Social-Engineering-Angriffe sind unter Cyberkriminellen ein Dauerbrenner. Diese neuen Methoden sollten Sie kennen, um sich zu schützen. [...]
Die Corona-Pandemie und die damit einhergehenden Gesundheits- und Wirtschaftsängste haben unter Cyberkriminellen einen Social-Engineering-Boom ausgelöst. Sie versuchen mit allen Mitteln, von den Sorgen der Menschen zu profitieren.
Um die Belegschaft in Unternehmen oder Privatpersonen in die Falle zu locken und Zugang zu Systemen oder Daten zu bekommen, bedienen sich kriminelle Hacker inzwischen diverser Methoden, die dabei nicht notwendigerweise das Rad neu erfinden. „Im Grunde handelt es sich um alten Wein in neuen Schläuchen“, meint Perry Carpenter, Security-Evangelist und Chief Strategy Officer beim Sicherheitsanbieter KnowBe4. Die Bedrohung durch Social-Engineering-Attacken sinkt deshalb jedoch nicht – im Gegenteil: Altbekannte Angriffsformen könnten – aufgewertet durch eine neue „Verpackung“ – die Verteidigungsmaßnahmen durchbrechen. Die folgenden sieben Social-Engineering-Methoden sollten Sie für 2021 und darüber hinaus auf dem Zettel haben.
1. Scan-Scam
QR-Codes sind seit dem Ausbruch der Pandemie ein beliebtes Mittel für Unternehmen, um mit ihren Kunden in Kontakt zu treten beziehungsweise Services auszuliefern. Allerdings werden die meisten Webseiten, auf die die maschinenlesbaren Codes verlinken, von Drittanbietern betrieben. So ist es ein Leichtes, per maliziösem QR-Code auf einer nicht minder maliziösen Webseite zu landen – es handelt sich quasi um das alte Konzept, bösartige Links zu versenden. „Nicht wenige Menschen gehen einfach davon aus, dass sowohl der QR-Code als auch die Webseite dahinter ‚echt‘ sind und nicht zu einer Kompromittierung führen“, so Carpenter.
Die „Auslieferungsmethoden“ für diese Social-Engineering-Methode variiert. In Großbritannien sind Fälle bekannt, in denen Flugblätter mit bösartigen QR Codes und dem Hinweis „Scannen Sie den Code, um eine Xbox zu gewinnen“ verteilt wurden. Einmal auf der Seite angekommen, macht sich Malware auf dem Endgerät breit.
2. Push-Kompromittierung
Push-Nachrichten bereichern seit einigen Jahren viele Webseiten und kommen zum Beispiel zum Zweck der Leserbindung zum Einsatz. Inzwischen sind die Website-Benachrichtigungen aber auch ein beliebtes Social-Engineering-Werkzeug.
„Push-Benachrichtigungen lassen sich hervorragend als Waffen nutzen. Das Problem dabei ist, dass das Gros der Nutzer diese quasi blind zulässt. Zwar wissen viele um die Gefahren bei der Nutzung eines Browsers, aber Push-Nachrichten wirken oft eher wie Meldungen vom System selbst“, argumentiert Security-Evangelist Carpenter.
Selbst User, die nicht blind auf „akzeptieren“ klicken, können zum Opfer von Scammern werden, wenn diese ihre Benachrichtigungen entsprechend tarnen (zum Beispiel als Einwilligung für Abonnements oder CAPTCHAs). Erschleichen sich Cyberkriminelle auf diesem Weg den Consent des Nutzers, wird er anschließend mit Nachrichten bombardiert, die Teil von Phishing-Kampagnen sind oder Malware enthalten.
3. Collaboration-Betrug
Mit Einladungen zu kollaborativen Events nehmen Cyberkriminelle ganz gezielt professionelle Nutzer ins Visier – zum Beispiel Designer, Softwareentwickler oder IT-Profis. Diese Taktik passt besonders gut in die durch die Pandemie getriebene Remote-Work-Ära.
Oz Alashe, CEO des britischen Sicherheitsanbieters CybSafe weiß, wie ein solcher Angriff ablaufen kann: „Die Angreifer versenden zum Beispiel ein Visual-Studio-Projekt, das Schadcode enthält. Führt ein Nutzer dieses Programm aus, ist sein Device im Handumdrehen infiziert. Diese Methode nutzt ganz gezielt das Bedürfnis aus, Kollegen in kreativen Projekten unterstützen zu wollen“.
Dabei können sich solche Angriffe durch besondere „Liebe zum Detail“ auszeichnen, wie Tzury Bar Yochay, CTO des Security-Unternehmens Reblaze, anhand eines Beispiels illustriert: „In einem Fall haben sich die Angreifer als Security Researcher ausgegeben und dabei auch an den ’social proof‘ gedacht: Dazu haben sie einen kompletten Blog mit Artikeln und Gastbeiträgen, Twitter- und LinkedIn-Konten sowie YouTube-Videos gefälscht.“
4. Im Körper des Supply-Chain-Partners
Ein wachsendes Problem sind Social-Engineering-Angriffe, die von unternehmerischen Lieferketten profitieren wollen. Solche Attacken hat die Firma Sumo Logic am eigenen „Leib“ erfahren, wie George Gerchow, CTO beim Enterprise-Software-Spezialisten erzählt: „Es nahm seinen Anfang mit vermeintlichen Angeboten für Geschenkgutscheine, Incentives oder Danksagungen an unsere Mitarbeiter, die angeblich von einem unserer Geschäftspartner stammen sollten. Inzwischen versuchen Cyberkriminelle, langfristig Vertrauensverhältnisse zu unseren Mitarbeitern aufzubauen.“
Mit Hilfe dieser Taktik verfolgen Cyberkriminelle das Ziel, ihre Social-Engineering-Methoden effektiver zu gestalten, um Security-Maßnahmen umgehen zu können oder die Systeme des anvisierten Unternehmens zu kompromittieren. Der schlagzeilenträchtige Hackerangriff auf Solar Winds war ebenfalls eine Supply-Chain-Attacke – eine sogenannte „Vendor E-Mail Compromise Attack“ (VEC).
5. Deepfake-Überraschungen
Deepfakes werden im Social-Engineering-Umfeld immer beliebter, um Opfer dazu zu bringen, Informationen preiszugeben oder zu Handlungen zu verführen, die den Angreifern in die Karten spielen.
Ein „Erfolgsbeispiel“ für diese Methode: 2019 wurde der Mitarbeiter eines britischen Energieversorgers instruiert, 243.000 Dollar auf ein Konto im Ausland zu überweisen. Der Auftrag kam vermeintlich vom CEO des Unternehmens und wurde in Form einer Sprachnachricht übermittelt. Allerdings handelte es sich dabei um einen Deepfake. Bislang ist kein Fall bekannt, in dem Deepfake-Videos zu solchen Zwecken eingesetzt wurden – angesichts der rasant fortschreitenden Entwicklung auf diesem Gebiet dürfte das allerdings nur eine Frage der Zeit sein.
6. Kriminelle Wortgewalt
Textnachrichten spielen seit jeher eine tragende Rolle bei Social-Engineering-Angriffen, haben aber durch die veränderten Nutzungsgewohnheiten einen zusätzlichen Schub erhalten: „Viele Menschen bevorzugen inzwischen die Kommunikation per Textnachricht. Das hat auch dazu geführt, dass wir heute daran gewöhnt sind, auch vertrauliche Daten auf diesem Weg zu kommunizieren“, meint die Datenschutzexpertin Rebecca Herold.
Die Corona-Krise hat diesen Trend zusätzlich befeuert: Die Lieferung von Lebensmitteln etwa hat diverse Scams per Textnachricht hervorgebracht – und auch Betrugsversuche in Zusammenhang mit Corona-Finanzhilfen, -Tests oder -Impfungen stehen bei Cyberkriminellen weiterhin hoch im Kurs. Beißt ein Opfer an und öffnet die Links in den Nachrichten, breitet sich Malware auf deren Endgeräten aus.
7. Betrügerische Dopplung
Typosquatting und Fake-Domains sind regelmäßig Teil von Business-E-Mail-Compromise-Angriffen. Dabei versuchen Betrüger, legitime Domains nachzubilden, um ihren Opfern eine vertrauenswürdige Umgebung vorzugaukeln. Dazu bedienen sie sich diverser Tricks, etwa indem sie sich bei Usern beliebte Tippfehler (Gooogle statt Google) zunutze machen oder leicht veränderte Domains (.uk statt co.uk) aufsetzen. Inzwischen sehen die Fake-Webseiten nicht nur täuschend echt aus, sondern bieten teilweise auch dieselben Funktionalitäten wie ihre Vorbilder.
Im Regelfall werden solche Seiten nicht mit dem Ziel abgesetzt, darüber Malware zu verbreiten. Stattdessen haben es die Angreifer auf die Eingabe persönlicher Daten – etwa Kreditkartendaten oder Zugangsdaten – abgesehen. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
Be the first to comment