In einer Welt, die zunehmend online ist und in der Vertrauen sowohl eine Währung als auch eine Schwachstelle darstellt, versuchen Bedrohungsakteure, das menschliche Verhalten zu manipulieren und die Neigung der Menschen auszunutzen, hilfsbereit zu sein. In dieser Infografik gehen wir auf Social Engineering ein und erläutern, warum Bedrohungsakteure professionelle Identitäten besonders schätzen und wie sie das menschliche Verhalten für ihre Ziele manipulieren.
Gespeist aus Vertrauen: Social-Engineering-Betrug
Social Engineering und der kriminelle Reiz des Phishings
Etwa 901 Prozent aller Phishing-Angriffe basieren auf Social-Engineering-Taktiken, die darauf abzielen, die Opfer (in der Regel per E-Mail) dazu zu bringen, vertrauliche Informationen preiszugeben, auf bösartige Links zu klicken oder schädliche Dateien zu öffnen. Phishing-Angriffe sind für Angreifer kosteneffektiv, leicht anpassbar, um Schutzmaßnahmen zu umgehen, und weisen hohe Erfolgsquoten auf.
Die Druckmittel für menschliches Verhalten
Social-Engineering-Techniken stützen sich in der Regel auf Vertrauen und Überredungskunst des Angreifers, um die Zielpersonen zu Handlungen zu bewegen, die ansonsten untypisch wären. Drei wirksame Druckmittel sind Dringlichkeit, Emotionen und Gewohnheit.2 Dringlichkeit Niemand möchte sich eine zeitkritische Gelegenheit entgehen lassen oder einen wichtigen Termin versäumen. Das Gefühl der Dringlichkeit kann andernfalls rationale Zielpersonen häufig dazu verleiten, persönliche Informationen preiszugeben.
Beispiel: Falsche Dringlichkeit
„Das Kennzeichen einer Phishing-E-Mail ist der zeitliche Rahmen, der darin enthalten ist. Sie sollen dazu gedrängt werden, in kürzester Zeit eine Entscheidung zu treffen.“
Jack Mott – Microsoft Threat Intelligence
Emotionen
Emotionale Beeinflussung kann Cyberkriminellen einen Vorteil verschaffen, da Menschen in einem gesteigerten emotionalen Zustand eher zu riskanten Aktionen neigen, insbesondere wenn Angst, Schuldgefühle oder Wut im Spiel sind.
Beispiel: Emotionale Beeinflussung
„Der effektivste Köder, den ich je gesehen habe, war eine sehr kurze E-Mail mit dem Text: ‚Wir wurden von Ihrem Ehepartner beauftragt, Scheidungsdokumente vorzubereiten. Klicken Sie auf den Link, um Ihr Exemplar herunterzuladen.‘“
Sherrod DeGrippo – Microsoft Threat Intelligence
Gewohnheiten
Kriminelle beobachten Verhaltensweisen sehr genau und achten besonders auf die Gewohnheiten und Routinen, die Menschen „automatisch“ ausführen, ohne viel darüber nachzudenken.
Beispiel: Gewohnheiten
Bei einer Technik, die als „Quishing“3 bekannt ist, geben sich Betrüger als seriöses Unternehmen aus und bitten Sie, einen QR-Code in ihrer E-Mail zu scannen. Sie geben z. B. an, dass Sie den Code einscannen müssen, weil die Zahlung einer Rechnung nicht erfolgt ist, oder dass Sie Ihr Passwort zurücksetzen müssen.
„Bedrohungsakteure passen sich dem Geschäftsrhythmus an. Sie legen sehr geschickt Köder aus, die in dem Kontext, in dem wir sie normalerweise erhalten, Sinn ergeben.“
Jack Mott – Microsoft Threat Intelligence
Die Grenzen zwischen der privaten und der beruflichen Identität eines Mitarbeiters können manchmal verschwimmen. Ein Mitarbeiter kann seine Arbeits-E-Mails für private Konten verwenden, die er auch für die Arbeit nutzt. Bedrohungsakteure nutzen dies mitunter aus, indem sie sich als eines dieser Programme ausgeben, um Zugriff auf die Unternehmensdaten des Mitarbeiters zu erhalten.
„Bei Betrugsversuchen mit Phishing-E-Mails prüfen Cyberkriminelle ihre ‚Köder‘ auf geschäftliche E-Mail-Adressen. Private Webmail-Adressen sind ihre Zeit nicht wert. Arbeitsadressen sind wertvoller, so dass sie mehr Ressourcen und Aufmerksamkeit darauf verwenden, Angriffe für diese Konten zu entwickeln.“
Jack Mott – Microsoft Threat Intelligence
Der „Langzeitbetrug“
Social-Engineering-Angriffe sind in der Regel nicht schnell. Social Engineers versuchen eher, das Vertrauen ihrer Opfer über längere Zeit mit arbeitsintensiven Techniken aufzubauen, die mit Recherchen beginnen. Der Zyklus für diese Art der Beeinflussung könnte wie folgt aussehen:
- Recherchieren: Engineers identifizieren ein Ziel und sammeln Hintergrundinformationen, wie z. B. mögliche Einstiegspunkte oder Sicherheitsprotokolle.
- Infiltrieren: Die Engineers bemühen sich nun um das Vertrauen der Zielperson. Sie erfinden eine Geschichte, ködern das Ziel und übernehmen die Kontrolle über die Interaktion, um sie in eine Richtung zu lenken, die ihnen nützt.
- Ausbeuten: Social Engineers beschaffen sich im Laufe der Zeit die Informationen der Zielperson. In der Regel gibt diese die Informationen bereitwillig weiter, und die Angreifer können dies zu ihrem Vorteil nutzen, um Zugriff auf noch mehr vertraulichen Informationen zu erhalten.
- Ausklinken: Ein Social Engineer bringt die Interaktion zu einem natürlichen Ende. Ein geschickter Angreifer schafft dies, ohne dass die Zielperson Verdacht schöpft.
BEC-Angriffe zeichnen sich im Bereich der Cyberverbrechen dadurch aus, dass sie auf Social Engineering und die Kunst der Täuschung setzen. Erfolgreiche BEC-Angriffe kosten Organisation jährlich Hunderte Millionen Dollar. 2022 verzeichnete das Internet Crime Complaint Center des Federal Bureau of Investigation (FBI) bei 21.832 eingereichten BEC-Beschwerden einen bereinigten Schaden von mehr als 2,7 Milliarden US-Dollar.4
Die Hauptziele von BEC sind Führungskräfte und andere leitende Angestellte, Finanzmanager und Mitarbeitende der Personalabteilung, die Zugang zu Mitarbeiterdaten wie Sozialversicherungsnummern, Steuererklärungen oder anderen personenbezogenen Daten haben. Neue Mitarbeitende, die unbekannte E-Mail-Anfragen vielleicht nicht so leicht verifizieren können, werden ebenfalls anvisiert.
Fast alle Arten von BEC-Angriffen sind auf dem Vormarsch. Gängige BEC-Angriffsarten umfassen:5
- Direkte E-Mail-Kompromittierung (Direct Email Compromise, DEC): Kompromittierte E-Mail-Konten werden dazu verwendet, interne oder externe Buchhaltungsrollen zu manipulieren, um Gelder auf das Bankkonto des Angreifers zu überweisen oder Zahlungsinformationen für ein bestehendes Konto zu ändern.
- Kompromittierung von Lieferanten-E-Mails (Vendor Email Compromise, VEC): Social Engineering einer bestehenden Lieferantenbeziehung, indem eine zahlungsbezogene E-Mail gekapert wird und sich die Angreifer als Mitarbeiter des Unternehmens ausgeben, um einen Lieferanten davon zu überzeugen, ausstehende Zahlungen auf ein illegales Bankkonto umzuleiten.
- Betrug mit falschen Rechnungen: Ein massenhafter Social-Engineering-Betrug, bei dem bekannte Unternehmensmarken missbraucht werden, um Unternehmen zur Zahlung gefälschter Rechnungen zu bewegen.
- Nachahmung von Rechtsanwälten: Missbrauch von vertrauensvollen Beziehungen zu großen, bekannten Anwaltskanzleien, um die Glaubwürdigkeit bei Führungskräften kleiner Unternehmen und Start-ups zu erhöhen, damit diese ausstehende Rechnungen bezahlen, insbesondere vor wichtigen Ereignissen wie Börsengängen. Die Zahlungen werden auf ein illegales Bankkonto umgeleitet, sobald eine Vereinbarung über die Zahlungsbedingungen getroffen wurde.
Octo Tempest
Octo Tempest ist ein finanziell motiviertes Kollektiv englischsprachiger Bedrohungsakteure, die dafür bekannt sind, weitreichende Kampagnen zu starten, bei denen Adversary-in-the-Middle (AiTM)-Techniken, Social Engineering und SIM-Swapping eine wichtige Rolle spielen.
Octo Tempest ist ein finanziell motiviertes Kollektiv englischsprachiger Bedrohungsakteure, die dafür bekannt sind, weitreichende Kampagnen zu starten, bei denen Adversary-in-the-Middle (AiTM)-Techniken, Social Engineering und SIM-Swapping eine wichtige Rolle spielen.
Diamond Sleet
Im August 2023 infiltrierte Diamond Sleet die Software-Lieferkette des deutschen Softwareanbieters JetBrains, bei der Server für die Erstellung, Prüfung und Bereitstellung von Software kompromittiert wurden. Da Diamond Sleet in der Vergangenheit erfolgreich in Build-Umgebungen eingedrungen ist, geht Microsoft davon aus, dass diese Aktivität ein besonders hohes Risiko für die betroffenen Unternehmen darstellt.
Im August 2023 infiltrierte Diamond Sleet die Software-Lieferkette des deutschen Softwareanbieters JetBrains, bei der Server für die Erstellung, Prüfung und Bereitstellung von Software kompromittiert wurden. Da Diamond Sleet in der Vergangenheit erfolgreich in Build-Umgebungen eingedrungen ist, geht Microsoft davon aus, dass diese Aktivität ein besonders hohes Risiko für die betroffenen Unternehmen darstellt.
Sangria Tempest6
Die Gruppe Sangria Tempest, alias FIN, ist dafür bekannt, gezielt das Gaststättengewerbe anzugreifen, um Zahlungskartendaten zu stehlen. Einer ihrer effektivsten Köder ist der Vorwurf einer Lebensmittelvergiftung, dessen Einzelheiten beim Öffnen eines bösartigen Anhangs eingesehen werden können.
Die Gruppe Sangria Tempest, alias FIN, ist dafür bekannt, gezielt das Gaststättengewerbe anzugreifen, um Zahlungskartendaten zu stehlen. Einer ihrer effektivsten Köder ist der Vorwurf einer Lebensmittelvergiftung, dessen Einzelheiten beim Öffnen eines bösartigen Anhangs eingesehen werden können.
Sangria Tempest ist in erster Linie osteuropäisch und rekrutiert in Untergrundforen englische Muttersprachler, die darin geschult werden, Geschäfte anzurufen, um den E-Mail-Köder zu überbringen. Die Gruppe hat auf diese Weise bereits mehrere Millionen Zahlungskartendaten gestohlen.
Midnight Blizzard
Midnight Blizzard ist ein in Russland ansässiger Bedrohungsakteur, der in erster Linie Regierungen, diplomatische Einrichtungen, Nichtregierungsorganisationen (NGOs) und IT-Dienstleister vor allem in den USA und Europa angreift.
Midnight Blizzard ist ein in Russland ansässiger Bedrohungsakteur, der in erster Linie Regierungen, diplomatische Einrichtungen, Nichtregierungsorganisationen (NGOs) und IT-Dienstleister vor allem in den USA und Europa angreift.
Midnight Blizzard nutzt Teams-Nachrichten, um Köder zu versenden, mit denen Anmeldeinformationen von einer Zielorganisation gestohlen werden sollen, indem ein Benutzer dazu gebracht wird, die Aufforderungen zur Multi-Faktor-Authentifizierung (MFA) zu akzeptieren.
Schon gewusst?
Microsofts Strategie zur Benennung von Bedrohungsakteuren folgt nun einer neuen Taxonomie, die sich an Wetterthemen orientiert.
Microsofts Strategie zur Benennung von Bedrohungsakteuren folgt nun einer neuen Taxonomie, die sich an Wetterthemen orientiert.
Social-Engineering-Angriffe können zwar sehr raffiniert sein, aber Sie können auch einiges dagegen tun.7 Wenn Sie es mit Datenschutz und Sicherheit clever anstellen, können Sie die Angreifer mit ihren eigenen Waffen schlagen.
Weisen Sie zunächst die Benutzer an, ihre persönlichen Konten privat zu halten und sie nicht mit beruflichen E-Mails oder arbeitsbezogenen Aufgaben zu vermischen.
Achten Sie außerdem unbedingt darauf, dass MFA genutzt wird. Social Engineers suchen in der Regel nach Daten wie Anmeldeinformationen. Wenn Sie MFA aktivieren, kann ein Angreifer selbst dann nicht auf Ihre Konten und privaten Daten zugreifen, wenn er Ihren Benutzernamen und Ihr Kennwort erlangt.8
Öffnen Sie keine E-Mails oder Anhänge aus fragwürdigen Quellen. Wenn Ihnen ein Freund einen Link schickt, auf den Sie dringend klicken müssen, vergewissern Sie sich bei Ihrem Freund, ob die Nachricht wirklich von ihm stammt. Halten Sie inne und fragen Sie sich, ob der Absender derjenige ist, der er vorgibt zu sein, bevor Sie etwas anklicken.
Innehalten und nachprüfen
Seien Sie vorsichtig bei Angeboten, die zu schön sind, um wahr zu sein. Sie können kein Gewinnspiel gewinnen, an dem Sie nicht teilgenommen haben, und kein Mitglied eines ausländischen Königshauses wird Ihnen einen großen Geldbetrag hinterlassen. Wenn Ihnen das Angebot zu verlockend erscheint, führen Sie eine kurze Recherche durch, um zu prüfen, ob es legitim oder eine Falle ist.
Geben Sie online nicht zu viel preis. Social Engineers sind darauf angewiesen, dass ihre Zielpersonen ihnen vertrauen. Wenn sie Ihre privaten Daten in Ihren Social Media-Profilen finden, können sie diese dazu nutzen, ihre Betrügereien legitimer erscheinen zu lassen.
Sichern Sie Ihre Computer und Geräte. Verwenden Sie Antiviren-Software, Firewalls und E-Mail-Filter. Für den Fall, dass eine Bedrohung auf Ihr Gerät gelangt, haben Sie einen Schutz für Ihre Daten eingerichtet.
„Wenn Sie einen fragwürdigen Anruf oder eine fragwürdige E-Mail erhalten, lassen Sie es langsam angehen und überprüfen den Sachverhalt. Menschen machen Fehler, wenn sie zu schnell handeln. Es ist also wichtig, Mitarbeitende daran zu erinnern, dass sie in solchen Situationen nicht sofort reagieren müssen.“
Jack Mott – Microsoft Threat Intelligence
Erfahren Sie mehr darüber, wie Sie Ihr Unternehmen schützen können, indem Sie sich das Video Riskantes Vertrauen: Social-Engineering-Bedrohungen und Cyberverteidigung ansehen.
- [2]
Der Inhalt in diesem Abschnitt stammt aus https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, um 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Hinweis: Inhalt stammt aus https://go.microsoft.com/fwlink/?linkid=2263229