Was ist Social Hacking und wie kann man es vereiteln?

Wichtige Punkte:

• Beim Social Hacking werden unsere menschlichen Schwächen ausgenutzt, wobei eine Vielzahl von Techniken wie Phishing, Scareware und Pretexting zum Einsatz kommen.
• Technologien wie Web Application Firewalls und fortschrittliche Filter sind in der Lage, die meisten Social-Hacking-Versuche zu stoppen, bevor sie überhaupt den Weg in die E-Mail-Postfächer der Benutzer finden.
• Eines der wichtigsten Instrumente zur Verhinderung erfolgreicher Social-Engineering-Angriffe ist die Sensibilisierung für jene bösartigen E-Mails, die durchkommen.

Der Vorstandsvorsitzende Ihres Unternehmens schickt Ihnen eine E-Mail mit der Bitte, einen hohen Geldbetrag zu überweisen. Dies ist eine ungewöhnliche Bitte, da Sie nur selten oder gar nicht mit dem CEO zu tun haben. Aber Sie arbeiten in der Finanzabteilung, die E-Mail stammt von der E-Mail-Adresse des Vorstandsvorsitzenden, und es wird eine vertraute E-Mail-Vorlage des Unternehmens verwendet. Außerdem wird darin erklärt, dass das Geld für die Fachmesse bestimmt ist, auf der der CEO diese Woche eine Rede hält. Es sieht echt aus. Eine Nichtbeantwortung, Verzögerung oder Infragestellung des CEO würde Sie schlecht aussehen lassen und könnte Ihre Entlassung zur Folge haben. Also kommen Sie der Aufforderung nach.

Leider wurdest du gehackt.

Oder, genauer gesagt, Sie sind Opfer von Social Hacking geworden - einer Form des Angriffs, bei der häufig Technologien eingesetzt werden, um unsere menschlichen Schwächen auszunutzen.

Unterschiede zwischen Social Hacking und Social Engineering

Social Hacking ist eine Form des Social Engineering. Während beim Social Hacking häufig Technologie zum Einsatz kommt und in der Regel darauf abzielt, in technische Systeme einzudringen, ist Social Engineering der allgemeine Begriff für den Prozess der Täuschung zur Manipulation von Menschen.

Social Engineering gibt es schon so lange, wie es Menschen gibt. Heute geht es dabei oft um soziale Medien und E-Mail, aber einer der frühesten Social-Engineering-Betrügereien betraf ein trojanisches Pferd - den ursprünglichen bösartigen Trojaner. Während des Trojanischen Krieges verschafften sich die Griechen Zugang zu Troja, indem sie sich in einem riesigen ausgehöhlten Holzpferd versteckten und die Trojaner davon überzeugten, dass das Pferd ein Opfer für ihre Kriegsgöttin Athene sei. Die Trojaner ließen das mit griechischen Soldaten gefüllte Pferd durch das Tor, und der Rest ist Geschichte. ^[1]

Wie funktioniert Social Hacking?

Social Hacks - oder Social-Engineering-Angriffe - können viele Formen annehmen. Im Allgemeinen geht es beim Social Hacking in der heutigen digitalen Welt darum, unsere menschlichen Schwächen zu erkennen und sie auszunutzen, um Zugang zu wertvollen Gütern (z. B. zu personenbezogenen Daten) zu erhalten oder eine Art von Schadcode einzuschleusen.

Die E-Mail-Geschichte des CEO, mit der dieser Artikel eingeleitet wurde, ist ein klassisches Beispiel für einen Social Hack - in diesem Fall mittels "Spear Phishing" (siehe unten). Ein Angreifer erstellte eine authentisch aussehende Nachricht und schickte sie an eine Person im Zielunternehmen, die in der Abteilung arbeitet, die am ehesten eine E-Mail über die Verwaltung des Budgets erhält (Informationen, die der Angreifer von der Unternehmenswebsite oder dem LinkedIn-Konto des Opfers erhalten haben könnte). In den sozialen Medien oder auf der Unternehmenswebsite könnte die Anwesenheit des Geschäftsführers auf einer Messe beworben worden sein, was dem Angreifer zeitnahe und spezifische Details geliefert haben könnte, um den E-Mail-Empfänger weiter von der Gültigkeit der Nachricht zu überzeugen. Der Angreifer nutzte auch den Wunsch des typischen Mitarbeiters aus, einer Bitte von jemandem mit Autorität im Unternehmen nachzukommen (und die Angst vor Repressalien, wenn sie nicht erfüllt wird).

Social Engineering Hacking-Techniken und Beispiele

Hier sind einige der gängigsten Techniken und Beispiele für Social Hacks.

• Phishing: Bei Phishing-Betrügereien handelt es sich um soziale Hacks, die meist per E-Mail erfolgen und das Opfer dazu bringen, sensible Daten preiszugeben oder auf einen bösartigen Link zu klicken. Es gibt mehrere Unterkategorien von Phishing, darunter Spear-Phishing, bei dem der Angreifer die Identität einer vertrauenswürdigen Person annimmt, und Whaling, bei dem ein hochrangiges Ziel, z. B. ein Firmenchef, ins Visier genommen wird.
• Baiting: Baiting-Angriffe locken Opfer mit dem Versprechen auf eine Gegenleistung, wie z. B. kostenlose Musik oder einen Geschenkgutschein, dazu, sensible Informationen preiszugeben oder auf bösartige Links zu klicken.
• Scareware: Bei diesem Social-Engineering-Hack werden die Opfer mit fiktiven Bedrohungen getäuscht. Die Angreifer können ihre Opfer zum Beispiel manipulieren, indem sie sie über ein Popup-Fenster warnen, dass ihr System mit Malware infiziert ist, und sie auffordern, Software zu installieren oder eine Website zu besuchen, die ihr Gerät schließlich infiziert.
• Pretexting: Eng verbunden mit Phishing ist Pretexting ein Social-Engineering-Hack, bei dem ein Angreifer durch eine Reihe von Lügen und Nachahmungen Informationen erlangt. So kann sich ein Angreifer beispielsweise als Führungskraft eines Unternehmens oder als Beamter einer Strafverfolgungsbehörde ausgeben, um Zugang zu Finanzkonten und persönlichen Daten zu erhalten.
• Watering Hole: Bei einem Watering Hole Social Hack zielen Angreifer auf Websites ab, von denen bekannt ist (oder angenommen wird), dass sie von bestimmten Benutzergruppen besucht werden. Die Angreifer injizieren bösartigen Code in die Website mit dem Ziel, die Computer der Zielnutzer zu infizieren, um Zugang zu deren Arbeitsplatznetzwerken zu erhalten.

Verhinderung von Social Hacking

Es gibt verschiedene Möglichkeiten, Social-Hacking-Versuche zu verhindern. Um Social Hacks zu verhindern, sollten Einzelpersonen:

• Behandeln Sie unaufgeforderte Nachrichten und Anrufe mit Vorsicht, insbesondere solche, in denen Sie um persönliche und geschäftsspezifische Informationen gebeten werden.
• Überprüfen Sie die Echtheit verdächtiger E-Mails und Anrufe, indem Sie sich direkt (und separat) mit dem Unternehmen in Verbindung setzen, von dem die Mitteilung angeblich stammt.
• Überprüfen Sie die Sicherheit einer Webseite, bevor Sie persönliche Daten eingeben.

IT-Sicherheitsteams in Unternehmen sollten folgende Maßnahmen ergreifen, um sich vor Social Hacks zu schützen:

• Schulung des Sicherheitsbewusstseins der Mitarbeiter.
• Setzen Sie E-Mail-Filter ein, um Betrug und gefälschte Nachrichten zu erkennen - bevor sie in den Posteingängen der Mitarbeiter landen.
• Implementieren Sie eine Netzwerksegmentierung sowie eine mehrstufige Authentifizierung, um den potenziellen Schaden zu begrenzen, wenn ein Angreifer in Ihr Netzwerk eindringt.
• Installation und Wartung von Antiviren-Software und Firewalls.
• Halten Sie die gesamte Software auf dem neuesten Stand.

Schutz für Ihre Organisation

Die meisten Social Hacking-Versuche erfolgen heute per E-Mail. Im Gegenzug glauben sieben von zehn Sicherheitsexperten, dass das Verhalten von Mitarbeitern, wie z. B. unbeabsichtigte Datenlecks, ihre Unternehmen gefährdet, so der Bericht von Mimecast 2021 State of Email Security . Darüber hinaus kann nur einer von vier mit Sicherheit sagen, dass sein Unternehmen nicht von einem Angriff betroffen war, der von einem kompromittierten Benutzer auf andere Mitarbeiter übertragen wurde.

Der Bericht stellt auch fest, dass die durch die Pandemie ausgelöste Zunahme der digitalen Aktivitäten Cyberkriminellen zahlreiche neue Möglichkeiten für Social-Engineering-Angriffe bietet. So hat das Mimecast Threat Center im Jahr 2020 einen Anstieg des Bedrohungsvolumens um 64 % im Vergleich zu 2019 festgestellt.

Es gibt nicht die eine Lösung, um diese Flut von Social-Engineering-Angriffen erfolgreich zu verhindern. Vielmehr ist die beste Verteidigung eine Strategie, die auf Cyber-Resilienz aufbaut: eine Kombination aus Prävention, Benutzerschulung und effizienten Reaktionen.

Unternehmen wie Mimecast bieten eine Vielzahl von E-Mail-Sicherheits-Tools zur Bekämpfung von Social Engineering Hackerangriffen an, darunter Web-E-Mail-Gateways, fortschrittliche Filter und umfangreiche Bedrohungsdatenbanken, die auf jahrelanger Erfahrung bei der Unterstützung von Unternehmen im Kampf gegen Cyberbedrohungen basieren. Mimecast bietet auch Schulungen für Endbenutzer an, um Social Engineering zu erkennen und zu melden.

Die Quintessenz

Social-Engineering-Angriffe verleiten Mitarbeiter dazu, ihr Unternehmen dem Diebstahl von Geldern, Datenverletzungen und anderen Risiken auszusetzen. Ihr Unternehmen kann seine Gefährdung verringern, indem es grundlegende bewährte Verfahren der Cybersicherheit befolgt und das Wissen seiner Mitarbeiter durch Schulungen zum Thema Sicherheit erhöht.

^[1] Trojanisches Pferd , Brittanica