Schreiben Sie uns
Rufen Sie uns an
HXS Remote Support
Schwarz gekleidete und maskierte Person stellt symbolisch dar, wie Social Engineering funktionieren kann.
17.10.2022Aktuelles


Social Engineering und wie man sich dagegen schützt

Den Begriff Social Engineering haben Sie vermutlich schon einmal gehört. Doch was ist Social Engineering eigentlich? Wer gerade an einen hoch technologisierten Hacker denkt, der mit den komplexesten Schadprogrammen ans Werk geht, sieht hier nur einen Teil des Angriffs - denn dieser startet oftmals viel unscheinbarer.

Was ist Social Engineering?

Unter dem Begriff Social Engineering sammeln sich eine Vielzahl an Methoden, die den Vertrauensaufbau und die darauffolgende Manipulation der Mitarbeiter gemeinsam haben. Mit geschickten Täuschungen & Tricks werden Mitarbeiter überredet

  • private, vertrauliche Informationen weiterzugeben,
  • Zugangsdaten zu privaten Accounts oder Netzwerken zu teilen,
  • Oder Malware ins Unternehmen einzuschleusen.

Diese Methoden können digital, telefonisch als auch im persönlichen Austausch angewandt werden. Im folgenden stellen wir Ihnen die häufigsten Arten von Social Engineering vor.

Welche Arten von Social Engineering gibt es?

1.     Phishing

Die am weitesten verbreitete Methode des Social Engineering besteht darin, dass Hacker betrügerische Phishing-E-Mails, Websites und Textnachrichten verwenden, um sensible persönliche oder organisatorische Informationen von ahnungslosen Opfern zu stehlen. Obwohl Phishing-E-Mails sehr bekannt sind, ist es nicht immer ganz einfach diese von „echten“ Nachrichten oder Webseiten zu unterscheiden.

2.     Spear-Phishing

Das Spear-Phishing ist eine Sonderform des Phishing. Hierbei wird ein gezielter Hacking-Angriff auf Ihr Unternehmen durchgeführt, der auf eine gründliche vorangegangene Recherche des Angreifers aufbaut. Über Social Media und anderen öffentlich zugänglichen Informationen werden Phishing-Mails um persönliche Details ergänzt, um diese glaubwürdiger erscheinen zu lassen.

3.     Baiting

Dem Opfer wird eine Belohnung als Gegenleistung für sensible Informationen in Aussicht gestellt. Der  „Köder“ kann digital (bspw. ein kostenloser Download-Link zu einer gratis Software - die leider infiziert ist) oder auch physisch (USB—Stick) sein.

4.     Malware

Mit Nachrichten, die Dringlichkeit erzeugen, wird dem Opfer mitgeteilt, dass es sich – ironischerweise – mit Malware infiziert hat und es sich als Schutz vor dieser eine Software installieren soll. Diese Software enthält die Malware und es kommt in Folge zu bspw. Erpressungsversuchen.

5.     Pretexting

Mittels falscher Identität wird versucht vertrauliche Informationen vom Opfer abzugreifen. Diese falsche Identität wird oftmals mit ausgeklügelten Lügen und umfangreichen Szenarien rund um ein Unternehmen beschrieben. Von eigens angelegten E-Mailadressen über Webseiten und Telefonanrufen sind der Kreativität der Social Engineers keine Grenzen gesetzt. Pretexting wird oftmals in Kombination mit anderen Social-Engineering-Methoden verwendet.

6.     Quid Pro Quo

Hierbei bittet der Angreifer um einen „Gefallen für einen Gefallen“. Oftmals geben sich Angreifer als technischer Support aus und bieten ihre Hilfe im Akutfall an. Dazu bitten Sie um genaue persönliche Informationen oder Zugangsdaten um das Problem vermeintlich zu lösen. 

7.     Tailgaiting

Beim Tailgaiting findet der Angriff physisch statt: der Social Engineer versucht hierbei beispielswiese in den geschlossenen Bereich eines Unternehmens einzudringen. Oftmals sind diese Angriffe höchst erfolgreich, da aus falsch verstandener Höflichkeit der bspw. "unbekannte Mitarbeiter“ hineingelassen wird.

8.     Vishing

Mittels Anrufen oder Sprachnachrichten werden Opfer dazu gedrängt persönliche Informationen preiszugeben um sich vor einer Gefahr zu schützen. Social Engineers geben sich hier oft gern als Banken oder Strafverfolgungsbehörden aus.

9.     Water-Holing

Als „Water-Holes“ können Webseiten angesehen werden, die von vielen Unternehmen einer Branche aufgesucht werden. Diese werden durch Social Engineers kopiert und mit Malware infiziert um so gezielt eine Branche anzugreifen.

Wie schützen Sie sich vor Social Engineering?

Social Engineering kann viele Erscheinungen haben und ist dadurch oftmals schwer zu erkennen. Die Möglichkeiten der Social Engineers sind unzählig, wodurch auch in Zukunft neue noch unbekannte Methoden auftauchen werden um Informationen von Ihnen oder Ihren Mitarbeitern abzugreifen. Einen proaktiven und bewussten Umgang mit dem Problem Social Engineering können Sie in Ihrem Unternehmen nur durch eine ausgeprägte Cyber Security-Awareness erreichen.

Oftmals wird das mangelnde technische Wissen der Opfer ausgenutzt, um an die gewünschten Informationen zu gelangen. Durch gezielte IT-Security-Schulungen sensibilisieren Sie Ihre Mitarbeiter und vermitteln Ihnen Wissen über die Methoden des Social Engineerings.

Darüber hinaus bieten auch technische Lösungen eine massive Unterstützung, um den Druck auf Ihre Mitarbeiter zu verringern. Mit unseren IT-Security Lösungen wie E-Mail Fraud Protection, E-Mail Total Protection oder unserem modernen EDR-Antivirus können bereits viele Social-Engineering-Versuche im Vorhinein abgegriffen werden. Mit HXS MSSP bieten wir Ihnen diese technischen Lösungen als Managed Service an.

Bild: Image by storyset (on Freepik)

Auch für Ihr Business

HXS Academy

Laufendes Coaching für mehr IT-Know-how in Ihrem Unternehmen.

Mehr erfahren

Ihr HXS Xperte

Lorenz Bindhammer, MSc

Liebt es, Klarheit, Ordnung und System auch in die komplexesten Herausforderungen und scheinbar unlösbarsten Problemstellungen zu bringen.

Tel: +43 (1) 344 1 344 - 204
LB@hxs.at

Mehr erfahren

Tags

Weitere News

15.12.2022

Lunch & Learn: Netzwerksegmentierung für Unternehmen

Wie Sie mit Netzwerksegmentierung Ihr Unternehmensnetzwerk besser vor Cyber-Angriffen schützen können. ➤ Jetzt zum Lunch & Learn anmelden!...

Mehr erfahren