Social Engineering: Die unterschätzte Gefahr
Die größten Schwachstellen in technischen Systemen sind bis heute Menschen. Social Engineers machen sich ihre Sorglosigkeit zunutze - und finden auf sozialen Netzwerken alles, was sie für einen erfolgreichen Angriff brauchen.
Mit einer Zero-Day-Sicherheitslücke in Chrome und einer weiteren zur Rechteausweitung in Windows sind Angreifer gut gerüstet - aber um in den Rechner oder das Unternehmensnetzwerk hineinzukommen, brauchen sie noch eine weitere Sicherheitslücke: den Menschen. Viele Menschen unterschätzen diese Gefahr bis heute. Ihre Sorglosigkeit beim Umgang mit den sozialen Medien macht es Angreifern leicht. Diese können so komplexe Maschen entwickeln, bei denen die üblichen, technischen Vorsichtsmaßnahmen nicht mehr greifen.
- Social Engineering: Die unterschätzte Gefahr
- Ab in die Matrix
- Ähnlich währt am längsten
- Was gegen Social Engineering hilft
"Wir sehen Social Media als einen Raum, in dem wir uns mitteilen können - und nicht als eine Goldmine für Angreifer, die Informationen abgreifen, die sie gegen uns verwenden können", erklärt die Social-Engineering-Spezialistin Christina Lekati. Die studierte Psychologin berät Firmen und leitet Seminare zu Angriffsmethoden und Schutzmöglichkeiten bei der Sicherheitsfirma Cyber Risk. Am wenigsten erwarten Menschen einen Angriff abends zu Hause. Nach dem Feierabend seien viele Menschen entspannter, unterhielten sich privat mit Freunden und Familie in sozialen Netzwerken, sagt Lekati. Optimale Bedingungen für einen Angriff.
Hallo, hier ist Mia
Auf diese Weise wurden beispielsweise Mitarbeiter saudi-arabischer Unternehmen aus der Telekommunikations- und Ölindustrie angegriffen. Mit einem gefälschen Social-Media-Profil der angeblichen Fotografin Mia Ash aus London kontaktierten Angreifer die betroffenen Mitarbeiter per LinkedIn.
Die Kontaktaufnahme sei Teil einer Übung, um Menschen auf der ganzen Welt zu erreichen, erklärte Ash dem Mitarbeiter. In den folgenden Tagen tauschten sich die beiden über Berufe, Fotografie und Reisen aus. Nach einer Woche regte Mia an, die Konversation auf Facebook zu verlagern und sie als Freundin hinzuzufügen.
Ungefähr einen Monat nach der Kontaktaufnahme schickte Mia ihrem Facebook-Freund eine E-Mail mit einer Excel-Datei, die eine Umfrage zum Thema Fotografie enthalten sollte. Sie ermunterte ihn dazu, die Datei auf seinem Arbeitsrechner zu öffnen und Makros zu erlauben, damit die Umfrage richtig funktioniere. Das Opfer öffnete die Datei und sorgte so für die Installation der Schadsoftware Pupyrat. Der alte Sicherheitstipp "Öffne keine Dateien von jemandem, den du nicht kennst oder die du nicht erwartest" wurde so einfach außer Kraft gesetzt.
Für solche Angriffe ist es wichtig, möglichst viel über die Opfer in Erfahrung zu bringen, sie einschätzen zu können und ihre Schwachstellen zu kennen. Aus den Profilen in sozialen Netzwerken können die Angreifer mit psychologischen Methoden oft mehr herauslesen, als die Poster über sich verraten wollten.
Ab in die Matrix |
Diese Fake Chef-Geschichte ist echt übel, das sind richtige Geier. Ein...
Das Baby hat den Drucker vollgekotzt ^^
Das ist aber ein Fehler. Du hast keine Sicherheiten bei E-Mails. Selbst für die normale...
Nennt sich "Rubber Ducky" und simuliert einfach eine USB-Tastatur. Die kann man in China...