Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

10 Tipps zum Schutz vor Social Engineering

Bild Thomas Schlienger

Computersysteme sind heute meist sehr gut durch technische Massnahmen geschützt. Um dennoch in ein System zu gelangen oder an Daten zu kommen, wird heute oft mittels Social Engineering vorgegangen. Dies ist eine der erfolgreichsten Angriffsmöglichkeiten neben Hacking und Malwareverbreitung. Häufig wird versucht, Kreditkarteninformationen oder Zugangsdaten zu erschleichen oder Zugang zu Systemen zu erwirken.

Was ist Social Engineering
Social Engineering (Soziale Manipulation) ist eine Vorgehensweise, bei der es darum geht, die Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit von Personen auszunutzen, um an vertrauliche Informationen zu gelangen oder die „Opfer“ zu einer bestimmten Handlung zu bewegen.
Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen.
Von allen Angriffsmöglichkeiten (Malware, Hacker), um in Systeme zu gelangen oder an Daten zu kommen, ist diese Methode nach wie vor eine der erfolgreichsten.

Wie gehen Social Engineers vor
Zuerst wird eine Firma ausgewählt, über die mittels Social Engineering mehr Informationen herausgefunden, oder zu deren Systemen Zugang erschlichen werden soll.

Informationen über das Unternehmen finden sich zuerst einmal auf der Unternehmenswebseite. Hier werden beispielsweise Geschäftsberichte, Kontaktstellen, Mitarbeiterorganigramme oder gewisse Produktinformationen publiziert.

In öffentlichen Verzeichnissen können weitere Information gefunden werden. Zum Beispiel, wo sich Büros befinden.

Via Google oder andere Suchmaschinen können ebenfalls Informationen gefunden werden. So sind das beispielsweise Zeitungsartikel, Blogbeiträge, Kundenreviews oder Anfragen oder Publikationen politischer Natur.

In sozialen Netzwerken wie LinkedIn oder Xing kann ein Social Engineer herausfinden, wer bei einer Firma arbeitet. Auch Positionen und weitere Informationen können so eruiert werden. 

Hat sich der Social Engineer für eine Person entschieden, kann auf ebendiesen Seiten sowie auf Facebook, Twitter und Instagram weitere Informationen zu der Zielperson herausgefunden werden. Was sind ihre Interessen und Hobbies? Was wird über den Arbeitgeber gepostet? Welche Artikel und Posts werden geteilt? Wann arbeitet eine Person und vieles Mehr. All diese Informationen können dann dazu verwendet werden, die Zielperson unter Druck zu setzen oder sie zu täuschen, um an die gewünschten Informationen zu gelangen oder sich zutritt zum System zu verschaffen.

Wir stellen hier 10 Tipps vor, wie Sie sich bei einer Social Engineering Attacke verhalten sollen und wie Sie Social Engineering erkennen können und was Sie dagegen unternehmen können.

Was tun bei einem „Angriff“?
Tipp 1: Sich nicht unter Druck setzen lassen. Sicherheit ist wichtiger als höflich zu sein.
Social Engineers sind normalerweise sehr freundlich und kontaktfreudig. Durch Vortäuschen von Firmenkenntnissen (Name des Vorgesetzten, Prozesse usw.) bearbeiten sie das „Opfer“ so lange, bis es die gesuchte Information preisgibt. Bleiben Sie standhaft und geben Sie keine vertraulichen Informationen über sich oder die Firma an Fremde.

Tipp 2: Sich nicht überreden lassen
Lassen Sie sich nicht dazu überreden, eine bestimmte Webseite zu besuchen oder eine bestimmte Software zu installieren. Die Webseite und die Software könnten mit Malware infiziert sein.

Tipp 3: Umgang mit zweifelhaften Anfragen
Stellen Sie bei zweifelhaften Anfragen immer die Identität und Berechtigung des Fragenden sicher. Erkundigen Sie sich nach dem Grund für die Anfrage.
Dies können Sie zum Beispiel, indem Sie Rücksprache bei Ihrem Vorgesetzten nehmen oder bei der anfragenden Firma nachfragen.

Tipp 4: Weitergabe von Informationen
Geben Sie NIE interne oder vertrauliche Informationen (Kunden- und Mitarbeiterdaten, Projektinformationen etc.) weiter. Weder am Telefon noch per E-Mail oder Briefpost.

Egal wer fragt, solche Informationen sollten Sie nie weitergeben, wenn Sie nicht 100% sicher sind, dass das Gegenüber für die Informationen wirklich berechtigt ist. Bestehen diesbezüglich Unsicherheiten, klären Sie dies vorgängig mit Ihrem Vorgesetzten ab. Passworte und Zugangsdaten sollten NIE weitergegeben werden. Geben Sie nur öffentlich zugängliche Informationen über Ihre Firma an Personen ausserhalb der Firma weiter.

Tipp 5: Kontaktaufnahme von „Dienstleistungsanbietern“
Kein seriöser Dienstleistungsanbieter wird je nach einem Passwort und Zugangsdaten fragen. Auch nicht Systemadministratoren oder Sicherheitsspezialisten.
Wenn Sie Anrufe oder E-Mails erhalten, wo nach Passwörtern oder Zugangsdaten gefragt wird, sofort auflegen respektive löschen. Dies gilt auf für Login-Webseiten oder Passwortänderungsaufforderungen. Melden Sie zudem den Vorfall dem IT-Service Desk und Ihrem Vorgesetzten. 

Tipp 6: Vorsicht am Telefon
Voice-Phishing (Vishing) ist Betrug über das Telefon, bei dem Social-Engineering-Methoden eingesetzt werden. Vishing-Betrüger vermitteln in der Regel eine gewisse Dringlichkeit, nutzen Autorität oder erfinden eine vertrauenswürdige Rolle am Telefon, um das Opfer dazu zu bekommen, dass es Anweisungen befolgt. Ziel ist es, Zugang zu vertraulichen Informationen zu erhalten, eine Zahlung umzuleiten oder die Kontrolle über die Computer des Unternehmens zu erlangen. Geben Sie daher auch hier keine internen oder vertrauliche Informationen weiter und lassen Sie sich nicht zum Besuch bestimmter Webseiten überreden.

Tipp 7: Vorsicht mit E-Mail
Mit sogenannten Phishing E-Mails versuchen Betrüger, Informationen ihrer Opfer zu erlangen. Achten Sie daher auf folgende Merkmale, um eine Phishing E-Mail erkennen zu können:
1. Merkwürdiger Absender
2. Unübliche/ Dubiose Mailanhänge
3. Unpersönliche Ansprache
4. Grammatik- und Orthographie-Fehler
5. Dringender Handlungsbedarf
6. Eingabe von Daten
7. Gefälscht Links
8. Fremde Sprache bzw. Sprachenmix
9. Verwendung unüblicher Bezeichnungen

Antworten Sie nicht auf eine Phishing E-Mail. Melden Sie diese dem Service Desk oder Ihrem Vorgesetzten und löschen Sie die Mail.

Tipp 8: Vorsicht in sozialen Medien
Social Engineering kann auch über die sozialen Medien erfolgen. Zum Beispiel werden private Nachrichten mit Links auf verseuchte Webseiten versendet oder Posts mit Links auf solche Seiten gepostet.
Bedenken Sie zudem, welche Informationen Sie über sich preisgeben, da diese von Social Engineers verwendet werden können, um mit Ihnen in Kontakt treten zu können. Nicht öffentliche Firmeninformationen gehören nicht in soziale Netzwerke.

Tipp 9: Vorsicht mit mobilen Datenträgern
Malware kann auch über mobile Datenträger verbreitet werden. Daher ist es auch hier wichtig, mobile Datenträger von Fremden oder flüchtigen Bekannten nicht zu verwenden.

Tipp 10: Vorsicht bei persönlicher Kontaktaufnahme
Die wohl extremste Art des Social Engineerings ist das persönlich in Kontakt treten mit dem Opfer. Kann ein Social Engineer über die anderen Kanäle seine Zielperson nicht erreichen, kann es sein, dass persönlich Kontakt aufgenommen wird. Das Vertrauen wird durch vorgespielte Freundschaft oder Hilfsbereitschaft erschlichen. Dies kann zum Beispiel über „gemeinsame Interessen und Hobbies“ geschehen oder über den Beruf und die Firma. Seien Sie kritisch bei Diskussionen mit Personen, die Sie noch nicht lange kennen und geben Sie auch hier keine geschäftlichen Informationen weiter oder lassen sich zu Taten verleiten. 

Sicheres Verhalten ist lernbar
Vor Social Engineering ist niemand gefeit. Aber man kann lernen, auf welche Anzeichen man achten soll und wie man sich generell in Bezug auf das Publizieren von Daten verhalten soll. Das wichtigste ist, keine Informationen zu Passwörtern und Nutzerdaten weiter zu geben, sowie keine internen Firmeninformationen. Achten Sie auch stets darauf, was Sie online veröffentlichen und schreiben. Und verwenden Sie keine externen Datenträger, die Sie von Unbekannten oder flüchtigen Kollegen erhalten haben. Lassen Sie sich nicht unter Druck setzen, Informationen preis zu geben. Bleiben Sie standhaft und melden Sie verdächtige Anrufe, E-Mails oder Konversationen Ihrem Vorgesetzten und dem IT-Service Desk.

Und wenn Sie doch mal Opfer einer Social Engineering Attacke wurden, ändern Sie sofort all Ihre Passwörter und machen Sie bei Ihrem Arbeitgeber Meldung über den Vorfall, so dass Schutzmassnahmen ergriffen werden können.

Wir hoffen, dass Ihnen unsere Tipps helfen, sicher mit Ihren Daten umzugehen.
TreeSolution auf Security-Finder Schweiz


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security-Kompetenzen

Kalender Security Schweiz

Keine Ereignisse gefunden.

Security-Finder Schweiz: Newsletter