• IT-Karriere:
  • Services:

Ähnlich währt am längsten

Am häufigsten setzen Social Engineers nämlich darauf, über angebliche gemeinsame Interessen Vertrauen zu einer Person zu gewinnen. "Wir mögen Menschen, die uns ähnlich sind, und bauen zu diesen am besten eine Beziehung auf - also wird der Social Engineer einer Person sehr ähnlich sein: dir!", erklärt die Social-Engineering-Expertin Lekati.

Stellenmarkt
  1. Deutsches Institut für Bautechnik, Berlin
  2. VIVAVIS AG, Koblenz

Wenn Menschen viel miteinander teilen, viele Gemeinsamkeiten haben, fühlen sie sich miteinander verbunden, zugehörig. Genau dieses Gefühl, auf derselben Seite zu stehen, versuchen Social Engineers zu erzeugen und darüber Vertrauen aufzubauen. Dieses weiten sie im Verlauf der Kommunikation immer weiter aus, gehen immer tiefer, bauen immer mehr Vertrauen auf.

Manchmal reicht eine einzige Information, um Vertrauen zu gewinnen. Etwa im folgenden Fall, von dem Lekati berichtet:

Ein Social Engineer, der Schadsoftware in ein Unternehmensnetzwerk einschleusen will, wendet sich an die Sekretärin der Firma. Er hat herausgefunden, dass sie ein kleines Kind hat. Am Empfang gibt er sich als Bewerber aus. Für sein Vorstellungsgespräch habe er alle Dokumente ausgedruckt, aber sein zwei Jahre altes Kind habe über sie gespuckt. Die Papiere seien nun nicht mehr zu gebrauchen - zu spät kommen wolle er aber auch nicht. Daher habe er die Papiere auf einen USB-Stick geladen. Ob die Sekretärin sie vielleicht kurz ausdrucken oder anschauen könne?

"Die Sekretärin möchte jemanden mit kleinem Kind, der in einer ähnlichen Situation wie sie selbst ist, nicht hängen lassen. Vielleicht hat sie sogar selbst schon Ähnliches erlebt", sagt Lekati. Die Sekretärin steckt also den USB-Stick in ihren Rechner und fängt sich damit eine Schadsoftware ein.

Solche Impersonation-Attacken gehörten zu den beliebtesten Social-Engineering-Angriffen, erklärt die Spezialistin. Diese funktionieren nicht nur im direkten Kontakt oder über soziale Netzwerke, sondern auch über E-Mail.

4,8 Millionen US-Dollar durch einen einfachen Trick

Im September 2014 erhielt eine Mitarbeiterin in der Finanzbuchhaltung der Firma Medidata, eine E-Mail, die scheinbar vom Präsidenten des Unternehmens stammte: Im Absenderfeld standen sowohl dessen E-Mail-Adresse als auch dessen Name.

In der E-Mail hieß es, Medidata stehe kurz vor einer Akquisition. Daher werde sich ein Anwalt namens Michael Meyer bei ihr melden. Noch am selben Tag meldete sich tatsächlich der besagte Anwalt und erklärte der Mitarbeiterin, dass sie eine Überweisung von 4.770.226 US-Dollar einleiten solle - für eine physische Überprüfung reiche leider die Zeit nicht.

Die Mitarbeiterin erklärte, dass sie dazu eine E-Mail des Unternehmenspräsidenten mit einem Antrag sowie die Bestätigung von zwei Medidata-Managern benötige. Kurze Zeit später erhielten sie und die Manager einen entsprechenden Antrag per E-Mail, den die Medidata-Manager autorisierten. Anschließend veranlasste die Mitarbeiterin die Überweisung an Meyer. Das Geld war weg. Der Anrufer war ein Social Engineer, der auch die E-Mails des Unternehmenspräsidenten mitsamt dem Absender gefälscht (Spoofing) hatte.

Der Fall zeigt zum einen, wie einfach und effektiv Social Engineering sein kann, zum anderen, dass Angriffe oft aus verschiedenen Elementen bestehen, die geschickt kombiniert werden, um eine Glaubwürdigkeit herzustellen. Die Methode wird Fake President genannt und wird zum Teil auch noch weiter gedreht: Nach einer entsprechenden E-Mail ruft ein vermeintlicher Mitarbeiter der IT-Abteilung an und erklärt, dass man den Angriff entdeckt habe, die Polizei aber wolle, dass das Geld überwiesen werde, um den Täter zu schnappen. So nutzen Social Engineers sogar die Bekanntheit bestimmter Maschen aus.

Wie kann man sich gegen derartig vielfältige Angriffe schützen, die zum Teil die innersten Schwächen adressieren? Hierfür hat Lekati einige Ratschläge.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ab in die MatrixWas gegen Social Engineering hilft 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Top-Angebote
  1. 290,99€ (Release 10.11.)
  2. 499,99€ (Release 10.11.)
  3. 59,99€ (Release 10.11.)
  4. (u. a. Wireless Controller für 59,99€, Play and Charge Kit für 22,38€, Call of Duty: Black...

EdRoxter 14. Aug 2019

Diese Fake Chef-Geschichte ist echt übel, das sind richtige Geier. Ein...

Prypjat 06. Aug 2019

Das Baby hat den Drucker vollgekotzt ^^

Bluejanis 06. Aug 2019

Das ist aber ein Fehler. Du hast keine Sicherheiten bei E-Mails. Selbst für die normale...

Elchinator 05. Aug 2019

Nennt sich "Rubber Ducky" und simuliert einfach eine USB-Tastatur. Die kann man in China...

zuschauer 03. Aug 2019

sind seit Jahrtausenden bekannt und werden ebenso lange ausgebeutet. Seit den 90-er...


Folgen Sie uns
       


    •  /