Social Engineering ist kein neues Phänomen. Doch nie war es aktueller oder gefährlicher. Denn während Firewalls, Virenscanner und Passwortmanager immer besser werden, bleibt der Mensch die größte Schwachstelle. Social Engineering nutzt genau das aus: unsere Psyche. Es geht nicht um technische Exploits, sondern um emotionale Tricks. Und das funktioniert besser denn je.
Social Engineering bezeichnet Methoden, bei denen Angreifer versuchen, Menschen gezielt zu manipulieren – etwa um Zugang zu IT Systemen zu erhalten, Daten zu stehlen oder Geld zu ergaunern. Das kann über Phishing Mails, gefälschte Telefonate (auch bekannt als Voice Phishing) oder persönliche Gespräche (auch bekannt als Vorwandschaffung) geschehen. Die Technik ist oft simpel, aber psychologisch ausgefeilt.
In vielen Fällen ist das Motto der Angreifer: „Dreißtigkeit siegt!“. Und genau so ist es.
Viele Angreifer verschaffen sich Zutritt zu dem Firmengelände nach einem Spaziergang der Mitarbeitenden in der Mittagspause.
Wenn große Menschenmengen zeitgleich ein Gebäude betreten, würde wohl kaum ein Mitarbeitender die Tür hinter sich schließen und erwarten das die Person hinter sich die Tür mit ihrer Schlüsselkarte wieder öffnet.
Die Menschen neigen dazu nicht negativ aufzufallen. So wird in den meisten Fällen nahezu alles und jedem die Tür aufgehalten.
Somit hat ein Angreifer nun im Zweifel kompletten Zugriff auf interne Daten. Nicht gesperrte Computer, Briefe auf dem Schreibtisch, weggeworfene Dokumente, Akten, uvm.
Wenn sich ein „Mitarbeitender“ bereits im Gebäude befindet, besteht ein recht großer Vertrauensfaktor der Person gegenüber.
Eine sehr fiese, aber zudem effektive Methodik ist es sich das wohl „schwächste“ Glied der Kette herauszusuchen. In den meisten Fällen wählen Angreifer daher junge und/oder neue Mitarbeitende, die häufig noch unsicher in ihrem Job sind und sich bloß keine Fehler erlauben wollen.
Daher ist es üblich, dass Angreifer besonders früh am Tag neuen Mitarbeitenden eine E-Mail im Namen des vermeintlichen Vorgesetzten senden. In dieser Nachricht wird der Mitarbeitende dringend aufgefordert, Dokument X, Passwort X oder Gutscheine auf einer gefälschten Website hochzuladen oder dem Angreifer auf anderem Wege zu übermitteln.
Bei vielen Menschen reicht bereits ein scheinbar so banaler Trick im Zweifel aus um an wertvolle Daten oder Geld zu gelangen.
Die wahrscheinlich unhygienischste Variante des Social Engineerings ist das sogenannte Dumpster Diving. Dabei durchsuchen Angreifer Mülltonnen, die ggf. vor dem Firmengelände stehen oder allgemein weggeworfene Informationen/Daten, um an sensible oder hilfreiche Informationen zu gelangen.
Ebenso effektiv kann es für Angreifer sein Altgeräte von Firmen aufzukaufen, um potenziell gelöschte Datein wiederherstellen zu können. Es gab beispielsweise Städte, welche ihre IT-Systeme verkauft haben und anschließend konnten diese Daten über Datenwiederherstellungstools eingesehen werden.
Durch immer neue Angriffsvektoren in der Cyber Sicherheit und erst recht im Social Engineering Bereich ist es eine Grundvoraussetzung seine Mitarbeitenden zu kontinuierlich schulen, durch Live-Hacking zu sensiblisieren und sich zudem regelmäßig Physical Pentests zu unterziehen.
Nur so können Sie die theoretische Schulung mit praktischen Ergebnissen untermauern. Die Theorie erweckt lediglich den Glauben an die Sicherheit. Mithilfe eines Physical Pentests haben Sie handfeste Beweise und können Mitarbeitende dazu bewegen noch aufmerksamer zu sein. Letztlich wird es Angreifern somit schwerer gemacht.