Seite wählen

Wenn Barack Obama, Bill Gates, Elon Musk und viele andere Promis sowie einige Firmen auf Twitter zeitgleich mit Bitcoin-Spam um sich werfen, leuchten im SOC des Kurznachrichtendienstes die Alarmleuchten auf. Von einem herkömmlichen Account Takeover kann hier keine Rede mehr sein, vielmehr ist ein Datenleck bei Twitter selbst zu vermuten. Wie das Social-Media-Unternehmen in einer Support-Meldung mitteilt, haben Angreifer offenbar mittels Social Engineering sich den Zugang zu internen Systemen ergaunert und dadurch die bestehenden Sicherheitsvorkehrungen überwunden. Derzeit wird der Angriff noch von den Sicherheitsexperten bei Twitter untersucht, das Beispiel zeigt allerdings, wie brisant die Bedrohungslage auch für moderne Tech-Konzerne ausfällt.

Was ist Social Engineering?

Bei Social Engineering handelt es sich um die gezielte Manipulation und Beeinflussung von Personen, um diese zu bestimmten Handlungen oder der Herausgabe vertraulicher Informationen zu bewegen. Meist geht einer Social-Engineering-Attacke eine genau Recherche der Zielperson voraus. Umso besser die Angreifer vorbereitet sind, desto wahrscheinlicher gelingt der Angriff auf die jeweilige Person.

Für Social Engineering kommen nahezu alle Kommunikationswege- und Technologien infrage – vom Telefon-Gespräch, über E-Mails und SMS, bis hin zur persönlichen Unterhaltung ist alles möglich. Das Prinzip der Attacke ist dabei immer dasselbe: Über eine stichhaltige und überzeugende Argumentation soll eine Handlung hervorgerufen werden. Meist geben sich die Angreifer für eine andere Person oder Firma aus, um ihre Forderung zu legitimieren.

Social Engineering in der Praxis

Neben den eingesetzten Kommunikationswegen differenziert man bei Social Engineering auch zwischen einzelnen Angriffsformen, die sich vor allem in der konkreten Vorgehensweise der Angreifer und dem damit verbundenen Aufwand unterscheiden. Mit zu den geläufigsten Methoden zählen:

Phishing & Spear Phishing

Das weit verbreitete Phishing per Mail zählt zu den meist genutzten Angriffsvektoren im Internet überhaupt. Mittels gefälschter E-Mails versuchen die Angreifer dabei, das Opfer zur Herausgabe von sensiblen Daten, wie etwa Login-Informationen, zu bewegen. Hierfür werden die Nutzer in der Regel per Link auf eine modifizierte oder gefälschte Webseite gelockt, von wo aus die Daten abgegriffen werden. Im Gegensatz zum herkömmlichen Phishing, das auf eine breite Zielgruppe ausgelegt ist, werden beim Spear Phishing die Nachrichten genau auf das jeweilige Opfer zurechtgeschnitten. Damit fällt diese Form des Social Engineerings zwar aufwändiger aus, allerdings steigen auch die Erfolgschancen beträchtlich.

Business E-Mail Compromise (BEC)

Ebenfalls in die Kategorie Phishing ist der Angriffstyp Business E-Mail Compromise (BEC) einzuordnen, bei dem Angreifer einzelne Mitarbeiter eines Unternehmens anvisieren und sich in stichhaltigen E-Mail-Konversationen als Entscheidungsträger ausgeben, um die Herausgabe lukrativer Daten oder auch die Überweisung hoher Geldbeträge zu bewirken.

Scarware

Social Engineering kann auch mittels Software beziehungsweise Scarware erfolgen. Bei dieser automatisierten Form des Social Engineering soll das Opfer durch Verängstigung manipuliert werden. In der Praxis kommen hierfür etwa Anzeigen und Animationen auf Webseiten zum Einsatz, die dem Anwender vormachen, dass sein PC von Schadsoftware befallen sei. Die wirkliche Malware lauert aber in dem parallel zum Download angebotenen „Antiviren“-Tool – in Wahrheit verbirgt sich ein Trojaner dahinter, der es auf sensible Daten abgesehen hat.

Mit Awareness gegen Social Engineering vorgehen

Technische Maßnahmen sind nur bedingt geeignet, um Social Engineering abzuwehren. Mehrschichtige Anmeldeverfahren erhöhen zwar den Aufwand für eine Kompromittierung, fortgeschrittene Angreifer finden aber auch hier eine Möglichkeit, um an die erforderlichen Daten zu gelangen. Wer sein Unternehmen vor Social Engineering schützen will, muss deshalb für Awareness bei seinen Mitarbeitern sorgen. Denn mit der notwendigen digitalen Sorgfalt und etwas Misstrauen, lassen sich viele Social-Engineering-Angriffe frühzeitig enttarnen und erfolgreich abwehren.

Diesen Artikel teilen