Social Engineering (SE) zählt laut Bitcom [1] zu den größten zukünftigen Bedrohungen der Informationssicherheit. In den meisten Fällen ist es der Türöffner für weitere Hackerangriffe. Laut Kevin Mitnick [5], einem ehemaligen US-amerikanischen Hacker, ist Social Engineering eine der effektivsten Methoden, um an ein Passwort zu gelangen. Und es funktioniert sogar weitaus schneller als mit rein technischen Ansätzen.
Als Social Engineering bezeichnet man das Manipulieren von zwischenmenschlichen Beziehungen. Auf diese Weise sollen bestimmte Verhaltensweisen erzeugt werden, so z. B. die Herausgabe von vertrauten Informationen oder die Freigabe von Finanzmitteln. Ein guter Social Engineer ist aus psychologischer Sicht ein herausragender Beobachter menschlichen Verhaltens und von Natur aus begabt, Menschen zu lesen. Er ist sehr gut in der nonverbalen Kommunikation und erkennt schnell, was andere Menschen denken und fühlen. Ist erst einmal Vertrauen aufgebaut, wird dieser Vertrauensvorschuss ausgenutzt. Bevor ein Social Engineer allerdings eine Person anspricht, hat er bereits den Werdegang, die Bedürfnisse und die Interessen seines zukünftigen Opfers anhand von Jobportalen oder Social Media studiert.
Phishing ist nach wie vor eines der wichtigsten Werkzeuge des Social Engineers. Seit der Pandemie haben viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt. Sie vertrauen auf Tools wie Microsoft Teams, Zoom oder Slack. Für Angreifer bieten die neuen Kollaborationstools perfekte Möglichkeiten, um in die Systeme von Unternehmen einzubrechen. Viele Mitarbeiter sind noch nicht vertraut mit den neuen Kommunikationskanälen, der persönliche Austausch unter den Kollegen ist seit der Pandemie stark zurückgegangen. So werden weniger schädliche E-Mails erkannt: Phishing ist auf dem Vormarsch.
Zusätzlich bauen Social Engineers auf die zahlreichen Möglichkeiten der künstlichen Intelligenz [8]. Algorithmen sind mittlerweile in der Lage, ein Bild, ein Video oder eine Stimme so zu verändern, dass sie eine bestimmte Person nachahmen können. Sogenannte „Deep Fakes“ sind ein mächtiges Werkzeug. Mithilfe eines trainierten KI-Modells werden beispielsweise Stimmen von CEOs nachgeahmt – eine beliebte Falle, in die bereits einige Mitarbeiter getappt sind.
Einen besonders hohen Anstieg verzeichnet momentan das Lovescamming – eine Form des Internetbetrugs, bei der gefälschte Profile auf sozialen Plattformen oder Singlebörsen benutzt werden, um Opfern Verliebtheit vorzugaukeln und damit eine finanzielle Zuwendung zu ergaunern [9].
Im Jahr 2019 wurden mehrere Frauen über die Dating-App "Tinder" Opfer einer vorgetäuschten Liebesbeziehung. Dies ging so weit, dass sie Unmengen an Geld an den Betrüger überwiesen. Ein klarer Fall von Social Engineering, oder besser gesagt von Authorized Push Payment (APP). Eine Masche, die einen Kontobesitzer dazu bewegt, eine Überweisung von sich aus zu autorisieren. Da Banken nur dazu verpflichtet sind, fremde autorisierte Zahlungsvorgänge zurückzuerstatten, haftet im Falle eines Social-Engineering-Angriffs der Kunde meist selbst.
Hinter dem Tinder-Schwindler steckte in Wirklichkeit der israelische Hochstapler namens Simon Leviev, [7] geboren als Shimon Yehuda Hayut. Er änderte seinen offiziellen Namen von Shimon Hayut in Simon Leviev, um vorzugeben, er sei mit Lev Avnerovich Leviev, einem israelischen Geschäftsmann, Diamantenhändler und Milliardär, verwandt.
Hayut besaß schon mit Anfang 20 mehrere gefälschte israelische Pässe, Führerscheine, Fluggenehmigungen und American-Express-Kreditkarten. Damit reiste er quer durch Europa, gab sich als verschiedene Personen aus und beutete so auch schon mehrere Frauen in Deutschland aus.
Leviev nutzte unter anderem die Dating-App Tinder, was ihm den Namen „Tinder-Schwindler“ einbrachte. Er gaukelte einen reichen und extravaganten Lebensstil vor und manipulierte Frauen so weit, dass sie ihm hohe Geldsummen überwiesen.
Seit 2016 wird versucht, den Betrug im Zahlungsverkehr zu verhindern und bessere Mechanismen zur Entschädigung der Opfer von APP-Betrug zu entwickeln. Dazu gehört die Einführung des freiwilligen "Contingent Reimbursement Models (CRM)" [3], einer Initiative der britischen Zahlungsverkehrsbranche. 2019 in Kraft getreten, soll diese Initiative Opfer von APP-Betrug entschädigen. Die unterzeichnenden Zahlungsdienstleister übernehmen dies freiwillig. Allerdings werden immer noch nicht alle Opfer von APP-Betrügen entschädigt. Viele erleiden Verluste, ohne eine Entschädigung zu erhalten.
Es ist nicht leicht, sich gegen einen Social Engineer zu verteidigen [6]. Wie gesagt, nutzt ein Social Engineer positive Eigenschaften wie Hilfsbereitschaft, Gutgläubigkeit, Neugier oder allgemein menschliche Emotionen aus. Er führt Notsituationen herbei, in denen wir Menschen ohne weiteres Nachfragen helfen. Am besten bekämpft man SE, in dem man die Identität und Berechtigung einer Person sicherstellt, bevor man weitere Handlungen unternimmt. Im Unternehmen können bestimmte Verhaltensweisen von Mitarbeitern trainiert werden, um im Ernstfall richtig zu reagieren. syracom bietet einen Werkzeugkasten mit wertvollen Instrumenten, um Kunden vor SE zu schützen.
Wer die Methoden eines Social Engineers kennt, ist diesem nicht schutzlos ausgeliefert. Das oberste Ziel dabei: Awareness, also Bewusstsein, bei den Beteiligten zu schaffen.
syracom etabliert hierzu hohe Sicherheitsstandards für Kunden. Mit verschiedenen IT Security-Lösungen werden Bedrohungen aus dem Cyberbereich erfolgreich abgewehrt. Dabei schafft eine lokal durchgeführte Sicherheitskulturanalyse kombiniert mit gezielten Awareness-Maßnahmen Sicherheit.
Und so könnte dies in der Praxis aussehen: Mit einer einleitenden Phishing-Kampagne wird die Klickrate einzelner Abteilungen im Unternehmen analysiert. Mitarbeiter bekommen ein erstes Gefühl, wie eine Phishing-E-Mail aussieht, und sammeln wichtige Erfahrungen. Beim anschließenden IT-Sicherheitscheck wird jetzt die Ausgangssituation des Unternehmens ermittelt. Daraus werden weitere Handlungsempfehlungen abgeleitet. Meist findet parallel dazu eine fortgeschrittene Phishing-Kampagne statt. Die gewonnenen Erkenntnisse stehen dem Unternehmen anschließend in Form eines Berichtes zur Verfügung. Weitere Maßnahmen wie Schulungen vor Ort oder digital, E-Learning-Einheiten aus dem syracom-Leistungsportfolio können ergänzt werden.
Mit dem passenden Ansatz erkennen Unternehmen Angriffe rechtzeitig und können entsprechend handeln. syracom unterstützt Unternehmen beim Aufbau und der Weiterentwicklung einer einheitlichen, nachhaltigen Sicherheitsstrategie – und dies auf allen Ebenen des Unternehmens. Jeder Kunde erhält dabei sein individuell auf ihn abgestimmtes Awareness-Paket.
Dieser Blogbeitrag wurde von Matthias Kunz in Zusammenarbeit mit Philipp Merchel erstellt. Philipp Merchel ist Teil des IT-Security-Teams bei syracom und interessiert sich besonders für die Themen Cybersecurity und Cyber Resilience.
Matthias Kunz absolvierte eine Bankausbildung und studierte an der Technischen Universität Darmstadt Wirtschaftsinformatik auf Diplom. Nach 15 Jahren Arbeitserfahrung in der Bankenbranche wechselte Matthias Kunz zu syracom in die Beratung, wo er als Banken- und Digitalisierungsexperte und nicht zuletzt auch als Blockchain-Experte das Unternehmen und die Projekte unserer Kunden aktiv mitgestaltet.
Werden Sie heute noch aktiv und sprechen Sie uns an it-security(at)syracom.de.
Quellen:
[1] Bitkom. Wirtschaftsschutz 2021: Ransomeware & 0-Day Schwachstellen als zukünftige Bedrohungen. Wirtschaftsschutz 2021 (bitkom.org). [last visited 8.9.2022]
[2] Statista. Singapore: number of internet love scams 2021. love scamming statista singapur – Google Suche. [last visited 8.9.2022]
[3] gov.uk. Goverment approach to authorized push payment scam reimbursement. Government approach to authorised push payment scam reimbursement - GOV.UK (www.gov.uk). [last visited 8.9.22]
[4] Wikipedia. Social Engineering (Sicherheit): USB Drop. Social Engineering (Sicherheit) – Wikipedia. [last visited 12.9.2022]
[5] Wikipedia. Social Engineering (Sicherheit): Bekannte Social Engineers. Social Engineering (Sicherheit) – Wikipedia. [last visited 12.9.2022]
[6] Wikipedia. Social Engineering (Sicherheit): Abwehr. Social Engineering (Sicherheit) – Wikipedia. [last visited 12.9.2022]
[7] Wikipedia. Simon Leviev: Vorgehen. Simon Leviev – Wikipedia. [last visited 14.09.22]
[8] Security-insider.de. Profis rüsten weiter hoch – Social-Engineering-Trends 2021. Profis rüsten weiter hoch – Social-Engineering-Trends 2021 (security-insider.de). [last visited 30.9.22]
[9] Wikipedia. Romance Scam. Romance Scam – Wikipedia. [last visited 30.9.22]
[10] Statista. Number of cases of… from 2013 to 2012. Singapore: number of internet love scams 2021 | Statista. [last visited 30.9.22]
Dieser Blogpost wurde bisher 3167 mal aufgrufen.
Blogpost teilen
Aktuelle Themen frisch aus dem Kopf. Wir freuen uns diese mit Ihnen zu teilen und zu diskutieren.