Soziale Ingenieurtechnik

Einführung#

Wenn es um Cybersicherheit geht, denken die meisten Menschen an technische Angriffe wie SQL-Injektion, Cross-Site-Scripting, Man-in-the-Middle-Angriffe oder Malware. Die häufigsten und effektivsten Angriffe sind jedoch oft gar nicht technisch. Soziale Ingenieurtechnik ist die Kunst, Menschen zu manipulieren, damit sie vertrauliche Informationen preisgeben. Jedes Cyberverbrechen beginnt mit einem Angriff durch soziale Ingenieurtechnik.

Hier ist die Definition von Wikipedia:

Im Kontext der Informationssicherheit ist soziale Ingenieurtechnik die psychologische Manipulation von Menschen, um Handlungen auszuführen oder vertrauliche Informationen preiszugeben. Eine Art Vertrauensbetrug zum Zweck der Informationsgewinnung, des Betrugs oder des Systemzugriffs, unterscheidet sich von einem traditionellen "Betrug" dadurch, dass es oft nur einer von vielen Schritten in einem komplexeren Betrugsschema ist.[1] Es wurde auch als "jede Handlung definiert, die eine Person dazu beeinflusst, eine Handlung auszuführen, die möglicherweise nicht in ihrem besten Interesse liegt."

Die Art der Informationen, die diese Kriminellen suchen, kann variieren, aber wenn Einzelpersonen ins Visier genommen werden, versuchen die Kriminellen normalerweise, dich dazu zu bringen, ihnen deine Passwörter, persönliche Informationen oder Zugang zu deinem Computer zu geben, um heimlich bösartige Software zu installieren – die ihnen Zugang zu deinen Passwörtern und Bankdaten gibt und ihnen auch die Kontrolle über deinen Computer ermöglicht.

Wie funktioniert die soziale Ingenieurtechnik?#

Angriffe durch soziale Ingenieurtechnik erfolgen in einem oder mehreren Schritten. Die meisten dieser Angriffe beruhen auf tatsächlicher Kommunikation zwischen Angreifern und Opfern. Es ist oft der Fall, dass Opfer über einen längeren Zeitraum von mehreren Angreifern ins Visier genommen werden, und Angriffe werden sorgfältig ausgearbeitet, um eine Entdeckung zu vermeiden. Ein erfolgreicher Angriff umfasst die folgenden Schritte:

1. Forschung: Der Angreifer sammelt Informationen über das Ziel, wie potenzielle Einstiegspunkte und schwache Sicherheitsprotokolle, die für den Angriff benötigt werden. In der heutigen Welt ist es sehr einfach, Informationen über eine Person online zu finden. Zum Beispiel kannst du die E-Mail-Adresse, Telefonnummer und sogar die Privatadresse einer Person auf ihrem sozialen Medienprofil finden. Du kannst auch herausfinden, wo sie arbeitet, was sie tut und mit wem sie arbeitet. Diese Informationen können verwendet werden, um eine sehr überzeugende Phishing-E-Mail oder einen Anruf in den nächsten Schritt zu verfassen.

2. Köder: Der Angreifer nutzt diese Informationen, um ein glaubwürdiges Szenario zu erstellen, um das Opfer dazu zu verleiten, das zu tun, was der Angreifer will. Zum Beispiel könnte der Angreifer das Opfer anrufen und sich als Kundenbetreuer seiner Bank ausgeben und es bitten, seine Kontoinformationen zu bestätigen. Oder er könnte einen Mitarbeiter eines Unternehmens anrufen und sich als IT-Support-Mitarbeiter ausgeben und verlangen, dass er sein Passwort zurücksetzt.

3. Emotionen ausnutzen: Der Angreifer spielt auf Emotionen ein, um das Opfer dazu zu bringen, sofort zu handeln, ohne nachzudenken. Zum Beispiel könnte der Angreifer dem Opfer mit Geldstrafen, Strafen oder Strafverfolgung drohen, wenn es nicht sofort auf die Anfrage reagiert. Oder er könnte auf die Gier des Opfers anspielen, indem er ihm im Gegenzug für seine Hilfe eine große Summe Geld oder eine Belohnung verspricht.

4. Ausführen: Der Angreifer führt den Angriff aus, der in verschiedenen Formen erfolgen kann. Zum Beispiel könnte er:

   • Das Opfer dazu bringen, Malware auf seinem Computer zu installieren.
   • Das Opfer dazu bringen, sensible Informationen per E-Mail oder Telefon preiszugeben.
   • Das Opfer dazu bringen, Geld an den Angreifer zu senden.
   • Das Opfer dazu bringen, auf einen bösartigen Link in einer E-Mail oder Textnachricht zu klicken.

Diese oben genannten Schritte können in sehr kurzer Zeit passieren, oder sie können sich über Wochen oder Monate erstrecken. Der Angreifer kann eine Person oder eine Gruppe von Personen ins Visier nehmen. Die Verbindung kann über einen Anruf, eine E-Mail, eine Textnachricht oder soziale Medien-Chats hergestellt werden. Aber letztendlich endet es mit einer Aktion, die du ausführst, wie das Teilen deiner Informationen oder das Aussetzen von Malware.

Arten von Angriffen durch soziale Ingenieurtechnik#

Es gibt viele Arten von Angriffen durch soziale Ingenieurtechnik, und jede hat ihren eigenen Zweck und ihr eigenes Ziel. Hier sind einige der häufigsten Arten von Angriffen durch soziale Ingenieurtechnik:

Spam-Phishing#

Spam-Phishing ist die häufigste Form eines Angriffs durch soziale Ingenieurtechnik. Es handelt sich um eine Art Phishing-Angriff, bei dem der Angreifer Millionen von E-Mails an zufällige Personen sendet, in der Hoffnung, dass einige von ihnen auf den Betrug hereinfallen. Die E-Mails werden meist von einer gefälschten E-Mail-Adresse gesendet und enthalten oft einen Link zu einer bösartigen Website oder einen bösartigen Anhang. Das Ziel des Angriffs ist es, das Opfer dazu zu bringen, auf den Link zu klicken oder den Anhang zu öffnen, der Malware auf seinem Computer installiert.

Beispiel#

Stell dir vor, du erhältst eine unerwünschte E-Mail in deinem Posteingang mit einer verlockenden Betreffzeile, die behauptet, du hättest einen großen Geldpreis gewonnen. Der Titel der E-Mail besagt, dass du $1.000.000 gewonnen hast und deinen Preis sofort beanspruchen musst.

Nach dem Öffnen der E-Mail findest du eine Nachricht, die dir zu deinem angeblichen Lotteriegewinn gratuliert. Sie könnte extravagante Versprechungen enthalten, wie eine lebensverändernde Geldsumme. Die E-Mail enthält normalerweise einen Link oder Kontaktinformationen, damit du deinen Gewinn beanspruchen kannst.

Diese E-Mail zeigt klassische Anzeichen eines Spam-Phishing-Angriffs:

1. Unerwünscht: Du hast nie an einer Lotterie oder einem Wettbewerb teilgenommen, also solltest du keinen Preis gewonnen haben.

2. Zu gut, um wahr zu sein: Das Versprechen einer großen Geldsumme ohne ersichtlichen Grund ist eine gängige Taktik, um Opfer zu ködern.

3. Dringende Handlung: In der E-Mail könnte behauptet werden, dass du schnell handeln musst, um deinen Preis zu beanspruchen, was ein Gefühl der Dringlichkeit erzeugt.

4. Anfragen nach persönlichen Informationen oder Geld: Um deinen Preis zu "beanspruchen", wirst du möglicherweise gebeten, persönliche Informationen bereitzustellen, Gebühren zu zahlen oder Geld zu überweisen, um angebliche Bearbeitungskosten zu decken.

Spear-Phishing#

Spear-Phishing ist eine Art von Phishing-Angriff, bei dem der Angreifer eine bestimmte Person oder Gruppe von Menschen ins Visier nimmt. Der Angreifer wird Nachforschungen über das Ziel anstellen und dann eine personalisierte E-Mail senden, die so aussieht, als käme sie von einer vertrauenswürdigen Quelle. Die E-Mail enthält normalerweise einen Link zu einer bösartigen Website oder einen bösartigen Anhang. Das Ziel des Angriffs ist es, das Opfer dazu zu bringen, auf den Link zu klicken oder den Anhang zu öffnen, der Malware auf seinem Computer installiert. Im Gegensatz zu Spam-Phishing sind Spear-Phishing-Angriffe hochgradig zielgerichtet und personalisiert, und ihre Erfolgswahrscheinlichkeit ist viel höher.

Beispiel#

In diesem Spear-Phishing-Szenario erhältst du eine E-Mail, die scheinbar von einem Kollegen oder jemandem, den du kennst, stammt. Die E-Mail enthält eine Betreffzeile, die auf eine wichtige Sicherheitsmitteilung hinweist. Was Spear-Phishing von regulärem Phishing unterscheidet, ist, dass der Angreifer eine bestimmte Person ins Visier nimmt und oft einige Kenntnisse über das Ziel besitzt.

Nach dem Öffnen der E-Mail findest du eine Nachricht, die angeblich von deinem IT-Berater Charles stammt. Sie spricht dich mit deinem vollen Namen an und erwähnt einen mutmaßlichen Sicherheitsverstoß in deinem Arbeitskonto. Die E-Mail fordert dich auf, auf einen Link zu klicken oder einen Anhang herunterzuladen, um dein Konto zu sichern. Du klickst auf den Link, und er führt dich zu einer Website, die genau wie die Login-Seite deines Unternehmens aussieht. Du gibst deinen Benutzernamen und dein Passwort ein, und der Angreifer hat nun Zugriff auf dein Konto.

Diese E-Mail zeigt klassische Anzeichen eines Spear-Phishing-Angriffs:

1. Personalisierung: Die E-Mail spricht dich mit deinem vollen Namen an, was ihr einen legitimen Eindruck verleiht.

2. Dringlichkeit: Die Nachricht vermittelt ein Gefühl der Dringlichkeit, indem sie andeutet, dass du sofortige Maßnahmen ergreifen musst, um ein Sicherheitsproblem zu lösen.

3. Anfragen nach Handlung: Die E-Mail fordert dich auf, auf einen Link zu klicken oder einen Anhang herunterzuladen. Diese Links oder Anhänge enthalten oft Malware oder führen zu Phishing-Seiten.

Ködern#

Ködern ist eine Art von Angriff durch soziale Ingenieurtechnik, bei dem der Angreifer dem Opfer etwas Verlockendes im Austausch für seine persönlichen Informationen anbietet. Zum Beispiel könnte der Angreifer eine kostenlose Geschenkkarte oder einen kostenlosen Filmdownload im Austausch für die E-Mail-Adresse des Opfers anbieten. Das Ziel des Angriffs ist es, das Opfer dazu zu bringen, seine persönlichen Informationen preiszugeben, die der Angreifer dann nutzen kann, um seine Identität zu stehlen oder Betrug zu begehen. Es nutzt die Neugier oder Gier des Opfers aus.

Beispiel#

In diesem Köder-Szenario lassen die Angreifer ein USB-Laufwerk an einem öffentlichen Ort, beispielsweise einem Café oder Parkplatz, liegen. Das USB-Laufwerk ist mit "Vertraulich" oder "Privat" beschriftet und enthält ein bösartiges Programm, das beim Einstecken des Laufwerks in den Computer des Opfers Malware installiert. Das Ziel des Angriffs ist es, das Opfer dazu zu bringen, das USB-Laufwerk in seinen Computer zu stecken, was zur Installation von Malware führt.

Du steckst das USB-Laufwerk in deinen Computer, in der Hoffnung, wertvolle Informationen zu finden. Es scheint eine Datei namens "Confidential_Project_Data.csv" zu enthalten. Wenn du versuchst, die Datei zu öffnen, wird ein verstecktes Skript ausgelöst, das deinen Computer mit Malware infiziert.

In diesem Köderangriff:

1. Der Köder ist das USB-Laufwerk, das mit "Vertraulich" oder "Privat" beschriftet ist und es für jeden, der es findet, besonders in einem beruflichen oder betrieblichen Umfeld, verlockend macht.
2. Neugierfaktor: Die menschliche Neugier wird als Schwachstelle ausgenutzt, die dazu führt, dass Personen Maßnahmen ergreifen, die sie normalerweise vermeiden würden.

Wassering#

Wassering ist eine Art von Angriff durch soziale Ingenieurtechnik, bei dem der Angreifer eine bestimmte Gruppe von Menschen ins Visier nimmt, indem er eine Website infiziert, die sie wahrscheinlich besuchen werden. Zum Beispiel könnte der Angreifer eine populäre Nachrichten-Website oder eine beliebte Social-Media-Seite infizieren. Das Ziel des Angriffs ist es, das Opfer dazu zu bringen, die infizierte Website zu besuchen, wodurch Malware auf seinem Computer installiert wird.

Beispiel#

Eine Gruppe von Angreifern hat es sich zum Ziel gesetzt, die Sicherheit eines bestimmten Wirtschaftsverbandes, der eine Gemeinschaft von Cybersicherheitsprofis vertritt, zu kompromittieren. Die Angreifer beabsichtigen, sensible Daten zu stehlen und die Systeme der Cybersicherheitsexperten zu infiltrieren.

Die Angreifer identifizieren eine bekannte und angesehene Website, die von dieser Gemeinschaft genutzt wird. In diesem Fall wählen sie die offizielle Website des Wirtschaftsverbands für Cybersicherheit aus. Die Angreifer identifizieren und nutzen eine Schwachstelle auf der Website des Verbands aus. Sie könnten technische Methoden wie SQL-Injektionen oder Cross-Site-Scripting (XSS) verwenden, um sich unbefugt Zugang zum Inhaltsverwaltungssystem der Seite zu verschaffen. Sobald sie Zugang zur Website haben, injizieren die Angreifer bösartigen Code in die Seiten der Website. Dieser Code ist so konzipiert, dass er Malware an die Besucher der kompromittierten Seiten übermittelt.

Dann warten die Angreifer darauf, dass Cybersicherheitsexperten die Website besuchen. Sie wissen, dass viele Cybersicherheitsexperten regelmäßig die Seite besuchen, um sich über Neuigkeiten und Ressourcen zu informieren.

Während Cybersicherheitsexperten die Website des Wirtschaftsverbands besuchen, um Artikel zu lesen, Webinare zu besuchen oder Ressourcen herunterzuladen, setzen sie unwissentlich ihre Geräte der eingespielten Malware aus. Die Malware könnte sensible Informationen stehlen, wie Anmeldedaten oder persönliche Daten. Sie kann den Angreifern auch eine Ausgangsbasis bieten, um weitere Angriffe zu starten, einschließlich Spear-Phishing oder die Ausnutzung bekannter Schwachstellen in den Systemen der Opfer.

In diesem Wassering-Angriff:

1. Der Wassernapf ist die Website des Wirtschaftsverbands, die ein beliebtes Ziel für Cybersicherheitsexperten ist.
2. Zielgruppe: Die Angreifer zielen auf eine bestimmte Gruppe von Menschen, in diesem Fall Cybersicherheitsexperten.
3. Ausnutzung des Vertrauens: Die Angreifer nutzen das Vertrauen aus, das Cybersicherheitsexperten in die Website des Wirtschaftsverbands haben.
4. Ausnutzung von Schwachstellen: Die Angreifer nutzen Schwachstellen in dem Inhaltverwaltungssystem der Website aus, um bösartigen Code in die Seiten der Website einzufügen.

Wie man sich vor Angriffen durch soziale Ingenieurtechnik schützt#

Um sich vor Angriffen durch soziale Ingenieurtechnik zu schützen, ist eine Kombination aus Bewusstsein, Skepsis und bewährten Verfahren erforderlich. Hier sind einige grundlegende Schritte zum Schutz vor solchen Angriffen:

1. Informiere dich: Lerne die gängigen Taktiken der sozialen Ingenieurtechnik kennen, darunter Phishing, Pretexting, Ködern und Tailgating. Halte dich über die neuesten Techniken und Trends der sozialen Ingenieurtechnik auf dem Laufenden.

2. Überprüfe die Identität: Überprüfe immer die Identität von Personen oder Organisationen, die deine persönlichen oder sensiblen Informationen anfordern. Verlasse dich nicht nur auf Telefonnummern, E-Mails oder Websites, die von der Person, die dich kontaktiert, bereitgestellt werden. Nutze offizielle Kontaktinformationen, die unabhängig von zuverlässigen Quellen bezogen wurden.

3. Hinterfrage Anfragen: Sei skeptisch bei unerwünschten Anfragen nach persönlichen, finanziellen oder vertraulichen Informationen. Seriöse Organisationen fordern solche Informationen normalerweise nicht per E-Mail oder Telefon an. Wenn jemand nach sensiblen Informationen fragt, frage nach, warum diese benötigt werden und wie sie verwendet werden sollen.

4. Vorsicht bei Dringlichkeit und Druck: Soziale Ingenieure erzeugen oft ein Gefühl der Dringlichkeit, um dich dazu zu bringen, schnell Entscheidungen zu treffen, ohne nachzudenken. Nimm dir Zeit, um Anfragen oder Angebote zu prüfen. Überprüfe die Legitimität der Situation.

5. Schütze physischen Zugang: Schütze deinen physischen Arbeitsplatz vor unbefugtem Zugriff. Sperre deinen Computer und deine Geräte, wenn sie nicht in Gebrauch sind. Sei vorsichtig, wenn du Fremden Zugang zu sicheren Bereichen gewährst.

6. Schulung der Mitarbeiter: Wenn du Teil einer Organisation bist, stelle sicher, dass die Mitarbeiter über soziale Ingenieurtechnik-Awareness-Schulungen verfügen. Lehre die Mitarbeiter, verdächtige Aktivitäten zu erkennen und zu melden.

7. Nutze zuverlässige Quellen: Hole dir Informationen von vertrauenswürdigen und verifizierten Quellen. Verlasse dich nicht auf inoffizielle Websites oder nicht verifizierte Nachrichten.

8. Datenverschlüsselung: Verschlüssele sensible Daten, sowohl im Ruhezustand als auch während der Übertragung, um sie vor unbefugtem Zugriff zu schützen.

Sicheres Online-Verhalten praktizieren#

Für Entwickler und Geschäftsinhaber. Wenn du eine Webanwendung entwickelst, solltest du die bewährtesten Verfahren befolgen, um deine Benutzer vor Angriffen durch soziale Ingenieurtechnik zu schützen. Es gibt viele Möglichkeiten, zusätzliche Sicherheit für deine Anwendung zu gewährleisten:

1. Starke Passwörter verwenden. Die meisten Menschen verwenden schwache Passwörter, die leicht anhand ihrer persönlichen Informationen zu erraten sind. Um ein sicheres und vertrauenswürdiges Identitätsmanagementsystem zu implementieren, solltest du starke Passwort-Richtlinien aktivieren. Dies verhindert, dass Benutzer ihre schwachen Passwörter ohne geeignete Sicherheitsmaßnahmen verwenden.
2. Multi-Faktor-Authentifizierung aktivieren. Multi-Faktor-Authentifizierung (MFA) fügt den Benutzerkonten eine zusätzliche Sicherheitsebene hinzu, indem es erfordert, dass nach dem Passwort ein Code von einem Telefon oder einem anderen Gerät eingegeben wird. Dies erschwert den Angreifern den Zugriff auf die Benutzerkonten erheblich. Selbst wenn die Passwörter deiner Kunden kompromittiert wurden, können die Angreifer ohne den zweiten Faktor nicht auf ihre Konten zugreifen.
3. Benutzerdaten verschlüsseln. Die Verschlüsselung der Benutzerdaten ist eine gute Möglichkeit, sie vor unbefugtem Zugriff zu schützen. Wenn ein Angreifer Zugang zu deiner Datenbank erhält, kann er die Daten ohne den Verschlüsselungsschlüssel nicht lesen. Dies verhindert, dass sie die persönlichen Informationen deiner Kunden stehlen.
4. Zugangsschlüssel regelmäßig rotieren. Zugangsschlüssel werden verwendet, um auf die Ressourcen deiner Anwendung zuzugreifen. Wenn ein Angreifer Zugang zu deinen Zugangsschlüsseln erhält, kann er auf die Ressourcen deiner Anwendung ohne deine Erlaubnis zugreifen. Um dies zu verhindern, solltest du die Zugangsschlüssel regelmäßig rotieren.
5. Moderne Authentifizierungssysteme verwenden. Moderne Authentifizierungsprotokolle wie OAuth 2.0 und OpenID Connect sind viel sicherer als ältere Protokolle wie SAML und WS-Federation. Sie verwenden moderne kryptografische Algorithmen und sind viel schwerer anzugreifen.
6. Pre-registrierung der Anmelde-Umleitungs-URLs und Geräte Wenn du OAuth 2.0 oder OpenID Connect für die Authentifizierung verwendest, solltest du die Anmelde-Umleitungs-URLs und Geräte vorregistrieren. Dies verhindert, dass Angreifer die Konten deiner Kunden verwenden, um sich über ihre eigenen Geräte bei deiner Anwendung anzumelden.