angreifer nun einer zutrittsberechtigten Person in einen Sicherheitsbereich („Tail Gating“), wird dies nicht auffällig erscheinen oder aus Respekt und Scham (Offenbarung der eigenen Unwissenheit über die Identität der anderen Person) nicht hinterfragt werden.

Das schwächste Glied nicht übersehen

Eine Kette ist nur so stark, wie Ihr schwächstes Glied! Daher ist die sorgfältige Absicherung des Hintereingangs nutzlos, wenn der sympathische, sich als Techniker ausgebende Angreifer über den Haupteingang freundlich eingelassen wird und ihm noch ein Kaffee angeboten wird.

Mögliche Maßnahmen gegen Social-Engineering-Angriffe folgen dem Prinzip Defense-in-Depth. Diese Strategie reduziert die Erfolgswahrscheinlichkeit eines Angriffes und begrenzt seine Auswirkungen mittels technischem und physischem Schutz, aber eben auch durch personenbezogene und prozessbasierte Maßnahmen. Dazu zählen zum Beispiel:

Generell:

  • Awareness-Trainings mit periodischer Auffrischung
  • Strikte Vorgabe auch bei angeblich besonderer Dringlichkeit den definierten Prozessen zu folgen, also z.B. Zahlungsanweisungen immer per Telefon rückbestätigen zu lassen
  • Unternehmenskultur, die Misstrauen gegenüber der Identität eines vermeintlich Vorgesetzten zulässt
  • Auswirkungslimitierung durch minimale Zutritts- und Zugriffsrechte

Speziell gegen Betrug per E-Mail:

  • Mailserverseitiges Ausfiltern von eingehender Mail deren Absenderadressen-Domain der Unternehmensdomain entspricht
  • Einholung telefonischer oder persönlicher Bestätigung als Voraussetzung für die Ausführung bestimmter Aufgaben
  • Etablierung von Doppelbestätigungs-Prozessen für wichtige Entscheidungen

Speziell gegen Zutritt unberechtigter Personen:

  • automatische Zugangskontrollen mit Personenvereinzelung
  • strikte Richtlinien für manuellen Einlass durch Sicherheitspersonal

 

Was Sie sonst noch gezielt gegen Social Engineering tun können – angefangen bei technischen Maßnahmen zur Netzwerkabsicherung und geschützter interner Kommunikation, bis hin zu Awareness-Training – können meine Kollegen von iT-CUBE SYSTEMS und ich Ihnen sagen. Wir können prüfen welche Schwachstellen Ihr Unternehmen diesbezüglich aufweist. Und wir kennen vielfältige Wege diese Lücken zu schließen!


Weiterführende Links:

https://www.heise.de/security/meldung/Als-Chef-getarnt-fordern-Internet-Kriminelle-Geld-von-Firmen-3208796.html

https://www.heise.de/security/meldung/Social-Engineering-2-3-Milliarden-US-Dollar-Schaden-durch-CEO-Betrugsmasche-3166327.html

http://k.polizei.hessen.de/110855909

https://www.fbi.gov/phoenix/press-releases/2016/fbi-warns-of-dramatic-increase-in-business-e-mail-scams

https://www.helpnetsecurity.com/2016/05/19/social-engineer/

http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411

Bild: ©bigstock/KYOGOYUGO/Kaufmann

Schreibe einen Kommentar