Die Online-Welt ist für viele von uns Bestandteil des täglichen Lebens. Wie sonst im Alltag, lauern auch hier Bedrohungen und Gefahren. In unserer neuen Serie erfährst du, wie du dich vor Angriffen schützen und was du unternehmen kannst, solltest du selbst davon betroffen sein.
Durchschnittliche Lesezeit: ca. 2 Minuten
Social Engineering
Virenschutz, Firewall, Backup und Verschlüsselung versprechen ein Höchstmass an Sicherheit vor Cyberattacken. Das schwächste Glied in der Kette ist jedoch immer der Mensch. Hier setzt Social Engineering an, das laut ehemaligem Hacker Kevin Mitnick «[…]die bei weitem effektivste Methode, um an ein Passwort zu gelangen» ist.
Ein Angriff über Social Engineering läuft in der Regel wie folgt ab: Cyberkriminelle recherchieren online in sozialen Netzwerken über mögliche Punkte, die bei einem Angriff hilfreich sein können. Dies können Informationen über Unternehmenskultur und persönliche Vorlieben der Opfer, über Hobbys, den Familienstand, Verwandte und Bekannte oder Haustiere sein.
Frechheit und gespieltes Unwissen siegen
Gerüstet mit diesem Wissen können Angreifende dann Gaunereien wie beispielsweise folgende umsetzen. «Herr Meier hat mir das Projekt übertragen, das ich bis morgen erledigen soll. Ich bin neu hier und benötige dazu noch die Zugangsdaten.» Das Schema ist immer ähnlich. Eine Anfrage kommt von einem Absender, der sich durch sein Wissen als dazugehörig auszeichnet. Der Hacker kann sich auch als Freund oder Freundin ausgeben, dessen oder deren E-Mail-Konto er bereits gehackt hat. Die Sprache und auch Rechtschreibung imitiert er dabei perfekt. Oft ist die Anfrage mit einer knappen Frist versehen, die aufwändiges Nachfragen bei Vorgesetzten unmöglich macht und nach einer unbürokratischen Lösung verlangt. Cyberkrminelle nutzen ihr gewonnenes Vertrauen und die Hilfsbereitschaft ihrer Opfer schamlos aus. Diese Methode hat Erfolg. Mit den durch Social Engineering gewonnenen Informationen tätigen Kriminelle erfolgreich Überweisungen, gehen auf Shoppingtour oder verkaufen auf Handelsplattformen Diebesgut.
Das Experiment Robin Sage
Zwei Sicherheitsspezialisten aus New York wollten herausfinden wie weit eine erdachte Person tatsächlich gehen kann. Zu diesem Zweck kreierten sie das fiktive Profil der 25-jährigen Expertin für Cybersicherheit Robin Sage. Trotz widersprüchlichem Lebenslauf gelang es den beiden mit dieser Kunstperson nahezu 300 Personen von US-Armee und Geheimdienst zu kontaktieren. Das Ergebnis dieses Experiments: Zugang zu E-Mail- und Bankkonten, Informationen über geheime Standorte und Hierarchien, Einladungen und persönliche Dokumente.
Die Persona Mia Ash
Der Name liest sich wie aus einem Spionage-Thriller, und darum ging es bei Mia Ash auch. Bei dieser Kunstperson erlaubten sich die Hacker, die Verbindungen zum Iran aufweisen, keine Fehler. Mia Ash verfügte über 500 Freunde auf Facebook und ebenso viele auf LinkedIn – die Informationen und Fotos für diese Konten: gestohlen vom Profil einer anderen Frau. Über Jahre hinweg gelang es den Hackern hinter Mia Ash mit den Freunden ihrer Persona über die Sozialen Netzwerke ein so grosses Vertrauen aufzubauen, dass diese Dateien auf ihre Arbeitsplatzcomputer herunterluden und sie prompt mit Spyware infizierten.
Die Verwendung der Persona Mia Ash zeigt die Kreativität und Beharrlichkeit, die Kriminelle an den Tag legen, um ans Ziel zu gelangen. Und Mia Ash ist nur eine von vielen Personas, von der Bedrohungen ausgehen.
Wege aus der Gutgläubigkeit
Ein gesundes Misstrauen ist deine beste Verteidigung gegen Social-Engineering-Angriffe. Wenn du wie bei Robin Sage widersprüchliche Angaben im Lebenslauf bemerkst oder im Fall von Mia Ash Dateien im Unternehmen öffnen sollst, weil dort angeblich die Netzwerkanbindung besser ist, sollten sämtliche Alarmglocken läuten. In Situationen, in denen Zeitdruck herrscht, ist es besser, einmal zu oft bei deinen Vorgesetzten nachzufragen. Sei dir stets bewusst, welche Informationen du online über dich verbreitest.
Organisationen sollten ihren Mitarbeitenden klare Richtlinien für die Nutzung von sozialen Medien geben und sie anweisen, potenziell betrügerische Nachrichten über Unternehmens-E-Mail, private E-Mail und soziale Medienplattformen zu melden. Diese Richtlinien sollten auch Empfehlungen für das Melden von Anfragen durch unbekannte Dritte bezüglich des Arbeitgebers, der Geschäftssysteme oder des Firmennetzwerks enthalten, ebenso sollten sie Anfragen zur Durchführung von Aktionen wie dem Öffnen von Dokumenten oder dem Besuchen von Websites abdecken.
Ist das Malheur passiert, empfiehlt sich die Flucht nach vorn. Passwörter ersetzen, gehackte Konten so schnell wie möglich sperren lassen und nach auffälligen Aktivitäten Ausschau halten. Wer zuvor Sicherheitskopien angelegt hat, wird spätestens jetzt froh sein, dass er auf sie zurückgreifen kann.
