DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Risiken am Telefon

Stellen Sie sich vor Sie erhielten diesen Anruf: „Hallo hier ist Elias Berg von der Sicher­heits­firma ‚Schmitt GmbH & Co.KG.‘ Wir bieten Ihnen eine kos­tenlose Viren­prüfung.“ Was würden Sie tun?

 

 

  

Irina ist Unter­neh­merin. Eines Tages erhält sie einen Anruf eines IT-Tech­­nikers, der für eine Sicher­heits­firma arbeitet. Der Fachmann teilt Irina mit, dass sich ein Tro­janer auf ihrem PC befindet und er könne ihn gegen Bezahlung ent­fernen, wenn sie ihm einen Remote-Zugang erteilt. Er löscht ihr altes Anti­vi­ren­system und instal­liert ein neues, aktu­elles „Anti­vi­ren­pro­gramm“. Ein­ge­schüchtert und ver­un­si­chert vom Auf­treten und der Vor­ge­hens­weise des Tech­nikers gibt Irina am Ende ihre Kon­to­daten über das Telefon weiter.
Erst als das Geld bereits ein­ge­zogen wurde und eine Rechnung ohne Absender, Adresse oder Ruf­nummer bei ihr ein­trifft, zweifelt sie an der Ver­trau­lichkeit des angeb­lichen Tech­nikers. Doch nun ist es zu spät. Das Geld ist abge­bucht und es ist nicht mehr nach­voll­ziehbar, ob, welche und wie viele Daten bereits aus­ge­späht wurden. Von einem ver­trau­ens­wür­digen EDV-Dienst­­leister muss sie ihren PC nun neu auf­setzen lassen, um wei­teren Schäden vor­zu­beugen.

Das Telefon und der Social Engineer
Social Engi­neers nutzen bei Angriffen bevorzugt das Telefon, da es ihnen ermög­licht Distanz zu wahren und ihre wahre Iden­tität zu ver­schleiern. Eine Masche, wie oben beschrieben, ist vielen bereits bekannt. Doch Social Engi­neers haben auch hier viele unter­schied­liche Methoden.
Bei den meisten Social Engi­neering Angriffen bemerken die Opfer über­haupt nicht, dass sie gerade einem Social Engineer wichtige Infor­ma­tionen wei­ter­ge­geben haben. Hier ist der soge­nannte „Vor­an­griff“ nützlich. Die gesam­melten Daten über Unter­neh­mens­struktur, fir­men­in­terne Ter­mi­no­logie (zum Bei­spiel die Bezeichnung für Abtei­lungen, Pro­zesse, Nummern) und per­so­nen­be­zogene Daten (zum Bei­spiel über Facebook gesammelt) helfen dem Social Engineer glaub­würdig zu klingen. Dies führt dazu, dass die Opfer dem Anrufer ver­trauen. In einigen Fällen baut der Social Engineer eine per­sön­liche Beziehung zum Opfer auf, indem er mehrere Male anruft und erst nach einiger Zeit Fragen zu bestimmten Infor­ma­tionen stellt. Dabei würde ein gewiefter Social Engineer niemals direkt auf­legen, nachdem er die gewünschte Infor­mation erhalten hat. Denn der Anrufer erinnert sich zumeist an den Anfang und das Ende des Gesprächs und nicht an ein­zelne, ver­meintlich neben­säch­liche Fragen, die zwi­schen­durch gestellt wurden.

Wer ist gefährdet?
Das obige Bei­spiel zeigt, dass tech­ni­scher Fach­jargon glaub­würdig und viel­leicht sogar ein­schüch­ternd wirken kann. Dies bedeutet aller­dings nicht, dass tech­nisch ver­sierte Mit­ar­beiter nicht auch auf Social Engi­neers her­ein­fallen könnten. Der Angreifer hält seine Opfer nicht für dumm. Ganz im Gegenteil: Er ist stets auf der Hut und tastet ab, wie weit er gehen kann. Er macht sich vor allem die grund­sätz­liche Gut­gläu­bigkeit des Men­schen zunutze. Außerdem erleichtern größere Unter­nehmen den Angriff, da sich der Social Engineer leicht als Mit­ar­beiter an einem anderen Standort oder einer anderen Abteilung aus­geben kann, ohne dass der ange­rufene Mit­ar­beiter sofort Ver­dacht schöpft. Somit ist Jeder angreifbar!

Bitte beachten Sie: Sind Sie wirklich sicher, dass Sie mit der Person sprechen, für die sie sich ausgibt?

Risiken

  1.  „Vor­an­griff“: Daten und Infor­ma­tionen, die Sie als unwichtig emp­finden, können dem Social Engineer viel über das Unter­nehmen ver­raten. Durch Vor­an­griffe eignet er sich Fach­jargon an, um authen­tisch und glaub­würdig zu wirken.
  2. Angreifer könnten ihren PC lahm­legen und nur gegen weitere Zah­lungen anbieten, das Problem wieder zu beheben, selbst wenn dies nur falsche Ver­spre­chungen sind.
  3. Social Engi­neers sind Meister der Täu­schung und wissen, wie man sich Ver­trauen ver­schafft. Die meisten Opfer bemerken den Angriff nicht einmal.

Ver­hal­tens­weisen

  1. Seien Sie uner­war­teten Anrufen gegenüber skep­tisch.
  2. Über­prüfen Sie die Iden­tität des unbe­kannten Anrufers. Bereits detail­lierte Nach­fragen über Unter­nehmen oder Belang können den Anrufer irri­tieren.
  3. Holen Sie sich zweite Mei­nungen ein, wenn Sie sich über ein Com­­puter-tech­­ni­­sches Thema unklar sind oder wenn Sie nicht wissen wie ver­traulich eine Infor­mation wirklich ist.

 Wei­ter­füh­rende Infor­ma­tionen

Hier finden Sie einen bei­spiel­haften Artikel zu Angriffen über das Telefon.

Eine weitere Social-Engi­neering Methode beschreibt der Artikel „Betrugs­masche auf­ge­wärmt: Falsche Microsoft-Tech­­niker am Telefon” unter
 

Bild: © Tijana / fotolia.com

Bisher erschienen in der Reihe “Ver­hal­tens­regeln zu Social Engi­neering”:

Teil 1: Risiken in den Sozialen Netz­werken

Teil 2: Risiko durch Lausch­an­griffe

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awa­reness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.