Zur Navigation zu den Quicklinks Zur Suche Zum Inhalt

Social Engineering – Wie gehen Cyberkriminelle vor? (Teil 1)

Risiko von Social Engineering

 
Immer wieder ist in Medienberichten über Cyberangriffe auf KMU zu lesen. So hat es beispielsweise im Mai 2020 den Zughersteller Stadler-Rail getroffen. Er wurde Opfer eines sogenannten Verschlüsselungstrojaners. Es wurden gezielt sowohl unternehmenswichtige Systeme und Datenbestände verschlüsselt als auch Unternehmensdaten gestohlen und anschliessend im Darknet angeboten.

Dieser Beitrag wurde von Philipp Zihler für secnovum verfasst.

00_Secnovum-Social-Engineering

Vorgehensweise der Cyberkriminellen

Die aktuelle Vorgehensweise der Cyberkriminellen besteht aus mehreren Schritten.

  1. In einer ersten Phase werden die Unternehmen mittels zugestellten, manipulierten E-Mails kontaktiert.

  2. Hierbei sollen die Empfänger der E-Mails dazu gebracht werden, einem Link innerhalb der E-Mail zu folgen oder einen Dateianhang zu öffnen.

  3. Sobald dies geschehen ist, werden von den Cyberkriminellen die Zugänge ins Netzwerk etabliert.

  4. Solche aktiven Zugänge in kompromittierte Firmennetze werden dann in den Foren des Darknets weiterverkauft.

  5. In einem nächsten Schritt kaufen sich andere Gruppierungen von Cyberkriminellen solche Zugänge und sammeln sich die Informationen aus den kompromittierten Firmennetzen.

  6. Mit den gewonnenen Informationen bereiten sie dann den Angriff vor, welcher den operativen Betrieb des ganzen Unternehmens lahmlegen soll.

Es werden also gezielt diejenigen Systeme verschlüsselt, welche für ein KMU unabdingbar sind.

 

Mit dieser Vorgehensweise ist es möglich, hohe Geldforderungen zu stellen und Unternehmen dazu zu bringen, diesen Forderungen nachzukommen. Es stellt sich also die Frage, wie solche Angriffe zum Kompromittieren eines Netzwerks immer wieder erfolgreich verlaufen können. Die einfache Antwort dazu ist: Social Engineering.

 

Social Engineering als Ausgangslage für Cyberkriminalität

Mittels gezielter Manipulation werden die Opfer dazu bewogen, beispielsweise eine E-Mail mit verseuchtem Inhalt zu öffnen und sich somit einen Schadcode auf dem Computer einzufangen.
Heutige Social Engineering Angriffe sind so ausgeklügelt, dass sie selbst von einem Sicherheitsexperten nur schwer als solche zu erkennen sind. Damit ein Angreifer einen erfolgreichen Angriff durchführen kann, bedient er sich psychologischer Tricks, ähnlich wie sie ein Haustürverkäufer bei seinem Klientel anwendet. Genau die gleichen Ansätze finden nämlich auch in der Verkaufspsychologie Verwendung.

Social Engineering nutzt Techniken der Verkaufspsychologie

Unter anderem sind bei der Verkaufspsychologie die folgenden Techniken bekannt:
  • Schockieren und Steuern
  • Das Geben und Nehmen Prinzip
  • Prinzip der sozialen Bewährtheit
  • Ausnutzen der Sympathie oder Autorität
  • Erfolgsrezept der Knappheit
  • Ausnutzen von konsistenten Verhaltensweisen
In einem nächsten Beitrag werden wir die eingesetzten Techniken genauer erläutern und dazu konkrete Beispiele aufzeigen.
 

Wie kann ein KMU Social Engineering Angriffe verhindern?

Als KMU empfiehlt es sich, die Nutzer in regelmässigen Abständen über aktuelle Angriffe aufzuklären, zum Beispiel mittels Schulungen bei Personalinformationen.
 
Den Nutzern sollten die folgenden Verhaltensregeln mitgeteilt werden:
  1. Trau, schau, wem!: Verhalten Sie sich stets wachsam, wenn Sie kontaktiert werden, sei es per E-Mail, über WhatsApp, per SMS oder per Telefon.
  2. Erst denken, dann klicken: Überlegen Sie sich immer, ob eine Anfrage plausibel ist. Öffnen Sie Links oder Anhänge bei E-Mails nur, wenn die Anfragen von einer vertrauenswürdigen Quelle stammen und sich der Inhalt mit dem erwarteten geschäftlichen Kontext deckt.
  3. Meldung bei Verdacht: Melden Sie verdächtige Nachrichten wie beispielsweise Phishing Mails einer internen Stelle, damit andere Empfänger bei Bedarf frühzeitig gewarnt werden können.
  4. Verifikation / Rückruf: Kontaktieren Sie im Zweifelsfall den Absender über einen unabhängigen Kanal, beispielsweise per Telefon, wobei Sie die Informationen aus ihrem eigenen Telefonverzeichnis entnehmen.
  5. Kühlen Kopf bewahren: Lassen Sie sich bei einer Anfrage niemals unter Druck setzen.

Das Vier-Augen-Prinzip nutzen!

Zudem muss ein KMU dafür sorgen, dass Handlungen, welche für das Unternehmen einen grossen Schaden zur Folge haben können über ein Vier-Augen-Prinzip geschützt werden.
 
Überlegen Sie sich beispielsweise als Inhaber eines KMUs:

Wird für das Erfassen oder für das Ändern von Zahlungsaufträgen stets ein Vier-Augen-Prinzip vorausgesetzt?

  • Über welche Personen und über welche sicheren Mechanismen können neue Zahlungen erfasst werden?
  • Wie ist der Prozess zum Ändern der Kreditoren-Daten (insbesondere bei Kreditoren mit grosser Tragweite) ausgelegt?
  • Werden bei einem Zahlungslauf die grössten Zahlungspositionen nochmal von einer unabhängigen Stelle geprüft und freigegeben?
 
Sollten Sie zum vorliegenden Bericht Fragen haben, oder wünschen Sie ergänzende Informationen, so können Sie uns gerne kontaktieren.