Social-Engineering-Tricks

Social Engineering im Fokus: über klassische Tricks und neue Trends.

In unserem heutigen Beitrag befassen wir uns mit verschiedenen Social-Engineering-Tricks, die von Cyberkriminellen häufig für Angriffe auf Unternehmen eingesetzt werden. Im Folgenden geht es um verschiedene Betrugsvarianten im Zusammenhang mit Anrufen und E-Mails von gefälschten Tech-Support-Diensten, um die Kompromittierung von Geschäfts-E-Mails und um Datenanfragen von vermeintlichen Strafverfolgungsbehörden…

 

Hallo, hier spricht der technische Support

Eine klassische Social-Engineering-Masche ist der Anruf des „technischen Supports“ bei einem Unternehmensmitarbeiter. Beispielsweise könnten die Hacker an einem Wochenende anrufen und etwas wie „Hallo, hier ist der technische Kundendienst Ihres Unternehmens, wir haben seltsame Aktivitäten auf Ihrem Arbeitscomputer festgestellt. Sie müssen sofort ins Büro kommen, damit wir herausfinden können, worum es sich handelt“ sagen. Die wenigsten Leute wollen am Wochenende ins Büro eilen, und so erklärt sich der technische Support „widerwillig“ bereit, das Firmenprotokoll ausnahmsweise zu missachten und das Problem aus der Ferne zu lösen. Dazu benötigt er jedoch die Anmeldedaten des Mitarbeiters. Den Rest können Sie sich denken.

Eine Abwandlung dieses Schemas war im Zuge der Massenumstellung auf die Remote-Arbeit während der Pandemie besonders weit verbreitet. Der „technische Support“ stellt verdächtige Aktivitäten auf dem Laptop des Opfers fest, der für die Telearbeit verwendet wird, und schlägt vor, das Problem über eine Remote-Verbindung und ein RAT zu lösen. Auch hier ist das Resultat vorhersehbar.

 

Bestätigen, bestätigen, bestätigen…

Bleiben wir beim Thema Fake-Tech-Support. Eine sehr interessante Technik wurde beim Angriff auf Uber im Herbst 2022 entdeckt, als es einem 18-jährigen Hacker gelang, eine Reihe von Systemen des Unternehmens zu kompromittieren. Der Angriff begann damit, dass sich der Kriminelle die persönlichen Anmeldedaten eines Uber-Mitarbeiters aus dem Dark Web beschaffte. Um Zugang zu den internen Systemen des Unternehmens zu erhalten, musste jedoch erst noch die Multifaktor-Authentifizierung umgangen werden…

Und genau hier kam Social Engineering ins Spiel. Durch unzählige Anmeldeversuche spammte der Hacker den unglücklichen Auftragnehmer mit Authentifizierungsanfragen zu und schickte ihm dann unter dem Deckmantel eines Support-Mitarbeiters eine Nachricht auf WhatsApp, in der er eine Lösung für das Problem vorschlug: Um den Strom der Spam-Nachrichten zu stoppen, müsse er nur eine der Anfragen bestätigen. Somit war auch das letzte Hindernis für den Zugang zum Uber-Netzwerk beseitigt.

 

Ich benötige umgehend eine Überweisung! Mfg, der CEO

Kommen wir noch einmal auf einen Klassiker zu sprechen: Das nächste Szenario ist ein so genannter BEC-Angriff (Business Email Compromise). Dahinter verbirgt sich die Idee, in irgendeiner Weise Kontakt mit Unternehmensmitarbeitern aufzunehmen und sich dabei in der Regel als CEO oder wichtiger Geschäftspartner auszugeben. Normalerweise zielt die Korrespondenz darauf ab, das Opfer dazu zu bringen, Geld auf ein von den Betrügern angegebenes Konto zu überweisen. Die Angriffsszenarien können jedoch variieren: Sind die Kriminellen eher daran interessiert, in das interne Netzwerk des Unternehmens einzudringen, können sie dem Opfer auch einen schädlichen Anhang schicken, der unbedingt geöffnet werden muss.

So oder so geht es bei allen BEC-Angriffen um die Kompromittierung von E-Mails, doch das ist nur der technische Aspekt. Eine weitaus größere Rolle spielt das Element Social Engineering. Während sich die meisten Betrugs-E-Mails, die sich an normale Benutzer richten, einfach nur lustig anhören, sind an BEC-Operationen Personen beteiligt, die Erfahrung mit Großunternehmen haben und in der Lage sind, plausible Geschäfts-E-Mails zu schreiben und den Empfänger zu überreden, das zu tun, was die Kriminellen wollen.

 

Wo waren wir noch gleich stehengeblieben?

Es lohnt sich, gesondert auf eine bestimmte BEC-Angriffstechnik einzugehen, die in den letzten Jahren bei Cyberkriminellen sehr beliebt geworden ist. Beim sogenannten „Conversation Hijacking“ können sich Angreifer in eine bestehende Geschäftskorrespondenz einschleusen, wobei sie sich als einer der Teilnehmer ausgeben. Normalerweise werden weder das Hacken von Konten noch technische Tricks angewandt, um den Absender zu tarnen – alles, was die Angreifer benötigen, ist eine authentische E-Mail-Adresse, um darauf basierend eine täuschend echte Domain zu erstellen. Dadurch gewinnen sie automatisch das Vertrauen aller anderen Teilnehmer und können die Unterhaltung sanft in die von ihnen gewünschte Richtung lenken. Um diese Art von Angriffen durchzuführen, kaufen Cyberkriminelle häufig Datenbanken mit gestohlenen oder geleakten E-Mail-Korrespondenzen im Dark Web.

Die Angriffsszenarien können variieren. Auch der Einsatz von Phishing oder Malware ist nicht ausgeschlossen. Das klassische Schema sieht jedoch so aus, dass Hacker in der Regel versuchen, Unterhaltungen zu hijacken, in denen es direkt um Geld geht, vorzugsweise um große Beträge, und im passenden Moment ihre Bankdaten einfügen, um dann mit der Beute auf eine tropische Insel zu verschwinden.

Ein erstklassiges Beispiel für Conversation Hijacking ist der Transfer des Fußballspielers Leandro Paredes. Unter dem Deckmantel eines Vertreters von Paredes‘ Debütverein Boca Juniors, dem ein kleiner Prozentsatz der Ablösesumme in Höhe von 520 000 € zustand, schleusten sich Cyberkriminelle in den E-Mail-Verkehr und kassierten diese Summe für sich.

 

Geben Sie uns Ihre Daten, hier spricht die Polizei!

Ein aktueller Trend, der im Jahr 2022 aufgetreten zu sein scheint, besteht darin, dass Hacker „offizielle“ Datenanfragen stellen, wenn sie Informationen zur Vorbereitung von Angriffen auf Nutzer von Online-Diensten sammeln. Derartige Anfragen haben US-amerikanische Internetdienstanbieter (ISPs), soziale Netzwerke und Technologieunternehmen von gehackten E-Mail-Konten erhalten, die zu Strafverfolgungsbehörden gehören.

An dieser Stelle wäre ein wenig Kontext hilfreich. Normalerweise ist für den Erhalt von Daten von Dienstanbietern in den Vereinigten Staaten eine von einem Richter unterzeichnete Verfügung erforderlich. Allerdings kann in Situationen, in denen das Leben oder die Gesundheit von Menschen gefährdet ist, eine Notfalldatenanfrage (Emergency Data Request – EDR) gestellt werden.

Während für normale Datenanfragen einfache und verständliche Überprüfungsverfahren gelten, gibt es für EDRs derzeit nichts dergleichen. Die Wahrscheinlichkeit ist daher groß, dass einer solchen Anfrage stattgegeben wird, wenn sie plausibel erscheint und scheinbar von einer Strafverfolgungsbehörde stammt. So können Hacker Informationen über die Opfer aus einer zuverlässigen Quelle erhalten und sie für weitere Angriffe nutzen.

 

So schützen Sie sich vor Social-Engineering-Angriffen

Das Ziel ist bei all den oben genannten Angriffsmethoden kein seelenloser Hardware-Klumpen, sondern ein menschliches Wesen. Um also die Unternehmensabwehr gegen Social-Engineering-Angriffe zu stärken, muss der Fokus auf dem Menschen liegen. Dies bedeutet, dass den Mitarbeitern die Grundlagen der Cybersicherheit nahegebracht werden müssen, um ihr Sicherheitsbewusstsein zu stärken, und dass ihnen erklärt werden muss, wie sie den verschiedenen Arten von Angriffen begegnen können. Eine hervorragende Möglichkeit, dies zu tun, ist unsere interaktive Schulungslösung Kaspersky Automated Security Awareness Platform.

 

Tipps