Folgender Blogbeitrag über Social Engineering wurde von Susanna Waser im Rahmen eines Leistungsnachweises des CAS Cyber Risk & Security verfasst und enthält subjektive Färbungen. Bewertet wurde der Beitrag von Studiengangsleiter Ralph Hutter und redigiert von der Redaktion des Institut for Digital Business.

Social Engineering in einer Gleichung

Der Dozent der Vorlesung ‘Social Engineering’ Ivano Somaini hat es geschafft, mir in einer Gleichung kurz und bündig Social Engineering zu erklären: Vorwand + Stress = Gefahr/Schaden

Social Engineering Gleichung

Social Engineering Gleichung (Quelle: Gleichung Ivano Somaini, Bilddokumentation Susanna Waser)

Der Mensch interagiert mit “dem Bösen”

So sehr die Wahrheit schmerzen mag, das schwächste Glied in der Security ist der Mensch und sein Verhalten. Menschen sind durch die Informationsflut abgelenkt und stehen durch eng gesteckte Termine unter Druck, sind leichtgläubig oder können mit den neuen digitalen Mitteln nicht Schritt halten. Folglich bedienen sich Angreifer dieser eigens produzierten Schwachstellen unter Verwendung glaubhafter Ausreden oder Vorwände. Mit der Social Engineering Aktion erhoffen sich die Angreifer einen finanziellen oder emotionalen Gewinn.

Nachfolgendes Video macht ersichtlich, wie einfach es sein kann als fremde Person an sensitive Daten zu kommen oder gar bestehende Passwörter zu ändern:

Beispiele von möglichen Social Engineering Fällen

Bei allen nachfolgend aufgeführten Fällen wird unter anderem die Neugier, Leichtgläubigkeit und Hilfsbereitschaft von Menschen ausgenutzt. Ferner bedienen sich die Angreifer Vorwänden mit zum Zeitpunkt des Angriffs aktuellen Geschehnissen, wie beispielsweise Pandemie oder Sportanlässen, was die Anfrage noch glaubwürdiger aussehen lässt.

  • Angriff mittels E-Mail, SMS, Social Media, Anruf, WLAN:
    • Kompromittieren des Gerätes (Malware), u.a. für Datenklau, Aktivitäts-Überwachung (PW Eingabe), Kamera und Mikrophon Steuerung
    • Den Nutzer dazu bringen sensitive Daten preiszugeben (Konto-Nr., E-Mail Adressen, Passwörter)
    • Frei zugängliche WLAN ohne Identifikation. Hacker erhalten Zugriff auf ungesicherte Geräte im gleichen Netzwerk
Spam Mail - Social Engineering

Spam Email (Quelle: Susanna Waser eigene Email)

Social Engineering passiert nicht nur digital und online, sondern auch physisch. Mit der Unterstützung von Menschen verschaffen sich Betrüger Zutritt zu Gebäuden oder Zugriff auf sensitive Daten. Somit ist es egal ob der Angriff online oder offline stattfindet, Menschen verhelfen den Angreifern zu deren Erfolg.

  • Gebäudezutritt durch Vortäuschen von notwendigen Service-Arbeiten, spezieller Anlass (Samichlaus) und Ausnutzen der Hilfsbereitschaft des Personals:
    • Einsammeln von Dokumenten, USB Sticks etc.
    • Verteilen von USB Sticks mit aufgespielter Malware
  • Falsche Polizei oder Service Techniker TV/Internet Provider, Enkeltrick (trifft eher Personen älterer Generation)
    • Schmuck/Geld/Wertsachen

Informationen sind das Gold für einen erfolgreichen Social Engineering Angriff

Die Suche nach Informationen zum Opfer des Angriffs ist die wichtigste Aufgabe für die Vorbereitung eines Angriffs. Je mehr Angaben zur Person oder dem Unternehmen bekannt sind, desto einfacher wird es eine entsprechend geeignete Angriffsstrategie auszudenken.

Menschen gehen in der Regel fahrlässig mit wichtigen Informationen um. Wenige Sekunden oder Minuten eines Videobeitrags im Fernsehen, Youtube oder sonst wo im Internet reichen aus, um für einen potentiellen Angriff nützliche Informationen zu sammeln.

Quellen die aufschlussreiche Informationen liefern:

  • Fehlermeldung auf dem Computerbildschirm, defekten Kartenlesegeräten oder Abfahrtsbildschirmen im Bahnhof, geben Angaben zum Betriebssystem oder der genutzten Applikation, Auskunft über Aktualität der Software
  • Passwörter, Fileshare oder andere sensitive Angaben auf Post-its rund um den Bildschirm, die Tastatur oder Arbeitsfläche
  • In Calls mit Zoom, Teams, Google Meet, Skype etc. können Elemente im Hintergrund die im Bildausschnitt der Kamera enthalten sind nützliche Informationen zum Umfeld, Hobbies, Interessen, Passwörter oder oder genutzte Geräte bieten
SBB Abfahrt-Screen - Social Engineering Informationssammlung

SBB Abfahrt-Screen Fehlermeldung (Quelle: Erwin Jud Handy Bild)

Postfinance Postomat - Social Engineering Informationssammlung

Postfinance Postomat Fehlermeldung (Quelle: Susanna Waser Handy Bild)

Was kann ich tun um mich zu schützen?

Wie schütze ich mich? Hierfür helfen bereits ein paar kritischen Überprüfungen von Informationen via Telefon, persönlich, per Mail Client oder Social Media Kanal. Ausserdem muss ich mir grundlegende Fragen stellen, bevor ich dem Inhalt Glauben schenke und auf allfällige Links klicke:

  • Kenne ich den Absender?
  • Stehe ich mit dem Absender in einer privaten oder geschäftlichen Verbindung?
  • In welcher Sprache ist der Inhalt erstellt und wie steht es um die Rechtschreibung?
  • Mit Doppelklick auf den Absender im Email Header sehe ich, welche Email Adresse wirklich dahinter steckt im Gegensatz zu dem was mir in der Email als Absender-Text angegeben wird. Für erfahrene Benutzer stehen auch Tools zur Verfügung, welche die Email Header im Detail analysieren wie beispielsweise https://mxtoolbox.com/EmailHeaders.aspx
  • Wie ist das Logo? Gibt es Abweichungen?
  • Enthaltene Links prüfen indem ich mit der der Maus über den Link fährst OHNE darauf zu klicken. So erkenne ich wohin der Link tatsächlich führt
  • Sehen Links oder Email Adressen gleich aus wie das was sie dem Empfänger weismachen wollen, solltest du darauf achten, ob allenfalls ähnliche Buchstaben aus anderen Alphabets verwendet wurden
  • Im Internet nach gleichen Fällen von anderen Nutzern suchen
  • Am Empfang niemanden ins Gebäude lassen ohne entsprechende Identifikation, Badge sowie interne Abklärung und Bestätigung des Zutritts oder des Auftrags
  • Kenne ich die Rufnummer, Person oder Stimme am Telefon? Ich prüfe die Anfrage indem ich die übliche Nummer der Bank, des Chefs, des Arbeitskollegen, der Versicherung etc. anrufe und den Sachverhalt kläre
  • Kamera am Notebook/Computer immer ausgeschalten oder bedeckt halten
  • Mikrophon nur eingeschaltet haben während ich es brauche
  • Keine kostenlosen WLAN nutzen z.B. an Flughäfen und wann immer möglich VPN benutzen

Fazit

Zur Eindämmung von Social Engineering Angriffen auf uns selbst oder auf unseren Arbeitgeber können wir Einiges beisteuern. Als erstes müssen wir Informationen generell immer kritisch betrachten, egal wie vertraut uns ein Inhalt oder die Quelle erscheinen mag. Desweiteren müssen wir sensitive Daten schützen, verwalten und niemals sensitive Daten wie Bankkonto, Passwörter oder Zugangsdaten mit jemandem teilen.

Social Engineering - Be the Change

Sei die Veränderung – vermindere Social Engineering Vorfälle (Quelle: Brett Jordan Unsplash.com)