Wenn Barack Obama, Bill Gates, Elon Musk und viele andere Promis sowie einige Firmen auf Twitter zeitgleich mit Bitcoin-Spam um sich werfen, leuchten im SOC des Kurznachrichtendienstes die Alarmleuchten auf. Von einem herkömmlichen Account Takeover kann hier keine Rede mehr sein, vielmehr ist ein Datenleck bei Twitter selbst zu vermuten. Wie das Social-Media-Unternehmen in einer Support-Meldung mitteilt, haben Angreifer offenbar mittels Social Engineering sich den Zugang zu internen Systemen ergaunert und dadurch die bestehenden Sicherheitsvorkehrungen überwunden. Derzeit wird der Angriff noch von den Sicherheitsexperten bei Twitter untersucht, das Beispiel zeigt allerdings, wie brisant die Bedrohungslage auch für moderne Tech-Konzerne ausfällt.
Was ist Social Engineering?
Für Social Engineering kommen nahezu alle Kommunikationswege- und Technologien infrage – vom Telefon-Gespräch, über E-Mails und SMS, bis hin zur persönlichen Unterhaltung ist alles möglich. Das Prinzip der Attacke ist dabei immer dasselbe: Über eine stichhaltige und überzeugende Argumentation soll eine Handlung hervorgerufen werden. Meist geben sich die Angreifer für eine andere Person oder Firma aus, um ihre Forderung zu legitimieren.
Social Engineering in der Praxis
Phishing & Spear Phishing
Business E-Mail Compromise (BEC)
Scarware
Mit Awareness gegen Social Engineering vorgehen
Technische Maßnahmen sind nur bedingt geeignet, um Social Engineering abzuwehren. Mehrschichtige Anmeldeverfahren erhöhen zwar den Aufwand für eine Kompromittierung, fortgeschrittene Angreifer finden aber auch hier eine Möglichkeit, um an die erforderlichen Daten zu gelangen. Wer sein Unternehmen vor Social Engineering schützen will, muss deshalb für Awareness bei seinen Mitarbeitern sorgen. Denn mit der notwendigen digitalen Sorgfalt und etwas Misstrauen, lassen sich viele Social-Engineering-Angriffe frühzeitig enttarnen und erfolgreich abwehren.