Social-Engineering: 7 neue Taktiken, um Sie zu hacken

Social-Engineering-Angriffe sind unter Cyberkriminellen ein Dauerbrenner. Diese neuen Methoden sollten Sie kennen, um sich zu schützen. [...]

Schnappt die Falle zu, gibt es oft kein Entkommen mehr. Diese "neuen" Social-Engineering-Methoden sollten Sie kennen (c) pixabay.com

Die Corona-Pandemie und die damit einhergehenden Gesundheits- und Wirtschaftsängste haben unter Cyberkriminellen einen Social-Engineering-Boom ausgelöst. Sie versuchen mit allen Mitteln, von den Sorgen der Menschen zu profitieren.

Um die Belegschaft in Unternehmen oder Privatpersonen in die Falle zu locken und Zugang zu Systemen oder Daten zu bekommen, bedienen sich kriminelle Hacker inzwischen diverser Methoden, die dabei nicht notwendigerweise das Rad neu erfinden. „Im Grunde handelt es sich um alten Wein in neuen Schläuchen“, meint Perry Carpenter, Security-Evangelist und Chief Strategy Officer beim Sicherheitsanbieter KnowBe4. Die Bedrohung durch Social-Engineering-Attacken sinkt deshalb jedoch nicht – im Gegenteil: Altbekannte Angriffsformen könnten – aufgewertet durch eine neue „Verpackung“ – die Verteidigungsmaßnahmen durchbrechen. Die folgenden sieben Social-Engineering-Methoden sollten Sie für 2021 und darüber hinaus auf dem Zettel haben.

1. Scan-Scam

QR-Codes sind seit dem Ausbruch der Pandemie ein beliebtes Mittel für Unternehmen, um mit ihren Kunden in Kontakt zu treten beziehungsweise Services auszuliefern. Allerdings werden die meisten Webseiten, auf die die maschinenlesbaren Codes verlinken, von Drittanbietern betrieben. So ist es ein Leichtes, per maliziösem QR-Code auf einer nicht minder maliziösen Webseite zu landen – es handelt sich quasi um das alte Konzept, bösartige Links zu versenden. „Nicht wenige Menschen gehen einfach davon aus, dass sowohl der QR-Code als auch die Webseite dahinter ‚echt‘ sind und nicht zu einer Kompromittierung führen“, so Carpenter.

Die „Auslieferungsmethoden“ für diese Social-Engineering-Methode variiert. In Großbritannien sind Fälle bekannt, in denen Flugblätter mit bösartigen QR Codes und dem Hinweis „Scannen Sie den Code, um eine Xbox zu gewinnen“ verteilt wurden. Einmal auf der Seite angekommen, macht sich Malware auf dem Endgerät breit.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

2. Push-Kompromittierung

Push-Nachrichten bereichern seit einigen Jahren viele Webseiten und kommen zum Beispiel zum Zweck der Leserbindung zum Einsatz. Inzwischen sind die Website-Benachrichtigungen aber auch ein beliebtes Social-Engineering-Werkzeug.

„Push-Benachrichtigungen lassen sich hervorragend als Waffen nutzen. Das Problem dabei ist, dass das Gros der Nutzer diese quasi blind zulässt. Zwar wissen viele um die Gefahren bei der Nutzung eines Browsers, aber Push-Nachrichten wirken oft eher wie Meldungen vom System selbst“, argumentiert Security-Evangelist Carpenter.

Selbst User, die nicht blind auf „akzeptieren“ klicken, können zum Opfer von Scammern werden, wenn diese ihre Benachrichtigungen entsprechend tarnen (zum Beispiel als Einwilligung für Abonnements oder CAPTCHAs). Erschleichen sich Cyberkriminelle auf diesem Weg den Consent des Nutzers, wird er anschließend mit Nachrichten bombardiert, die Teil von Phishing-Kampagnen sind oder Malware enthalten.

3. Collaboration-Betrug

Mit Einladungen zu kollaborativen Events nehmen Cyberkriminelle ganz gezielt professionelle Nutzer ins Visier – zum Beispiel Designer, Softwareentwickler oder IT-Profis. Diese Taktik passt besonders gut in die durch die Pandemie getriebene Remote-Work-Ära.

Oz Alashe, CEO des britischen Sicherheitsanbieters CybSafe weiß, wie ein solcher Angriff ablaufen kann: „Die Angreifer versenden zum Beispiel ein Visual-Studio-Projekt, das Schadcode enthält. Führt ein Nutzer dieses Programm aus, ist sein Device im Handumdrehen infiziert. Diese Methode nutzt ganz gezielt das Bedürfnis aus, Kollegen in kreativen Projekten unterstützen zu wollen“.

Dabei können sich solche Angriffe durch besondere „Liebe zum Detail“ auszeichnen, wie Tzury Bar Yochay, CTO des Security-Unternehmens Reblaze, anhand eines Beispiels illustriert: „In einem Fall haben sich die Angreifer als Security Researcher ausgegeben und dabei auch an den ’social proof‘ gedacht: Dazu haben sie einen kompletten Blog mit Artikeln und Gastbeiträgen, Twitter- und LinkedIn-Konten sowie YouTube-Videos gefälscht.“

4. Im Körper des Supply-Chain-Partners

Ein wachsendes Problem sind Social-Engineering-Angriffe, die von unternehmerischen Lieferketten profitieren wollen. Solche Attacken hat die Firma Sumo Logic am eigenen „Leib“ erfahren, wie George Gerchow, CTO beim Enterprise-Software-Spezialisten erzählt: „Es nahm seinen Anfang mit vermeintlichen Angeboten für Geschenkgutscheine, Incentives oder Danksagungen an unsere Mitarbeiter, die angeblich von einem unserer Geschäftspartner stammen sollten. Inzwischen versuchen Cyberkriminelle, langfristig Vertrauensverhältnisse zu unseren Mitarbeitern aufzubauen.“

Mit Hilfe dieser Taktik verfolgen Cyberkriminelle das Ziel, ihre Social-Engineering-Methoden effektiver zu gestalten, um Security-Maßnahmen umgehen zu können oder die Systeme des anvisierten Unternehmens zu kompromittieren. Der schlagzeilenträchtige Hackerangriff auf Solar Winds war ebenfalls eine Supply-Chain-Attacke – eine sogenannte „Vendor E-Mail Compromise Attack“ (VEC).

5. Deepfake-Überraschungen

Deepfakes werden im Social-Engineering-Umfeld immer beliebter, um Opfer dazu zu bringen, Informationen preiszugeben oder zu Handlungen zu verführen, die den Angreifern in die Karten spielen.

Ein „Erfolgsbeispiel“ für diese Methode: 2019 wurde der Mitarbeiter eines britischen Energieversorgers instruiert, 243.000 Dollar auf ein Konto im Ausland zu überweisen. Der Auftrag kam vermeintlich vom CEO des Unternehmens und wurde in Form einer Sprachnachricht übermittelt. Allerdings handelte es sich dabei um einen Deepfake. Bislang ist kein Fall bekannt, in dem Deepfake-Videos zu solchen Zwecken eingesetzt wurden – angesichts der rasant fortschreitenden Entwicklung auf diesem Gebiet dürfte das allerdings nur eine Frage der Zeit sein.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

6. Kriminelle Wortgewalt

Textnachrichten spielen seit jeher eine tragende Rolle bei Social-Engineering-Angriffen, haben aber durch die veränderten Nutzungsgewohnheiten einen zusätzlichen Schub erhalten: „Viele Menschen bevorzugen inzwischen die Kommunikation per Textnachricht. Das hat auch dazu geführt, dass wir heute daran gewöhnt sind, auch vertrauliche Daten auf diesem Weg zu kommunizieren“, meint die Datenschutzexpertin Rebecca Herold.

Die Corona-Krise hat diesen Trend zusätzlich befeuert: Die Lieferung von Lebensmitteln etwa hat diverse Scams per Textnachricht hervorgebracht – und auch Betrugsversuche in Zusammenhang mit Corona-Finanzhilfen, -Tests oder -Impfungen stehen bei Cyberkriminellen weiterhin hoch im Kurs. Beißt ein Opfer an und öffnet die Links in den Nachrichten, breitet sich Malware auf deren Endgeräten aus.

7. Betrügerische Dopplung

Typosquatting und Fake-Domains sind regelmäßig Teil von Business-E-Mail-Compromise-Angriffen. Dabei versuchen Betrüger, legitime Domains nachzubilden, um ihren Opfern eine vertrauenswürdige Umgebung vorzugaukeln. Dazu bedienen sie sich diverser Tricks, etwa indem sie sich bei Usern beliebte Tippfehler (Gooogle statt Google) zunutze machen oder leicht veränderte Domains (.uk statt co.uk) aufsetzen. Inzwischen sehen die Fake-Webseiten nicht nur täuschend echt aus, sondern bieten teilweise auch dieselben Funktionalitäten wie ihre Vorbilder.

Im Regelfall werden solche Seiten nicht mit dem Ziel abgesetzt, darüber Malware zu verbreiten. Stattdessen haben es die Angreifer auf die Eingabe persönlicher Daten – etwa Kreditkartendaten oder Zugangsdaten – abgesehen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*