Mit Social-Engineering-Angriffen versuchen Angreifer, ihre Opfer psychologisch so zu manipulieren, dass sie Sicherheitsfehler begehen oder sensible Informationen preisgeben. Vor allem Mitarbeiter von Unternehmen können Opfer solcher Angriffe werden. KI wird diese Angriffe noch gefährlicher machen. [...]
Bei den herkömmlichen Social-Engineering-Angriffe durchleuchtet ein Angreifer sein zukünftiges Opfer, um notwendige Hintergrundinformationen zu sammeln. Dazu gehören beispielsweise mögliche Einfallstore und schwache Sicherheitsprotokolle, die für einen Angriff notwendig sind. Anschließend versucht der Betrüger, das Vertrauen des Opfers zu gewinnen und Anreize zu schaffen. So könnte das Opfer z. B. vertrauliche Informationen verraten oder dem Täter wichtige Informationen zugänglich machen. Ross King, Leiter der Abteilung Data Science und Artificial Intelligence am Austrian Institute of Technology, warnt davor, dass Social Engineering durch KI noch gefährlicher werden könnte.
Das ist deshalb so gefährlich, weil menschliches Versagen nicht so leicht zu beheben ist wie Schwachstellen in Software und Betriebssystemen. Es ist viel schwieriger zu erkennen und zu bekämpfen als Malware. Hinzu kommt, dass es nicht nur eine Technik gibt, mit der Angreifer versuchen, ihre Opfer zu manipulieren, da menschliche Interaktionen sehr vielfältig sind.
Die vier häufigsten Angriffstechniken des Social Engineering
Überall dort, wo menschliche Interaktionen stattfinden, können Social Engineering-Angriffstechniken angewendet werden. Hier sind die fünf gängigsten Arten von digitalen Social Engineering-Angriffen, die auch künftig eine entscheidende Rolle spielen werden:
- Ködern: Die Betrüger schalten z. B. verlockende Anzeigen, die auf bösartige Webseiten führen. Sie könnten den auch Benutzer auffordern, mit Malware infizierte Anwendungen herunterzuladen. Der Köder kann aber auch z. B. ein infizierter USB-Stick sein.
- Scareware: In diesem Fall gaukelt der Angreifer dem Opfer vor, dass sein System mit Malware infiziert ist. Dies verleitet ihn dazu, Software zu installieren, bei der es sich selbst um Malware handelt. Scareware wird auch als Täuschungssoftware, Rogue Scanner Software oder Fraudware bezeichnet und wird häufig über Spam-E-Mails und Pop-ups verbreitet.
- Vortäuschung falscher Tatsachen: Hierbei gibt sich der Betrüger als Autoritätsperson (z. B. Chef, Polizist, Steuerbeamter etc.) aus, um Vertrauen zu seinem Opfer aufzubauen. Auf diese Weise gelangt er an vertrauliche Informationen wie Sozialversicherungsnummern oder Bankdaten.
- Phishing: Beim Phishing versuchen Betrüger, bei ihren Opfern bestimmte Gefühl wie Dringlichkeit, Neugier oder Angst zu erzeugen. Sie schicken ihnen beispielsweise E-Mails, in denen sie darauf hinweisen, dass sie beispielsweise gegen die Richtlinien eines Online-Dienstes verstoßen hätten. Die E-Mails enthalten jedoch einen Link zu einer mit Schadsoftware infizierten Website.
Diese Spezialisierungen zielen auch darauf ab, die Gutgläubigkeit ihrer Opfer auszunutzen. Aber auch Stress ist ein Faktor, der beim Social Engineering oft eine wichtige Rolle spielt. Vor allem gezielte Phishing-Angriffe sind jedoch oft nur mit einigem Aufwand zu realisieren. Die Weiterentwicklung der KI wird dies jedoch ändern und das Social Engineering auf eine neue Stufe heben.
Das neue Social Engineering – oder wie KI zukünftig Menschen manipuliert
Es ist mittlerweile üblich, dass Angreifer Sprachmuster verwenden, um E-Mails im Stil eines Vorgesetzten an Mitarbeiter zu versenden, damit sie ihnen Geld überweisen. Doch das ist längst nicht alles. Das deutsche Bundesamt für Sicherheit in der Informationstechnik geht in seinem aktuellen Bericht davon aus, dass es mit Hilfe generativer KI möglich sein wird, Informationen (z. B. aus sozialen Medien) so zu nutzen und zu manipulieren, dass die KI die menschliche Stimme oder sogar das Aussehen des Chefs imitieren kann. So wird KI dem Social Engineering zusätzliche Glaubwürdigkeit verleihen.
Im letzten Schritt wird das Social Engineering quasi automatisiert. KI erkennt erfolgreiche Angriffe und verbreitet ähnliche Angriffe ohne menschliche Interaktion. Die Zahl der Social-Engineering-Angriffe wird dadurch weiter zunehmen, ohne dass die böswilligen Angreifer viel manuell dazu beitragen müssen.
Letztendlich wird der Faktor „Mensch“ bei Cyber-Angriffen auf Unternehmen immer bedeutsamer. Daher ist es ratsam, dass die Mitarbeiterinnen und Mitarbeiter wissen, wie sie sich gegen Manipulationen von außen wehren können.
Wie können sich Unternehmen und Mitarbeiter schützen?
Um sich vor Täuschungen zu schützen und nicht Opfer von Social Engineering zu werden, sollten Angestellte einige grundlegende Verhaltensregeln befolgen. Eine entscheidende Richtlinie besteht darin, E-Mails stets mit äußerster Vorsicht zu behandeln, insbesondere wenn sie Unbehagen auslösen und ihre Herkunft nicht eindeutig ist. Anhänge in solchen E-Mails zu öffnen, sollten Mitarbeiter unterlassen. Es ist ratsam, die Nachricht erst mit verschiedenen Quellen abzugleichen, bevor sie geöffnet wird. Darüber hinaus ist es unerlässlich, die Antivirensoftware regelmäßig auf den neuesten Stand zu bringen.
Unternehmen sollten zudem stets eine Multi-Faktor-Authentifizierung implementieren. Auf diese Weise bleiben die Konten geschützt, selbst wenn das System kompromittiert wurde. Dennoch stellt die kontinuierliche und umfassende Schulung der Mitarbeiterinnen und Mitarbeiter die wohl wichtigste Maßnahme dar, um sich gegen Social Engineering zu verteidigen. Dadurch wird gewährleistet, dass sie auch für technologische Fortschritte wie künstliche Intelligenz sensibilisiert werden. Letztlich befähigt dies sie, Betrugsversuche zu erkennen und zu wissen, wie sie reagieren sollten, wenn diese auftreten. Nur so gelingt es der KI nicht die Menschen zu manipulieren.
*Der Autor Stephan Dykgers ist AVP DACH bei Imperva.
Be the first to comment