Social Engineering stellt neben den „klassischen“ Methoden, wie Cyberattacken, Spam-Mails und ähnlichem ein geeignetes Mittel für die illegale Informationsbeschaffung dar. Oft sind Unternehmen auf dem Gebiet der IT-Sicherheit auf einem sehr hohen Stand und werden doch mit sehr geringem Aufwand Opfer von Informationsdiebstählen. Dieser Beitrag soll kurz die weitverbreitetsten Formen des Social Engineering beschreiben und den Leser für die Thematik sensibilisieren.
Anstelle von aufwendigen und fachlich schwierigen Angriffen auf der IT-Ebene, bedienen sich Datendiebe in letzter Zeit einer viel simpleren und risikofreien Methode – dem Ausnutzen des „Risikofaktors“ Mensch. Getarnt als offizielle Behörde, als Institut für Meinungsumfragen oder als Angehöriger der Firmenbelegschaft, wird versucht via Telefonanruf an Informationen über das Unternehmen oder seine Mitarbeiter zu gelangen. So werden im Rahmen von fungierten Meinungsumfragen gezielt relevante Sicherheitsvorkehrungen und Geschäftsprozesse des Unternehmens ausgehorcht und somit optimale Voraussetzungen für einen geplanten Cyberangriff geschaffen. Aber auch auf privater Ebene wird versucht an Informationen zu gelangen. Getarnt als enger Angehöriger oder Freund werden Kontaktdaten und Informationen von Mitarbeitern angefragt.
Mögliche Anzeichen für einen Angriff per Telefon können sein:
- Weigerung, eine Rückrufnummer anzugeben
- Ungewöhnliches, nicht alltägliches Verhalten
- Ausspielen von Autorität
- Besonders hohe Dringlichkeit
- Androhung negativer Konsequenzen
- Ihre Rückfragen werden als lästig abgetan
- Komplimente, Schmeicheleien, Flirts
- …
Um größeren Schaden durch diese Angriffe für ihr Unternehmen verhindern zu können, sollten folgende Grundsätze beachtet werden:
- Seien Sie bei telefonischen Anfragen nicht zu hilfsbereit!
- Bestehen Sie auf schriftliche Anfragen bzgl. personenbezogener Daten!
- Kennen Sie Ihr Gegenüber? Im Zweifelsfall nachforschen!
- Geben Sie weder Mitarbeiter-Daten noch Kunden-Daten an Unbekannte weiter!
- Nehmen Sie nicht an (telefonischen) Meinungsumfragen teil!
- Geben sie keine Auskünfte über die Kontaktdaten von Mitarbeitern an vermeidliche Angehörige und Freunde. Hier immer auf einen Rückruf durch die betroffene Person selbst bestehen.
- Angezeigte Telefonnummern am Display ihres Telefons sind keine Garantie für die Seriosität des Anrufers. Diese kann leicht manipuliert werden.
- Anrufe des Finanzamtes sind nach einem OFD-Erlass nicht mehr zulässig. Sollten sie dennoch einen Anruf erhalten, handelt es sich aller Voraussicht nach um einen Betrug.
Sollten Sie Interesse an dieser Thematik gefunden haben, empfehlen wir Ihnen das Buch „Risikofaktor Mensch – Die Kunst der Täuschung“ von Kevin Mitnick, die „Bibel“ des Social Engineerings.