Phishing #7: Social Engineering
- Lesezeit:
- 5 min
Phishing und Social Engineering
Damit Phishing funktioniert, setzen die Angreifer viel auf „Social Engineering“. Unter Social Engineering versteht man Strategien, Menschen so zu beeinflussen, dass Sie ein bestimmtes Verhalten zeigen. Beim E-Mail-Phishing lässt der Angreifer z.B. die Phishing-Mail nach einer authentischen E-Mail aussehen und formuliert sie häufig mit einer gewissen Dringlichkeit, z.B. mit der Information, ein Konto oder ein Account werde bald gesperrt, was sich nur durch das Aufrufen eines bereitgestellten Links verhindern lässt. So soll erreicht werden, dass das Opfer auf den entsprechenden Link klickt, wo zum Beispiel ein Passwort eingeben werden soll.
Social Engineering ist jedoch nicht auf digitale Angriffe beschränkt. Beispiele von Social Engineering in der analogen Welt, sind „Tailgaiting“ und „USB-Phishing“. Im diesem Blogartikel werden wir uns mit diesen Beispielen von Social Engineering beschäftigen und wie Sie sich davor schützen können.
Tailgating
Es ist nicht ungewöhnlich, jemandem, der gerade hinter einem steht, die Tür aufzuhalten. Innerhalb eines Unternehmens kann dies jedoch gefährlich sein. Angreifer schleichen sich in Gebäude ein, indem sie vorgeben, mit jemanden einen Termin zu haben, etwas anliefern zu wollen oder die Tür nicht selbst öffnen zu können, z.B. weil sie den Zugangsausweis vergessen haben. Diese Methode bezeichnet man im Sicherheitskontext als “Tailgating”.
Auf diese Weise gelangen die Angreifer in das Gebäude und können dort auf verschiedene Weise Schaden anrichten. Sie können Informationen stehlen, manipulieren oder platzieren. Manchmal gelingt es ihnen, mit den gleichen oder ähnlichen Taktiken weiter vorzudringen, im schlimmsten Fall bis in Räume mit sensiblen Informationen.
Das Wort “Tailgate” bezeichnet ursprünglich die Heckklappe am PKW und “Tailgating” kommt eigentlich vom zu dichtem Auffahren im Straßenverkehr (man fährt eben “bis an die Heckklappe”). Es wurde dann in den Sicherheitskontext importiert, weil man bei dieser Art von Tailgating, eben jemanden ebenfalls, “zu dicht auffährt”.
Unter Tailgating versteht man übrigens auch eine Art von Party, welche in Nordamerika vor großen Sportveranstaltungen auf den entsprechenden Parkplätzen stattfindet. Diese Art von Partys werden so genannt, weil man sich hinter den PKW versammelt, die Heckklappen (also die Tailgates) offen stehen und man sich direkt aus den Heckklappen mit Getränken und Grillgut versorgen kann. Dieses eher gesellige Event hat aber nichts mit dem gleichnamigen Angriff zu tun.
Piggybacking vs Tailgating
Piggybacking hat an sich nichts mit Phishing oder Social Engineering zu tun. Dieser Angriff ist dem Tailgating aber so ähnlich, dass die Begriffe oft verwechselt oder sogar synonym verwendet werden und wir ihn desshalb hier erwähnen wollen.
Anders als beim Tailgating wird beim Piggybacking der Angreifer direkt von einer authentifizierten Person, die mit dem Angreifer unter einer Decke steckt mit Absicht hereingelassen. Der Angriff selber basiert also nicht direkt auf Social Engineering. Nichts destoweniger ist es wichtig, den Unterschied zu betonen: Beim greift der Angreifer auf Wissen innerhalb des Unternehmens zurück! Tailgating kommt ohne unternehmensinternes Wissen aus und setzt ganz einfach auf die Freundlichkeit der Mitarbeiter.
Tailgating und Piggybacking verhindern
Sichere Eingänge: Wenn ein Eingang ständig offen steht, kann jeder, auch ein Angreifer unbemerkt in das Gebäude gelangen. In solchen Fällen kann man häufig schnell selber Abhilfe schaffen und den entsprechenden zugang schließen oder melden. Über solche akuten Sicherheitsprobleme sollte in der Regel auch das zuständige Sicherheitsteam informiert werden.
Auf fremde Personen achten: Wenn eine Person verloren wirkt, kann sie natürlich angesprochen werden. Meistens wird es sich nicht um einen Angreifer handeln. Dennoch ist es am besten, die Person höflich auf den Empfangsbereich hinzuweisen oder sie sogar dorthin zu begleiten.
Verdächtige Personen melden: Wenn eine Person in irgendeiner Weise verdächtig erscheint, sollte ein Sicherheitsmitarbeiter benachrichtigt werden. Dies gilt auch, wenn eine Person sich zu nahe an einem Ort mit Zugangsbeschränkungen aufhält.
Sicherheitspolicies einführen und befolgen: In Sicherheitspolicies wird für das jeweilige Unternehmen festgelegt, wie man sich in bestimmten Situationen zu verhalten hat. Dazu gehört auch der Umgang mit unbefugten Personen.
USB-Phishing
USB-Phishing ist eine Art von Baiting, bei dem der physische USB-Stick der Köder ist. Bei diesem Angriff wird die Neugier des Opfers ausgenutzt. Der Angreifer lässt einen USB-Stick irgendwo liegen, wo ein Relevantes Opfer ihn gut entdecken kann. Die Neugier ist geweckt, und das Opfer will gerne wissen, was sich auf dem Stick befindet. Um das herauszufinden, muss der Stick aber in einen Rechner gesteckt werden. Nach dem Einstecken eines für einen Angriff präparieren USB-Sticks wird im Hintergrund Malware heruntergeladen. Häufig werden einige Dateien oder Fotos auf dem USB-Stick abgelegt, um das Opfer für die Dauer des Downloads abzulenken.
USB-Phishing verhindern
Keine gefundenen USB-Sticks verwenden: Egal, wo Sie einen USB-Stick finden, schließen Sie ihn niemals an Ihren Computer an.
Autorun ausschalten: Wenn Sie einen USB-Stick, früher auch CDs und DVDs, an Ihren Computer anschließen, wird dieser direkt vom Computer geöffnet oder der Inhalt ausgeführt. Durch das Deaktivieren von Autorun geschieht dies nicht mehr, was das Herunterladen von Malware verhindern kann.
Gefundene Sticks zur Fundstelle bringen: Ist ein USB tatsächlich nur verloren gegangen, sollte er am besten direkt zu einer Fundstelle gebracht werden. So kann der Besitzer ihn dort abholen und es besteht nicht die Gefahr, dass andere Personen mit dem USB interagieren und sich eventuell Malware einfangen.
Fazit
Auf den ersten Blick scheinen Tailgating und USB-Phishing wenig miteinander zu tun zu haben. Aber auch Tailgating basiert, wie eigentlich jeder Phishing angriff auf Social Engineering. Ganz spezifisch wird beim Tailgating die Höflichkeit von Mitarbeitern ausgenutzt, beim USB-Phishing ihre Neugier.
Im unterschied zu Tailgating, haben Phishingattacken das Ziel, sensible Daten abzuphishen - häufig Zugangsdaten. Diese Zugangsdaten können dann genutzt werden, um in Accounts einzudringen oder Accounts zu übernehmen. Das ist dann ein Fall von digitalem Identitätsdiebstahl.
Identeco ist darauf spezialisiert, digitalen Identitäsdiebstahl und Account-Übernahmen automatisiert zu verhindern. Wenn Ihr genaur wissen wollt, wie das geht, schreibt uns eine Mail oder tretet über unser Kontaktformular mit uns in Kontakt.
Artikel teilen