Social Engineering Attacks

Social Engineering ist eine Sicherheitsbedrohung, die eher auf Menschen als auf Computer oder Software abzielt. Social Engineers nutzen eine Kombination aus Tricks, Zwang und ähnlichen Taktiken, um ihre Ziele dazu zu bewegen, das zu tun, was sie wollen.

Demo anfordern Mehr erfahren

Social Engineering Attacks

Wie funktioniert Social Engineering?

Social Engineers nutzen dies häufig aus Cialdinis sieben Schlüsselprinzipien der Überzeugung:

  • Gegenseitigkeit: Es ist wahrscheinlicher, dass Menschen etwas für jemanden tun, der im Gegenzug etwas für sie tut oder verspricht.
  • Engagement und Beständigkeit: Es ist wahrscheinlicher, dass jemand etwas tut, nachdem er eine Verpflichtung eingegangen ist oder dies schon immer so getan hat.
  • Sozialer Beweis: Der „Bandwagon-Effekt“ bedeutet, dass die Wahrscheinlichkeit größer ist, dass Menschen etwas tun, was sie als beliebt erachten und was alle anderen mitmachen.
  • Behörde: Es ist wahrscheinlicher, dass Menschen Maßnahmen ergreifen, die von einer Autoritätsperson angeordnet wurden.
  • Geschmack: Menschen wollen gemocht werden und werden Dinge tun, die ihnen noch mehr Sympathie verschaffen oder die es ihnen ermöglichen, Peinlichkeiten zu vermeiden.
  • Knappheit: Wenn etwas knapp ist, sehen die Leute es als wertvoller an und beeilen sich, es zu besorgen, bevor es zu spät ist.
  • Einheit: Es ist wahrscheinlicher, dass Menschen Dinge tun, die Menschen, die sie mögen und mit denen sie sich identifizieren, auch tun oder vorschlagen.

Viele der häufigsten Arten von Social-Engineering-Angriffen machen sich eines oder mehrere dieser Prinzipien zunutze. Beispielsweise geben sich Angreifer bei der Kompromittierung von Geschäfts-E-Mails (BEC) als Autoritätspersonen aus, um vertrauliche Informationen oder Geld zu stehlen. Systeme mit gefälschten Rechnungen machen sich Engagement und Konsistenz zunutze; Wenn ein Unternehmen denkt, dass es die Produkte oder Dienstleistungen eines Anbieters genutzt hat, sieht es sich gezwungen, dafür zu zahlen.

Arten von Social-Engineering-Angriffen

Phishing ist die häufigste Art von Social Engineering, die bei Cyberangriffen eingesetzt wird. Phishing-Angriffe gibt es in verschiedenen Formen, darunter:

  • Spear Phishing: Spear-Phishing-Angriffe sind äußerst zielgerichtet. Spear-Phisher führen eine gründliche Recherche ihrer Ziele durch, um ihre Angriffe individuell anzupassen und die Erfolgswahrscheinlichkeit zu maximieren.
  • Walfang: Whaling-Angriffe sind Spear-Phishing-Angriffe, die sich gegen hochrangige Führungskräfte richten. Diese Angriffe sollen wie legitime E-Mails aussehen und versuchen, die Autorität und Macht des Empfängers auszunutzen.
  • BEC-Angriffe: Bei einem BEC-Angriff gibt sich der Angreifer als Autoritätsperson innerhalb einer Organisation oder als Anbieter oder Zulieferer eines Unternehmens aus. Bei diesen Angriffen geht es in der Regel darum, vertrauliche Informationen zu stehlen oder einen Mitarbeiter dazu zu bringen, dem Angreifer Geld zu schicken.
  • Schmunzelnd: Smishing-Angriffe sind Phishing-Angriffe, die über SMS-Textnachrichten ausgeführt werden. Diese Angriffe machen sich die Tatsache zunutze, dass Unternehmen zunehmend SMS nutzen, um Kunden zu erreichen, und dass Linkverkürzungsdienste genutzt werden können, um das Ziel eines Links zu verschleiern.
  • Vishing: Vishing steht für Voice-Phishing. Diese Angriffe nutzen viele der gleichen Einflusstechniken wie Phishing, werden jedoch über das Telefon ausgeführt.

Social-Engineering-Angriffstechniken

Social Engineers nutzen bei ihren Angriffen nicht nur die Psychologie aus, um Einfluss zu nehmen, sondern nutzen auch häufig Tricks. Zu den häufigsten Angriffstechniken bei Phishing-Angriffen gehören:

  • Schädliche Links: Phishing E-Mails enthalten häufig Links zu Phishing- und anderen bösartigen Websites. Diese Links und die Websites, auf die sie häufig verweisen, sind so gestaltet, dass sie wie legitime Websites aussehen.
  • Infizierte Anhänge: Phishing-E-Mails können angehängte Malware oder Dateien enthalten, die Malware herunterladen. Microsoft Office-Makros und schädliche PDFs sind häufige schädliche Anhänge.
  • Lookalike-Adressen: Damit Phishing-E-Mails realistisch aussehen, verwenden Phisher möglicherweise ähnliche Adressen. Bei E-Mail-Adressen, die einer legitimen Domain ähneln, ist es wahrscheinlicher, dass sie auf den ersten Blick nicht erkannt werden und den Empfänger täuschen.

Wie kann man Social-Engineering-Angriffe verhindern?

Phishing und andere Social-Engineering-Maßnahmen stellen eine große Bedrohung für die Cybersicherheit von Unternehmen dar. Best Practices für Schutz vor Social-Engineering-Angriffen enthalten:

  • Mitarbeiterschulung: Mitarbeiter müssen über die Social-Engineering-Bedrohungen Bescheid wissen, denen sie ausgesetzt sind, um sie bestmöglich erkennen und darauf reagieren zu können. Ein wichtiger Teil dieser Schulung ist die Erkennung der verschiedenen Arten von Phishing-Angriffen und die Tatsache, dass Phishing nicht nur auf E-Mails beschränkt ist.
  • Mehrstufige Authentifizierung (MFA): Social-Engineering-Angriffe zielen häufig auf Anmeldedaten ab, mit denen sich Zugriff auf Unternehmensressourcen verschaffen lässt. Durch den Einsatz von MFA im gesamten Unternehmen wird es für Angreifer schwieriger, diese kompromittierten Anmeldeinformationen auszunutzen.
  • Aufgabentrennung: Social-Engineering-Angriffe zielen darauf ab, Ziele dazu zu verleiten, sensible Informationen oder Geld an einen Angreifer zu senden. Prozesse sollten so gestaltet sein, dass Zahlungen und andere risikoreiche Aktionen mehrere Genehmigungen erfordern, wodurch die Wahrscheinlichkeit verringert wird, dass jeder von dem Betrug betrogen wird.
  • Antivirus and Antimalware: Phishing-Angriffe zielen im Allgemeinen darauf ab, Malware auf einen Zielcomputer zu übertragen. Anti-Virus Und Antimalware-Schutzmaßnahmen sind für die Erkennung und Blockierung dieser Angriffe unerlässlich.
  • E-Mail-Sicherheitslösungen: Phisher nutzen verschiedene Techniken, um ihre Nachrichten realistischer erscheinen zu lassen und ihre Empfänger zu täuschen. E-Mail-Sicherheitslösungen kann E-Mails auf verdächtige Inhalte scannen und potenziell schädliche Inhalte aus Nachrichten und Anhängen entfernen, bevor sie an den Empfänger gesendet werden.

Social-Engineering-Prävention mit Check Point

Phishing ist eine der größten Bedrohungen für die Cybersicherheit von Unternehmen und ein häufiger Angriffsvektor für Malware und Datenschutzverletzungen. Check Point und Avanan haben eine E-Mail-Sicherheitslösung entwickelt, die umfassenden Schutz vor einer Reihe von E-Mail-basierten Social-Engineering-Angriffen bietet. Erfahren Sie hier, wie Sie Ihr Unternehmen und Ihre Mitarbeiter vor Phishing und Social Engineering schützen können Melden Sie sich für eine kostenlose Demo an.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK