So gelangen Hacker:innen an Ihre Unternehmensinformationen 4 Social Engineering Tricks der Hacker

Von Sebastian Scheuring

„Ja, ich weiß, dass ich mit den Unternehmensdaten sensibel umgehen muss.“ Das würden wahrscheinlich fast alle Mitarbeiter:innen sagen, aber sind sie wirklich für mögliche Angriffe vorbereitet? Ein Angriff ist nämlich nicht immer direkt spürbar. Hier kommen die vier meistgenutzten Maschen, um an Ihre Informationen zu gelangen. Wie würde Ihr Team reagieren?

Anbieter zum Thema

Cyberkriminelle versuchen immer erst so viele Informationen wie möglich über ihr Ziel zu sammeln. Wenn die öffentlich verfügbaren Informationen nicht ausreichen greifen sie meist als nächstes zum Social Engineering.
Cyberkriminelle versuchen immer erst so viele Informationen wie möglich über ihr Ziel zu sammeln. Wenn die öffentlich verfügbaren Informationen nicht ausreichen greifen sie meist als nächstes zum Social Engineering.
(© jariyawat - stock.adobe.com)

Angriffe auf ein Unternehmensnetzwerk können unterschiedliche Ziele verfolgen: Informationen abgreifen, Schaden anrichten, Unternehmen erpressen oder die Infrastruktur missbrauchen. Bei gezielten Attacken geht es im ersten Schritt aber immer erst einmal darum, so viele Informationen wie möglich über das Ziel zu sammeln. Wenn Angreifer:innen in den öffentlichen Informationen, wie auf der Website oder auf sozialen Medien, nicht direkt fündig werden, kommen folgende vier beliebten Maschen zum Tragen.

1. „Kann ich mal den Chef sprechen?“

Ein Anruf in der Zentrale oder einer Abteilung, die häufig telefonisch kontaktiert wird, wie z. B. Sales oder Support, reicht meistens aus. Die Frage „Kann ich mal den Chef sprechen?“ impliziert häufig eine unüberlegte Antwort „Herr Schneider ist heute nicht im Haus.“ So weiß der Anrufende, dass ein Herr Schneider der Geschäftsführer oder Inhaber dieses Unternehmens ist. Zwar ist diese Information häufig im Handelsregister oder Impressum abgebildet, allerdings hat der Angreifer diese Information somit validiert. Kontakte, die nicht öffentlich bekannt sind, wie IT-Leitungen oder CISO können so wiederum schnell ausfindig gemacht werden. Auch der Hinweis, dass Herr Schneider in diesem Fall nicht im Haus ist, kann wertvoll sein, für z.B. zielgerichtete Angriffe auf sein Postfach oder Endgeräte.

2. Abmelden vom Newsletter

Mitarbeiter:innen erhalten E-Mails in Form von Newslettern, für die sie sich nicht angemeldet haben. Der erste scheinbar logische Schritt ist aber fatal: Sie möchten sich von diesem Newsletter abmelden, damit sie ihn nicht wieder erhalten. Sobald man allerdings auf den Unsubscribe-Button klickt, weiß der Absender des Newsletters, dass es eine valide E-Mailadresse ist. Somit hat der Angreifer die Information erhalten, dass die Person unter dieser E-Mail erreichbar ist und kann durch Probieren die E-Mails aller Kolleg:innen herausfinden.

3. Phishing for Compliments

Das Phishing for Compliments auf Social Media geht über neidisch-machende Urlaubsbilder auf den Malediven oder in Kalifornien hinaus. User:innen posten positive Erlebnisse, um allen zu zeigen, was für ein tolles Team man hat, welch leckeres Essen die Kantine serviert oder welcher innovativen Lösung gearbeitet wird. Der Post, dass man beispielsweise ein neues, modernes Tool implementiert hat, kann ebenfalls zum Einfallstor für Hackangriffe werden: So weiß der Angreifende, welches System oder welche Software gehackt werden muss. Das Ausspionieren wurde somit von internen Mitarbeiter:innen übernommen, gern geschehen.

4.„Herzlichen Glückwunsch zur Beförderung, was genau machst du jetzt?“

Wir versuchen unsere Unternehmensinformationen zu schützen, doch sind viele Daten bereits freiwillig öffentlich. Laufbahnen von Mitarbeiter:innen sind öffentlich auf XING, LinkedIn und Facebook zu sehen, die stolz auf ihren Werdegang sind und zeigen möchten, dass sie viel Berufserfahrung in der Branche sammeln konnten. Die bloße Erwähnung des eigenen Jobs scheint im ersten Augenblick trivial, allerdings sammeln Angreifer:innen alle Informationen, die sie bekommen können, um ggf. Schaden anzurichten. Viele Mitarbeiter:innen sind unvorsichtig unterwegs und teilen Beförderungen von Kolleg:innen, Bilder von Weihnachtsfeiern, Jubiläen etc. auf Social Media und geben Angreifer:innen dadurch interne Einblicke. Eine zunächst freundliche Anfrage nach dem neuen Tätigkeitsfeld in einem neuen Job oder eine neue Position kann das erste Einfallstor ins Unternehmen sein.

Informationen beherrschen die Welt – So durchdringen Sie die Kill Chain

Verifizieren Sie, dass die Anfrage der Kolleg:innen wirklich gestellt wurde. Fragt eine:r aus dem Team per E-Mail nach einer sensiblen Information, wie die Kreditkartendaten, dem Passwort oder den Benutzernamen zu einem Tool, stellen Sie noch einmal auf einem anderen Kanal sicher, dass die Anfrage stimmt. Nutzen Sie beispielsweise Teams, Slack, das Telefon oder den persönlichen Weg im Büro, um zu fragen: „Du hast mich gerade nach XY gefragt. Ich gebe dir die Info später.“ Mit einem kurzen „Okay alles klar, danke“ kann verifiziert werden, dass die Anfrage nicht von extern gestellt wurde.

Sobald eine E-Mail eintrifft, sollte man sich stets die Fragen stellen „Woher hat die Person meine E-Mailadresse? Kenne ich den Absender bzw. das Anliegen? “. Wenn nicht, sollte man diese E-Mail löschen und auf keinen Fall auf Links innerhalb der E-Mail klicken — auch nicht auf den Abmelde-Button, außer es ist natürlich eine bewusste Anmeldung gewesen, die man wieder rückgängig machen möchte. Wenn die Mails sich häufen, lieber durch die IT auf eine Blacklist setzen lassen.

Seien Sie sich bewusst, dass Angreifer:innen auch über das Telefon Informationen abgreifen können, wie oben beschrieben. Seien Sie skeptisch, wenn der/die Anrufende sich beispielsweise gar nicht erst vorstellt, sondern direkt Informationen möchte. Fragen Sie zunächst, was der Anrufende genau möchte und wieso. Stellen Sie auch Gegenfragen, wie z. B. „Kann ich Ihnen vielleicht auch weiterhelfen?“ oder „Woher kennen Sie denn Herrn/Frau XY?“ Entwickeln Sie ein Gespür dafür, ob Anrufe von echten Kund:innen oder Interessenten kommen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Prüfen Sie über Portale, wie haveibeenpwned.com, ob Ihre E-Mailadresse bereits gehackt wurde. Oft wissen Mitarbeiter:innen nicht, dass sie bereits Opfer von Angriffen waren. Die Auswirkungen sind selten sofort spürbar, sondern oft erst nach Monaten und dann nicht mehr rückverfolgbar. Teilweise sind diese Mitarbeiter:innen gar nicht mehr im Unternehmen, trotzdem hat er/sie ein Einfallstor für Angreifer:innen geschaffen.

Grundsätzlich ist eine gesunde Skepsis im Umgang mit Kommunikationsmitteln der richtige Weg, um das Risiko eines Angriffs so gering wie möglich zu halten. Rufen Sie sich immer vor Augen, dass Informationen wertvoll sind und je mehr der Angreifende weiß, desto weiter kommt er voran. Mittlerweile stellt sich nicht die Frage, ob man angegriffen wird, sondern wann. Aus diesem Grund ist es wichtig, dass alle Mitarbeiter:innen sich bewusst werden, dass sie ein potenzielles Risiko darstellen, wenn sie mit den Informationen unvorsichtig umgehen. Dafür gibt es auch Awareness-Trainings, um dieses Bewusstsein zu steigern und auch praktische Tipps als Präventionsmaßnahmen zu erhalten. Aus Sicht der IT-Sicherheit gehören die Anwender:innen mit zu einem ganzheitlichem Sicherheitskonzept.

Über den Autor: Sebastian Scheuring ist Vorstand und Geschäftsführer, der Bitbone AG. Er verbindet wie kein anderer Vorstands- und Geschäftsführerrolle mit leidenschaftlichem Techi. Kund:innen profitieren von seinem Know-how aus beiden Welten und können auf eine ehrliche Beratung auf Augenhöhe vertrauen. Mit Open Source-Kultur und -Technologien „groß“ geworden, lebt er den Community-Gedanke und legt Wert auf langfristige, enge Beziehungen zu Kund:innen, Partner:innen und Kolleg:innen. Ausgleich und Drive holt er sich bei sportlichen Aktivitäten, beim Fotografieren und seiner Familie.

(ID:48087181)