Foto: Patila - shutterstock.com
Die Corona-Pandemie und die damit einhergehenden Gesundheits- und Wirtschaftsängste haben unter Cyberkriminellen einen Social-Engineering-Boom ausgelöst. Sie versuchen mit allen Mitteln, von den Sorgen der Menschen zu profitieren.
Um die Belegschaft in Unternehmen oder Privatpersonen in die Falle zu locken und Zugang zu Systemen oder Daten zu bekommen, bedienen sich kriminelle Hacker inzwischen diverser Methoden, die dabei nicht notwendigerweise das Rad neu erfinden. "Im Grunde handelt es sich um alten Wein in neuen Schläuchen", meint Perry Carpenter, Security-Evangelist und Chief Strategy Officer beim Sicherheitsanbieter KnowBe4. Die Bedrohung durch Social-Engineering-Attacken sinkt deshalb jedoch nicht - im Gegenteil: Altbekannte Angriffsformen könnten - aufgewertet durch eine neue "Verpackung" - die Verteidigungsmaßnahmen durchbrechen. Die folgenden sieben Social-Engineering-Methoden sollten Sie für 2021 und darüber hinaus auf dem Zettel haben.
1. Scan-Scam
QR-Codes sind seit dem Ausbruch der Pandemie ein beliebtes Mittel für Unternehmen, um mit ihren Kunden in Kontakt zu treten beziehungsweise Services auszuliefern. Allerdings werden die meisten Webseiten, auf die die maschinenlesbaren Codes verlinken, von Drittanbietern betrieben. So ist es ein Leichtes, per maliziösem QR-Code auf einer nicht minder maliziösen Webseite zu landen - es handelt sich quasi um das alte Konzept, bösartige Links zu versenden. "Nicht wenige Menschen gehen einfach davon aus, dass sowohl der QR-Code als auch die Webseite dahinter 'echt' sind und nicht zu einer Kompromittierung führen", so Carpenter.
Die "Auslieferungsmethoden" für diese Social-Engineering-Methode variiert. In Großbritannien sind Fälle bekannt, in denen Flugblätter mit bösartigen QR Codes und dem Hinweis "Scannen Sie den Code, um eine Xbox zu gewinnen" verteilt wurden. Einmal auf der Seite angekommen, macht sich Malware auf dem Endgerät breit.
2. Push-Kompromittierung
Push-Nachrichten bereichern seit einigen Jahren viele Webseiten und kommen zum Beispiel zum Zweck der Leserbindung zum Einsatz. Inzwischen sind die Website-Benachrichtigungen aber auch ein beliebtes Social-Engineering-Werkzeug.
"Push-Benachrichtigungen lassen sich hervorragend als Waffen nutzen. Das Problem dabei ist, dass das Gros der Nutzer diese quasi blind zulässt. Zwar wissen viele um die Gefahren bei der Nutzung eines Browsers, aber Push-Nachrichten wirken oft eher wie Meldungen vom System selbst", argumentiert Security-Evangelist Carpenter.
Selbst User, die nicht blind auf "akzeptieren" klicken, können zum Opfer von Scammern werden, wenn diese ihre Benachrichtigungen entsprechend tarnen (zum Beispiel als Einwilligung für Abonnements oder CAPTCHAs). Erschleichen sich Cyberkriminelle auf diesem Weg den Consent des Nutzers, wird er anschließend mit Nachrichten bombardiert, die Teil von Phishing-Kampagnen sind oder Malware enthalten.
3. Collaboration-Betrug
Mit Einladungen zu kollaborativen Events nehmen Cyberkriminelle ganz gezielt professionelle Nutzer ins Visier - zum Beispiel Designer, Softwareentwickler oder IT-Profis. Diese Taktik passt besonders gut in die durch die Pandemie getriebene Remote-Work-Ära.
Oz Alashe, CEO des britischen Sicherheitsanbieters CybSafe weiß, wie ein solcher Angriff ablaufen kann: "Die Angreifer versenden zum Beispiel ein Visual-Studio-Projekt, das Schadcode enthält. Führt ein Nutzer dieses Programm aus, ist sein Device im Handumdrehen infiziert. Diese Methode nutzt ganz gezielt das Bedürfnis aus, Kollegen in kreativen Projekten unterstützen zu wollen".
Dabei können sich solche Angriffe durch besondere "Liebe zum Detail" auszeichnen, wie Tzury Bar Yochay, CTO des Security-Unternehmens Reblaze, anhand eines Beispiels illustriert: "In einem Fall haben sich die Angreifer als Security Researcher ausgegeben und dabei auch an den 'social proof' gedacht: Dazu haben sie einen kompletten Blog mit Artikeln und Gastbeiträgen, Twitter- und LinkedIn-Konten sowie YouTube-Videos gefälscht."
- Augen auf im Web
Social Engineering stellt auch IT-Profis vor Herausforderungen. Die Methoden der Angreifer sind hinlänglich bekannt - um sich zu schützen gilt aber vor allem: Augen offen halten. Wir sagen Ihnen, welche Anzeichen dafür sprechen, dass Sie bereits von Social Engineering betroffen sind. - .ru ist doch sicher, oder?
Eventuell. Allerdings impliziert eine URL die mit .ru endet, bereits eine gewisse Fragwürdigkeit. Deshalb sollten Sie eingehende Links, die nicht auf den ersten Blick als unbedenklich verifizierbar sind, in jedem Fall überprüfen. Dazu empfehlen sich zahlreiche, kostenlose Online-Tools - zum Beispiel URLVoid. Misstrauisch sollten Sie auch bei Shortlinks sein, hinter denen sich eventuell schädliche Webseiten verstecken könnten. - Wenn Ortographie zum Albtraum wird
Zeichnet sich eine E-Mail bereits im Betreff durch hanebüchene Rechtschreib-Verbrechen aus, sollten die Social-Engineering-Alarmglocken schrillen. - Eine vertrauenswürdige Quelle
Erhalten Sie Nachrichten oder E-Mails von einer auf den ersten Blick vertrauenwürdigen Quelle - zum Beispiel von Kollegen mit einer firmeninternen Adresse -, dann schauen Sie lieber noch einmal ganz genau hin. Um auf Nummer sicher zu gehen, verzichten Sie auf den Antwort-Button und antworten Sie dem Absender einfach mit einer neuen E-Mail. - Quellensuche Teil 2
Ein weiterer Hinweis auf Social-Engineering-"Befall": Ihr Name taucht weder in der Empfänger-Zeile noch im CC-Verzeichnis auf. Auch wenn viele - oder alle - Kollegen im Empfänger-Verzeichnis stehen, sollten Sie ganz genau hinsehen. - Persönliche Daten ...
... per E-Mail anzufragen, ist eine Masche von Cyberkriminellen und Hackern. Kein seriöses Unternehmen wird Sie per E-Mail auffordern, Ihre Bankverbindung, Kreditkarten- oder Adressdaten mitzuteilen. Wer auf eine solche Nachricht antwortet, kann sich darauf einstellen, zum nächsten Social-Engineering-Opfer zu werden. - Passwortwechsel leicht gemacht
Einige Hacker sind dazu übergegangen, E-Mails mit gefälschten Password-Request-Links zu versenden. Diese Mails zeichnen sich in erster Linie dadurch aus, dass sie auf den ersten Blick täuschend echt aussehen. Wenn Sie zu einem Passwort-Wechsel per Link aufgefordert werden und sich nicht sicher sind, ob es sich um eine Fälschung handelt, besuchen Sie einfach die Seite des betreffenden Portals, loggen sich ein und ändern das Passwort direkt in Ihrem Account. - Das große Geld
Sie wurden zufällig ausgewählt, einen Millionengewinn zu erhalten und alles was zum monetären Glück noch fehlt, ist ein Klick auf den Link in der E-Mail? Dann ist die Wahrscheinlichkeit, dass Sie gerade im Visier von Social-Engineering-Profis sind, extrem hoch. Auch Aufforderungen zu Geldspenden, "Hilferufe" vermeintlicher Bekannter und ähnliche Sachverhalte die Ihnen per E-Mail zugetragen werden, sind in aller Regel das Werk von Cyberkriminellen.
4. Im Körper des Supply-Chain-Partners
Ein wachsendes Problem sind Social-Engineering-Angriffe, die von unternehmerischen Lieferketten profitieren wollen. Solche Attacken hat die Firma Sumo Logic am eigenen "Leib" erfahren, wie George Gerchow, CTO beim Enterprise-Software-Spezialisten erzählt: "Es nahm seinen Anfang mit vermeintlichen Angeboten für Geschenkgutscheine, Incentives oder Danksagungen an unsere Mitarbeiter, die angeblich von einem unserer Geschäftspartner stammen sollten. Inzwischen versuchen Cyberkriminelle, langfristig Vertrauensverhältnisse zu unseren Mitarbeitern aufzubauen."
Mit Hilfe dieser Taktik verfolgen Cyberkriminelle das Ziel, ihre Social-Engineering-Methoden effektiver zu gestalten, um Security-Maßnahmen umgehen zu können oder die Systeme des anvisierten Unternehmens zu kompromittieren. Der schlagzeilenträchtige Hackerangriff auf Solar Winds war ebenfalls eine Supply-Chain-Attacke - eine sogenannte "Vendor E-Mail Compromise Attack" (VEC).
5. Deepfake-Überraschungen
Deepfakes werden im Social-Engineering-Umfeld immer beliebter, um Opfer dazu zu bringen, Informationen preiszugeben oder zu Handlungen zu verführen, die den Angreifern in die Karten spielen.
Ein "Erfolgsbeispiel" für diese Methode: 2019 wurde der Mitarbeiter eines britischen Energieversorgers instruiert, 243.000 Dollar auf ein Konto im Ausland zu überweisen. Der Auftrag kam vermeintlich vom CEO des Unternehmens und wurde in Form einer Sprachnachricht übermittelt. Allerdings handelte es sich dabei um einen Deepfake. Bislang ist kein Fall bekannt, in dem Deepfake-Videos zu solchen Zwecken eingesetzt wurden - angesichts der rasant fortschreitenden Entwicklung auf diesem Gebiet dürfte das allerdings nur eine Frage der Zeit sein.
6. Kriminelle Wortgewalt
Textnachrichten spielen seit jeher eine tragende Rolle bei Social-Engineering-Angriffen, haben aber durch die veränderten Nutzungsgewohnheiten einen zusätzlichen Schub erhalten: "Viele Menschen bevorzugen inzwischen die Kommunikation per Textnachricht. Das hat auch dazu geführt, dass wir heute daran gewöhnt sind, auch vertrauliche Daten auf diesem Weg zu kommunizieren", meint die Datenschutzexpertin Rebecca Herold.
Die Corona-Krise hat diesen Trend zusätzlich befeuert: Die Lieferung von Lebensmitteln etwa hat diverse Scams per Textnachricht hervorgebracht - und auch Betrugsversuche in Zusammenhang mit Corona-Finanzhilfen, -Tests oder -Impfungen stehen bei Cyberkriminellen weiterhin hoch im Kurs. Beißt ein Opfer an und öffnet die Links in den Nachrichten, breitet sich Malware auf deren Endgeräten aus.
7. Betrügerische Dopplung
Typosquatting und Fake-Domains sind regelmäßig Teil von Business-E-Mail-Compromise-Angriffen. Dabei versuchen Betrüger, legitime Domains nachzubilden, um ihren Opfern eine vertrauenswürdige Umgebung vorzugaukeln. Dazu bedienen sie sich diverser Tricks, etwa indem sie sich bei Usern beliebte Tippfehler (Gooogle statt Google) zunutze machen oder leicht veränderte Domains (.uk statt co.uk) aufsetzen. Inzwischen sehen die Fake-Webseiten nicht nur täuschend echt aus, sondern bieten teilweise auch dieselben Funktionalitäten wie ihre Vorbilder.
Im Regelfall werden solche Seiten nicht mit dem Ziel abgesetzt, darüber Malware zu verbreiten. Stattdessen haben es die Angreifer auf die Eingabe persönlicher Daten - etwa Kreditkartendaten oder Zugangsdaten - abgesehen. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.