Die Online-Welt ist für viele von uns Bestandteil des täglichen Lebens. Wie sonst im Alltag, lauern auch hier Bedrohungen und Gefahren. In unserer neuen Serie erfahren Sie, wie Sie sich vor Angriffen schützen und was Sie unternehmen können, sollten Sie selbst davon betroffen sein.
Durchschnittliche Lesezeit: ca. 2 Minuten
SOCIAL ENGINEERING
Der Virenschutz, die Firewall und die Verschlüsselung versprechen ein Höchstmass an Sicherheit vor Cyberattacken. Das schwächste Glied in der Kette ist jedoch immer der Mensch. Hier setzt Social Engineering an, das laut ehemaligem Hacker Kevin Mitnick «[…]die bei weitem effektivste Methode, um an ein Passwort zu gelangen» ist.
Ein Angriff über Social Engineering läuft in der Regel wie folgt ab: Der Hacker recherchiert online in sozialen Netzwerken über mögliche Punkte, die ihm bei seinem Angriff hilfreich sein können. Dies können Informationen über Unternehmenskultur und persönliche Vorlieben seiner Opfer, über Hobbys, den Familienstand oder über Verwandte und Bekannte sein.
FRECHHEIT UND GESPIELTES UNWISSEN SIEGEN
Gerüstet mit diesem Wissen können Angreifer dann Gaunereien wie beispielsweise folgende umsetzen. «Herr Meier hat mir das Projekt übertragen, das ich bis morgen erledigen soll. Ich bin neu hier und benötige dazu noch die Zugangsdaten.» Das Schema ist immer ähnlich. Eine Anfrage kommt von einem Absender, der sich durch sein Wissen als dazugehörig auszeichnet. Der Hacker kann sich auch als ein Freund ausgeben, dessen E-Mail-Konto er bereits gehackt hat. Die Sprache und auch Rechtschreibung imitiert er dabei perfekt. Oft ist die Anfrage mit einer knappen Frist versehen, die aufwändiges Nachfragen bei Vorgesetzten unmöglich macht und nach einer unbürokratischen Lösung verlangt. Der Hacker nutzt sein gewonnenes Vertrauen und die Hilfsbereitschaft seiner Opfer schamlos aus. Diese Methode hat Erfolg. Mit den durch Social Engineering gewonnenen Informationen tätigen Kriminelle erfolgreich Überweisungen, gehen auf Shoppingtour oder verkaufen auf Handelsplattformen Diebesgut.
DAS EXPERIMENT ROBIN SAGE
Zwei Sicherheitsspezialisten aus New York wollten herausfinden wie weit eine erdachte Person tatsächlich gehen kann. Zu diesem Zweck kreierten sie das fiktive Profil der 25-jährigen Expertin für Cybersicherheit Robin Sage. Trotz widersprüchlichem Lebenslauf gelang es den beiden mit dieser Kunstperson nahezu 300 Personen von US-Armee und Geheimdienst zu kontaktieren. Das Ergebnis dieses Experiments: Zugang zu E-Mail- und Bankkonten, Informationen über geheime Standorte und Hierarchien, Einladungen und persönliche Dokumente.
DIE PERSONA MIA ASH
Der Name liest sich wie aus einem Spionage-Thriller, und darum ging es bei Mia Ash auch. Bei dieser Kunstperson erlaubten sich die Hacker, die Verbindungen zum Iran aufweisen, keine Fehler. Mia Ash verfügte über 500 Freunde auf Facebook und ebenso viele auf LinkedIn – die Informationen und Fotos für diese Konten: gestohlen vom Profil einer anderen Frau. Über Jahre hinweg gelang es den Hackern hinter Mia Ash mit den Freunden ihrer Persona über die Sozialen Netzwerke ein so grosses Vertrauen aufzubauen, dass diese Dateien auf ihre Arbeitsplatzcomputer herunterluden und sie prompt mit Spyware infizierten.
WEGE AUS DER GUTGLÄUBIGKEIT
Ein gesundes Misstrauen ist der beste Schutz, um nicht auf Social-Engineering-Angriffe hereinzufallen. Widersprüchliche Angaben im Lebenslauf bei Robin Sage, oder im Fall Mia Ash persönliche Daten, die wegen der besseren Netzwerkanbindung im Unternehmen geöffnet werden sollten – bei der kleinsten Unstimmigkeit sollten sämtliche Alarmglocken läuten! In prekären Situationen bei Zeitdruck – lieber einmal zu viel bei Vorgesetzten nachfragen. Seien Sie sich der Informationen bewusst, die Sie über sich online verbreiten.
Ist das Malheur passiert, empfiehlt sich die Flucht nach vorn. Passwörter ersetzen, gehackte Konten so schnell wie möglich sperren lassen und nach auffälligen Aktivitäten Ausschau halten. Wer zuvor Sicherheitskopien angelegt hat, wird spätestens jetzt froh sein, dass er auf sie zurückgreifen kann.
Netzwerk & IT-Sicherheit
Smart-IT – Antivirus, Firewall, moderne Netzwerkkomponenten und sichere WLAN-Lösungen