Was ist Social-Engineering?

Bei der Computersicherheit treten viele Probleme auf, obwohl sich der Benutzer nach besten Kräften bemüht. Zum Beispiel können Sie jederzeit von Malware durch Malvertising getroffen werden, es ist wirklich Pech. Es gibt Maßnahmen, die Sie ergreifen können, um das Risiko zu minimieren, z. B. die Verwendung eines Werbeblockers. Aber so getroffen zu werden, ist nicht die Schuld des Benutzers. Andere Angriffe konzentrieren sich jedoch darauf, den Benutzer dazu zu bringen, etwas zu tun. Diese Arten von Angriffen fallen unter das breite Banner von Social-Engineering-Angriffen.

Social Engineering beinhaltet die Analyse und das Verständnis, wie Menschen mit bestimmten Situationen umgehen, um ein Ergebnis zu manipulieren. Social Engineering kann gegen große Gruppen von Menschen durchgeführt werden. In Bezug auf die Computersicherheit wird es jedoch normalerweise gegen Einzelpersonen eingesetzt, möglicherweise jedoch als Teil einer großen Kampagne.

Ein Beispiel für Social Engineering gegen eine Gruppe von Menschen könnten Versuche sein, Panik als Ablenkung zu erzeugen. Zum Beispiel ein Militär, das eine Operation unter falscher Flagge durchführt, oder jemand, der an einem belebten Ort „Feuer“ schreit und dann im Chaos stiehlt. Auf einer gewissen Ebene sind auch einfache Propaganda, Glücksspiel und Werbung Social-Engineering-Techniken.

In der Computersicherheit sind die Aktionen jedoch eher individuell. Phishing versucht, Benutzer davon zu überzeugen, auf einen Link zu klicken und Details einzugeben. Viele Betrüger versuchen, basierend auf Angst oder Gier zu manipulieren. Social-Engineering-Angriffe in der Computersicherheit können sich sogar in die reale Welt wagen, wie z. B. der Versuch, sich unbefugten Zugang zu einem Serverraum zu verschaffen. Interessanterweise sind in der Welt der Cybersicherheit dieses letzte Szenario und ähnliche Szenarien typischerweise das, was gemeint ist, wenn man über Social-Engineering-Angriffe spricht.

Breiteres Social Engineering – online

Phishing ist eine Angriffsklasse, bei der versucht wird, das Opfer durch Social Engineering dazu zu bringen, einem Angreifer Details mitzuteilen. Phishing-Angriffe werden normalerweise in einem externen System wie etwa per E-Mail übermittelt und haben daher zwei unterschiedliche Social-Engineering-Punkte. Zunächst müssen sie das Opfer davon überzeugen, dass die Nachricht legitim ist, und sie dazu bringen, auf den Link zu klicken. Dadurch wird die Phishing-Seite geladen, auf der der Benutzer dann aufgefordert wird, Details einzugeben. Normalerweise sind dies ihr Benutzername und ihr Passwort. Dies beruht darauf, dass sowohl die ursprüngliche E-Mail als auch die Phishing-Seite überzeugend genug aussehen, um den Benutzer durch Social Engineering dazu zu bringen, ihnen zu vertrauen.

Viele Betrüger versuchen, ihre Opfer durch Social Engineering dazu zu bringen, Geld zu übergeben. Der klassische Betrug mit dem „nigerianischen Prinzen“ verspricht eine große Auszahlung, wenn das Opfer einen kleinen Vorschuss zahlen kann. Sobald das Opfer die „Gebühr“ bezahlt hat, wird natürlich nie eine Auszahlung erhalten. Andere Arten von Betrugsangriffen funktionieren nach ähnlichen Prinzipien. Überzeugen Sie das Opfer, etwas zu tun, typischerweise Geld zu übergeben oder Malware zu installieren. Ransomware ist sogar ein Beispiel dafür. Das Opfer muss Geld aushändigen oder riskiert, den Zugriff auf die verschlüsselten Daten zu verlieren.

Persönliches Social Engineering

Wenn in der Welt der Cybersicherheit von Social Engineering gesprochen wird, bezieht sich dies typischerweise auf Aktionen in der realen Welt. Es gibt viele Beispielszenarien. Eine der grundlegendsten ist das sogenannte Tail-Gating. Das schwebt so nah hinter jemandem, dass er eine zugangskontrollierte Tür aufhält, um Sie durchzulassen. Tail-Gating kann verbessert werden, indem ein Szenario eingerichtet wird, in dem das Opfer Ihnen helfen könnte. Eine Methode besteht darin, mit den Rauchern draußen eine Raucherpause einzulegen und dann mit der Gruppe wieder nach drinnen zu gehen. Eine andere Methode ist, etwas Ungeschicktes zu tragen. Diese Technik ist sogar noch erfolgreicher, wenn das, was Sie bei sich tragen, für andere sein könnte. Wenn Sie zum Beispiel ein Tablett mit Kaffeetassen für „Ihr Team“ haben, gibt es einen sozialen Druck, dass jemand Ihnen die Tür aufhält.

Ein Großteil des persönlichen Social Engineering beruht darauf, ein Szenario zu erstellen und sich darauf zu verlassen. Beispielsweise könnte sich ein Social Engineer als eine Art Bauarbeiter oder Reinigungskraft ausgeben, die im Allgemeinen übersehen wird. Wenn Sie sich als barmherziger Samariter ausgeben und einen „verlorenen“ USB-Stick abgeben, kann dies dazu führen, dass ein Mitarbeiter ihn einsteckt. Die Absicht wäre, zu sehen, wem er gehört, aber er könnte dann das System mit Malware infizieren.

Diese Arten von persönlichen Social-Engineering-Angriffen können sehr erfolgreich sein, da niemand wirklich damit rechnet, auf diese Weise ausgetrickst zu werden. Sie bergen jedoch ein großes Risiko für den Angreifer, der eine sehr reale Chance hat, auf frischer Tat ertappt zu werden.

Abschluss

Social Engineering ist das Konzept, Menschen zu manipulieren, um ein bestimmtes Ziel zu erreichen. Eine Möglichkeit besteht darin, eine real aussehende Situation zu schaffen, um das Opfer dazu zu bringen, es zu glauben. Sie können auch ein Szenario erstellen, in dem ein sozialer Druck oder eine Erwartung besteht, dass das Opfer gegen die üblichen Sicherheitshinweise handelt. Alle Social-Engineering-Angriffe beruhen jedoch darauf, ein oder mehrere Opfer dazu zu bringen, eine Aktion auszuführen, die der Angreifer will.