Social Engineering und Phishing

Social Engineering und Phishing

Auf diesem Blog-Beitrag werden wir erklären, was eigentlich Social Engineering und Phishing ist, und wie man von solchen Angriffen sich schützen kann.

Social Engineering

Social Engineering kann als einer der Angriffsvektoren betrachtet werden, der direkt von menschlichen Interaktionen abhängt. Dabei wird hauptsächlich psychologische Manipulation eingesetzt, um Benutzer dazu zu bringen, Sicherheitsfehler zu begehen oder sensible Informationen preiszugeben, z. B. um unbefugten Zugang zu Systemen, Netzwerken oder physischen Standorten zu erlangen oder um finanziellen Gewinn zu erzielen.

Social Engineering ist immer Teil eines Betrugs, bei dem die Tatsache ausgenutzt wird, dass sich Täter und Opfer nie im wirklichen Leben begegnen müssen. Das Hauptziel besteht in der Regel darin, wichtige Zugangsdaten des Opfers zu erhalten oder sein System zu beeinflussen, um es zu nutzen. Hier sind einige Beispiele:

  • Beschaffung von Benutzernamen und Passwörtern.
  • Installieren Sie Malware auf ihrem Gerät.
  • Senden Sie Geld per elektronischer Überweisung, Zahlungsanweisung oder Geschenkkarte.
  • Autorisieren Sie ein bösartiges Software-Plugin, eine Erweiterung oder eine Drittanbieter-App.
  • als Geldkurier für die Wäsche und den Transfer illegaler Gelder zu fungieren.

Phishing

Phishing ist eine der bekanntesten Formen des Social Engineering. Die Idee besteht darin, eine sehr realistische E-Mail zu versenden, um die Opfer dazu zu verleiten, auf einen Link zu klicken und dann Passwörter oder andere Anmeldeinformationen auf einer gefälschten Website einzugeben, damit die Angreifer diese Informationen sammeln können.

Neben Massen-Phishing-E-Mails ist auch eine gezieltere Form, das so genannte Spear-Phishing, im Umlauf. In diesen Fällen werden die E-Mails auf eine kleine Gruppe von Personen oder Mitarbeitern zugeschnitten, bevor sie verschickt werden.

Was ist Phishing?

Phishing ist eine der beliebtesten Arten von Social-Engineering-Angriffen, die immer dazu verwendet werden, wichtige Daten von Benutzern zu stehlen, darunter Anmeldedaten und Kreditkartennummern. Dabei gibt sich ein Angreifer als vertrauenswürdige Instanz aus und bringt das Opfer dazu, eine E-Mail, Sofortnachricht oder Textnachricht zu öffnen. Der Empfänger wird dann dazu verleitet, auf einen bösartigen Link zu klicken. Dies kann zur Installation von Malware, zum Einfrieren des Systems als Teil eines Ransomware-Angriffs oder zur Offenlegung vertraulicher Informationen führen.

Betrüger versuchen häufig, Sie per E-Mail dazu zu bringen, ihnen Ihre persönlichen Daten zu geben. Sie versuchen möglicherweise, Ihre Kennwörter, Kontonummern oder Sozialversicherungsnummern zu stehlen. Wenn sie diese Informationen erhalten, können sie sich Zugang zu Ihren E-Mail-, Bank- oder anderen Konten verschaffen.

Phishing-E-Mails können so aussehen, als kämen sie von einem bekannten Unternehmen, das Sie kennen oder dem Sie vertrauen. Sie können aber auch so aussehen, als kämen sie von einer angesehenen Bank, einem sozialen Netzwerk, einer Online-Zahlungswebsite oder einem Online-Shop.

Phishing emails often tell a realistic story to trick you into clicking on a link or opening an attachment. Diese E-Mails,

  • könnten besagen, dass sie verdächtige Aktivitäten oder Anmeldeversuche bemerkt haben.
  • könnten behaupten, dass es ein Problem mit Ihrem Konto oder Ihren Zahlungsinformationen gibt.
  • könnten sagen, dass Sie einige persönliche Informationen bestätigen müssen.
  • könnte eine gefälschte Rechnung enthalten.
  • könnte einen Coupon für Gratisartikel anbieten.

Wie kann man Social Engineering und Phishing Angriffe verhindern?

“Wussten Sie, dass die Mehrheit der erfolgreichen Social-Engineering-Angriffe, meist durch Phishing, auf menschliches Versagen zurückzuführen ist?”

Social-Engineering-Angriffe, einschließlich Ransomware, Kompromittierung von Geschäfts-E-Mails und Phishing, sind Probleme, die nie gelöst werden können, sondern nur durch kontinuierliche Schulungen zum Sicherheitsbewusstsein in den Griff zu bekommen sind. Außerdem sind Phishing-E-Mails heutzutage immer schwieriger zu erkennen, und einige können selbst von den aufmerksamsten Nutzern übersehen werden. Unabhängig davon, wie groß oder klein Ihr Unternehmen ist, werden auch Sie irgendwann von Phishing-Angriffen betroffen sein.

Sie können diese grundlegenden Schritte selbst befolgen, um sie zu vermeiden,

  1. Geben Sie niemals Ihre persönlichen Daten als Antwort auf eine unsichere Anfrage an, weder am Telefon noch im Internet.
  2. Wenn Sie glauben, dass der Kontakt legitim sein könnte, sollten Sie sich auch selbst an das Finanzinstitut wenden.
  3. Geben Sie niemals Ihre privaten Daten wie Benutzername, E-Mail oder Passwort an.
  4. Überprüfen Sie regelmäßig Ihre Kontoauszüge, um sicherzustellen, dass alle Abbuchungen korrekt sind.

To-Do Liste (Maßnahmen) gegen Social Engineering & Phishing:

Als Unternehmen gibt es jedoch einen wichtigeren Weg, um Ihre Sicherheit in Bezug auf Social Engineering zu gewährleisten. Hier ist eine grundlegende To-Do-Liste:

  1. Beginnen Sie mit einem grundlegenden Phishing-Sicherheitstest, um den grundlegenden Phish-prone™-Prozentsatz Ihres Unternehmens zu ermitteln.
  2. Durchlaufen Sie mit den Benutzern ein interaktives Sicherheitstraining der neuen Schule.
  3. Lassen Sie häufig simulierte Social-Engineering-Tests durchführen, damit die Benutzer stets auf der Hut sind und die Sicherheit im Vordergrund steht.

Schließlich sollte jedes Unternehmen umfassende Schulungen zur Cybersicherheit für seine Mitarbeiter durchführen und darauf achten. Neben Phishing sind Ransomware-Angriffe eine weit verbreitete Vorgehensweise von Hackern. Jeder Mitarbeiter muss mit Ransomware und Phishing vertraut sein und wissen, welche Rolle er bei der Identifizierung, Erkennung, Verhinderung und Behebung dieser Art von Cyberangriffen spielt.

Pro-Tipp: Lassen Sie Ihr Unternehmen von Experten überprüfen. Social-Engineering-Tests können Teil eines Pentest-Pakets sein, aber auch separat durchgeführt werden. In beiden Fällen simulieren die Experten einen Social-Engineering-Angriff. Wenn Sie erfahren möchten, wie wir Ihnen helfen können, besuchen Sie unsere Seite Penetration Testing Services oder lesen Sie unseren Blog-Beitrag: Pentest-Verfahren.

Zusammenfassung: Social Engineering und Phishing

Social-Engineering-Penetrationstests können für ein Unternehmen eine gute Möglichkeit sein, seine Sicherheitslage an der schwächsten Stelle der technischen Bereiche des Unternehmens zu testen. Diese Pentests können entweder von einem internen Prüfungsteam oder einem externen Unternehmen durchgeführt werden, das auf Penetrationstests spezialisiert ist.

Beide haben ihre Vor- und Nachteile. So sparen interne Teams zwar Geld, liefern aber keine unvoreingenommene Meinung, während externe Unternehmen eine unvoreingenommene Meinung liefern.

Leider gibt es keine narrensichere Methode zur Verhinderung von Phishing-Angriffen, aber alle in diesem Artikel genannten Tipps können eine wichtige Rolle bei der Verbesserung Ihres Schutzes vor diesen Angriffsvarianten spielen. Sie können sich selbst darin schulen, Phishing-Angriffe zu erkennen und zu verhindern, und können darüber hinaus Sicherheitsmittel wie phishing-resistente Multi-Faktor-Authentifizierung und Firewalls einsetzen. Alles in allem ist die Schulung Ihrer Mitarbeiter, Freunde und Familienmitglieder zur allgemeinen Sensibilisierung für Phishing die billigste, bequemste und praktikabelste Art, mit Social-Engineering-Angriffsvektoren umzugehen.