• IT-Karriere:
  • Services:

Ähnlich währt am längsten

Am häufigsten setzen Social Engineers nämlich darauf, über angebliche gemeinsame Interessen Vertrauen zu einer Person zu gewinnen. "Wir mögen Menschen, die uns ähnlich sind, und bauen zu diesen am besten eine Beziehung auf - also wird der Social Engineer einer Person sehr ähnlich sein: dir!", erklärt die Social-Engineering-Expertin Lekati.

Stellenmarkt
  1. KKH Kaufmännische Krankenkasse, Hannover
  2. über duerenhoff GmbH, Freiburg

Wenn Menschen viel miteinander teilen, viele Gemeinsamkeiten haben, fühlen sie sich miteinander verbunden, zugehörig. Genau dieses Gefühl, auf derselben Seite zu stehen, versuchen Social Engineers zu erzeugen und darüber Vertrauen aufzubauen. Dieses weiten sie im Verlauf der Kommunikation immer weiter aus, gehen immer tiefer, bauen immer mehr Vertrauen auf.

Manchmal reicht eine einzige Information, um Vertrauen zu gewinnen. Etwa im folgenden Fall, von dem Lekati berichtet:

Ein Social Engineer, der Schadsoftware in ein Unternehmensnetzwerk einschleusen will, wendet sich an die Sekretärin der Firma. Er hat herausgefunden, dass sie ein kleines Kind hat. Am Empfang gibt er sich als Bewerber aus. Für sein Vorstellungsgespräch habe er alle Dokumente ausgedruckt, aber sein zwei Jahre altes Kind habe über sie gespuckt. Die Papiere seien nun nicht mehr zu gebrauchen - zu spät kommen wolle er aber auch nicht. Daher habe er die Papiere auf einen USB-Stick geladen. Ob die Sekretärin sie vielleicht kurz ausdrucken oder anschauen könne?

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

"Die Sekretärin möchte jemanden mit kleinem Kind, der in einer ähnlichen Situation wie sie selbst ist, nicht hängen lassen. Vielleicht hat sie sogar selbst schon Ähnliches erlebt", sagt Lekati. Die Sekretärin steckt also den USB-Stick in ihren Rechner und fängt sich damit eine Schadsoftware ein.

Solche Impersonation-Attacken gehörten zu den beliebtesten Social-Engineering-Angriffen, erklärt die Spezialistin. Diese funktionieren nicht nur im direkten Kontakt oder über soziale Netzwerke, sondern auch über E-Mail.

4,8 Millionen US-Dollar durch einen einfachen Trick

Im September 2014 erhielt eine Mitarbeiterin in der Finanzbuchhaltung der Firma Medidata, eine E-Mail, die scheinbar vom Präsidenten des Unternehmens stammte: Im Absenderfeld standen sowohl dessen E-Mail-Adresse als auch dessen Name.

In der E-Mail hieß es, Medidata stehe kurz vor einer Akquisition. Daher werde sich ein Anwalt namens Michael Meyer bei ihr melden. Noch am selben Tag meldete sich tatsächlich der besagte Anwalt und erklärte der Mitarbeiterin, dass sie eine Überweisung von 4.770.226 US-Dollar einleiten solle - für eine physische Überprüfung reiche leider die Zeit nicht.

Die Mitarbeiterin erklärte, dass sie dazu eine E-Mail des Unternehmenspräsidenten mit einem Antrag sowie die Bestätigung von zwei Medidata-Managern benötige. Kurze Zeit später erhielten sie und die Manager einen entsprechenden Antrag per E-Mail, den die Medidata-Manager autorisierten. Anschließend veranlasste die Mitarbeiterin die Überweisung an Meyer. Das Geld war weg. Der Anrufer war ein Social Engineer, der auch die E-Mails des Unternehmenspräsidenten mitsamt dem Absender gefälscht (Spoofing) hatte.

Der Fall zeigt zum einen, wie einfach und effektiv Social Engineering sein kann, zum anderen, dass Angriffe oft aus verschiedenen Elementen bestehen, die geschickt kombiniert werden, um eine Glaubwürdigkeit herzustellen. Die Methode wird Fake President genannt und wird zum Teil auch noch weiter gedreht: Nach einer entsprechenden E-Mail ruft ein vermeintlicher Mitarbeiter der IT-Abteilung an und erklärt, dass man den Angriff entdeckt habe, die Polizei aber wolle, dass das Geld überwiesen werde, um den Täter zu schnappen. So nutzen Social Engineers sogar die Bekanntheit bestimmter Maschen aus.

Wie kann man sich gegen derartig vielfältige Angriffe schützen, die zum Teil die innersten Schwächen adressieren? Hierfür hat Lekati einige Ratschläge.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ab in die MatrixWas gegen Social Engineering hilft 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. (u. a. Monster Hunter Rice + Pro Controller für 99€, Animal Crossing: New Horizons für 46...
  2. 16,99€
  3. 5,29€

EdRoxter 14. Aug 2019

Diese Fake Chef-Geschichte ist echt übel, das sind richtige Geier. Ein...

Prypjat 06. Aug 2019

Das Baby hat den Drucker vollgekotzt ^^

Bluejanis 06. Aug 2019

Das ist aber ein Fehler. Du hast keine Sicherheiten bei E-Mails. Selbst für die normale...

Elchinator 05. Aug 2019

Nennt sich "Rubber Ducky" und simuliert einfach eine USB-Tastatur. Die kann man in China...

zuschauer 03. Aug 2019

sind seit Jahrtausenden bekannt und werden ebenso lange ausgebeutet. Seit den 90-er...


Folgen Sie uns
       


Automatische Untertitel in Premiere Pro Beta - Tutorial

Wir zeigen, wie sich Untertitel per KI-Spracherkennung erzeugen lassen.

Automatische Untertitel in Premiere Pro Beta - Tutorial Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /