Mobile Navigation
  • Im Fokus
    • Fokusthemen

      Cyber-Security-Risiko evaluieren

      Data Act | Pflichten, Chancen, Compliance

      DORA Beratung | Implementierung

      NIS2 Beratung | Implementierung

      Regulatorik Radar

    • T+1: Verkürzte Abwicklungszeiten

      Mit Prozesseffizienz meister – sind Sie bereit, Ihre Settlement-Prozesse auf den Prüfstand zu stellen?
      Mehr lesen

  • Portfolio
    • Consulting

      Financial Services

      • Core Banking
      • Zahlungsverkehr und Liquiditätsmanagement
      • Wertpapiergeschäft

      Processes & Data

      • Geschäftsprozessmanagement
      • Prozessautomatisierung

      Professional Services

      • Agile Consulting
      • Product Lifecycle Management
      • Projektmanagement
      • Vernetztes Projektterminmanagement

      Governance, Risk & Compliance

      • Business Continuity Management
      • Identity Access Management
      • Informationssicherheit
      • Datenschutz

      IT Security

      • DevSecOps
      • Penetrationstest
      • Security Engineering
      • Social Engineering

      Sustainability

      • ESG-Risikomanagement
      • Lieferkettengesetz
      • ESG-Datenmanagement
      • ESG-Tool-Beratung

      Solution Engineering

      • Software Engineering
      • Requirements Management
      • Anwendungsintegration
      • Test und Qualitätssicherung
      • Virtualisierung Consulting

      Atlassian & Service Management

      • Atlassian Beratung
      • Atlassian Apps
    • Solutions

      Atlassian Apps

      PINQ Case Management

      • PINQ Charges
      • PINQ Exceptions & Investigations

      Regulatorik-Radar

  • Über uns
    • Wer wir sind

      Über syracom

      Daten und Fakten

      Management

      Unternehmenskultur

      Consileon-Gruppe

      Kunden

      Standorte

    • Verantwortung

      Nachhaltigkeit

      CO2-Neutral

      Corporate Governance

      Soziales Engagement

  • Karriere
    • Dein Start bei uns

      syracom als Arbeitgeber

      Stellenangebote

      Benefits

      Schüler

      Studenten

      Berufseinsteiger

      Berufserfahrene

    • #codeorange: Deine Zukunft in einer neuen Farbe.

      Du suchst einen Job? Hier findest du ein ganzes Team.
      Jetzt bewerben

  • News
    • News und Trends

      News

      Events

      Presse

      Publikationen

      Case Studies

    • Insights

      BLOG

      • life@syracom
      • Financial Services
      • Solution Engineering
      • Sustainibility
      • IT Security
      • Prozesse & Daten
      • Atlassian Solution
  • Navigation
  • Im Fokus
    • Cyber-Security-Risiko evaluieren
    • Data Act | Pflichten, Chancen, Compliance
    • DORA Beratung | Implementierung
    • NIS2 Beratung | Implementierung
    • Regulatorik Radar
  • Portfolio
    • Financial Services
      • Core Banking
      • Zahlungsverkehr und Liquiditätsmanagement
      • Wertpapiergeschäft
    • Processes & Data
      • Geschäftsprozessmanagement
      • Prozessautomatisierung
    • Professional Services
      • Agile Consulting
      • Product Lifecycle Management
      • Projektmanagement
      • Vernetztes Projektterminmanagement
    • Governance, Risk & Compliance
      • Business Continuity Management
      • Identity Access Management
      • Informationssicherheit
      • Datenschutz
    • IT Security
      • DevSecOps
      • Penetrationstest
      • Security Engineering
      • Social Engineering
    • Sustainability
      • ESG-Risikomanagement
      • Lieferkettengesetz
      • ESG-Datenmanagement
      • ESG-Tool-Beratung
    • Solution Engineering
      • Software Engineering
      • Requirements Management
      • Anwendungsintegration
      • Test und Qualitätssicherung
      • Virtualisierung Consulting
    • Atlassian & Service Management
      • Atlassian Beratung
      • Atlassian Apps
    • Atlassian Apps
    • PINQ Case Management
      • PINQ Charges
      • PINQ Exceptions & Investigations
    • Regulatorik-Radar
  • Über uns
    • Über syracom
    • Daten und Fakten
    • Management
    • Unternehmenskultur
    • Consileon-Gruppe
    • Kunden
    • Standorte
    • Nachhaltigkeit
    • CO2-Neutral
    • Corporate Governance
    • Soziales Engagement
  • Karriere
    • syracom als Arbeitgeber
    • Stellenangebote
    • Benefits
    • Schüler
    • Studenten
    • Berufseinsteiger
    • Berufserfahrene
  • News
    • News
    • Events
    • Presse
    • Publikationen
    • Case Studies
    • BLOG
      • life@syracom
      • Financial Services
      • Solution Engineering
      • Sustainibility
      • IT Security
      • Prozesse & Daten
      • Atlassian Solution
DE
  • DE
  • EN
  • Home
  • News
  • Insights
  • BLOG
  • IT Security
  • Das menschliche Betriebssystem hacken: Social Engineering

Das menschliche Betriebssystem hacken: Social Engineering

09.Nov.2022 Matthias Kunz IT Security
Das menschliche Betriebssystem hacken: Social Engineering

Social Engineering (SE) zählt laut Bitcom [1] zu den größten zukünftigen Bedrohungen der Informationssicherheit. In den meisten Fällen ist es der Türöffner für weitere Hackerangriffe. Laut Kevin Mitnick [5], einem ehemaligen US-amerikanischen Hacker, ist Social Engineering eine der effektivsten Methoden, um an ein Passwort zu gelangen. Und es funktioniert sogar weitaus schneller als mit rein technischen Ansätzen.

Als Social Engineering bezeichnet man das Manipulieren von zwischenmenschlichen Beziehungen. Auf diese Weise sollen bestimmte Verhaltensweisen erzeugt werden, so z. B. die Herausgabe von vertrauten Informationen oder die Freigabe von Finanzmitteln. Ein guter Social Engineer ist aus psychologischer Sicht ein herausragender Beobachter menschlichen Verhaltens und von Natur aus begabt, Menschen zu lesen. Er ist sehr gut in der nonverbalen Kommunikation und erkennt schnell, was andere Menschen denken und fühlen. Ist erst einmal Vertrauen aufgebaut, wird dieser Vertrauensvorschuss ausgenutzt. Bevor ein Social Engineer allerdings eine Person anspricht, hat er bereits den Werdegang, die Bedürfnisse und die Interessen seines zukünftigen Opfers anhand von Jobportalen oder Social Media studiert.

Der Werkzeugkasten des Social Engineers

Phishing ist nach wie vor eines der wichtigsten Werkzeuge des Social Engineers. Seit der Pandemie haben viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt. Sie vertrauen auf Tools wie Microsoft Teams, Zoom oder Slack. Für Angreifer bieten die neuen Kollaborationstools perfekte Möglichkeiten, um in die Systeme von Unternehmen einzubrechen. Viele Mitarbeiter sind noch nicht vertraut mit den neuen Kommunikationskanälen, der persönliche Austausch unter den Kollegen ist seit der Pandemie stark zurückgegangen. So werden weniger schädliche E-Mails erkannt:  Phishing ist auf dem Vormarsch.

Zusätzlich bauen Social Engineers auf die zahlreichen Möglichkeiten der künstlichen Intelligenz [8]. Algorithmen sind mittlerweile in der Lage, ein Bild, ein Video oder eine Stimme so zu verändern, dass sie eine bestimmte Person nachahmen können. Sogenannte „Deep Fakes“ sind ein mächtiges Werkzeug. Mithilfe eines trainierten KI-Modells werden beispielsweise Stimmen von CEOs nachgeahmt – eine beliebte Falle, in die bereits einige Mitarbeiter getappt sind.

Einen besonders hohen Anstieg verzeichnet momentan das Lovescamming – eine Form des Internetbetrugs, bei der gefälschte Profile auf sozialen Plattformen oder Singlebörsen benutzt werden, um Opfern Verliebtheit vorzugaukeln und damit eine finanzielle Zuwendung zu ergaunern [9].

Ein erfolgreiches Beispiel für Social Engineering: der Tinder-Schwindler

Im Jahr 2019 wurden mehrere Frauen über die Dating-App "Tinder" Opfer einer vorgetäuschten Liebesbeziehung. Dies ging so weit, dass sie Unmengen an Geld an den Betrüger überwiesen. Ein klarer Fall von Social Engineering, oder besser gesagt von Authorized Push Payment (APP). Eine Masche, die einen Kontobesitzer dazu bewegt, eine Überweisung von sich aus zu autorisieren. Da Banken nur dazu verpflichtet sind, fremde autorisierte Zahlungsvorgänge zurückzuerstatten, haftet im Falle eines Social-Engineering-Angriffs der Kunde meist selbst.


Hinter dem Tinder-Schwindler steckte in Wirklichkeit der israelische Hochstapler namens Simon Leviev, [7] geboren als Shimon Yehuda Hayut. Er änderte seinen offiziellen Namen von Shimon Hayut in Simon Leviev, um vorzugeben, er sei mit Lev Avnerovich Leviev, einem israelischen Geschäftsmann, Diamantenhändler und Milliardär, verwandt.

Hayut besaß schon mit Anfang 20 mehrere gefälschte israelische Pässe, Führerscheine, Fluggenehmigungen und American-Express-Kreditkarten. Damit reiste er quer durch Europa, gab sich als verschiedene Personen aus und beutete so auch schon mehrere Frauen in Deutschland aus.

Leviev nutzte unter anderem die Dating-App Tinder, was ihm den Namen „Tinder-Schwindler“ einbrachte. Er gaukelte einen reichen und extravaganten Lebensstil vor und manipulierte Frauen so weit, dass sie ihm hohe Geldsummen überwiesen.

Wie legen Sie dem Social Engineer das Handwerk?

Seit 2016 wird versucht, den Betrug im Zahlungsverkehr zu verhindern und bessere Mechanismen zur Entschädigung der Opfer von APP-Betrug zu entwickeln. Dazu gehört die Einführung des freiwilligen "Contingent Reimbursement Models (CRM)" [3], einer Initiative der britischen Zahlungsverkehrsbranche. 2019 in Kraft getreten, soll diese Initiative Opfer von APP-Betrug entschädigen. Die unterzeichnenden Zahlungsdienstleister übernehmen dies freiwillig. Allerdings werden immer noch nicht alle Opfer von APP-Betrügen entschädigt. Viele erleiden Verluste, ohne eine Entschädigung zu erhalten.  

Es ist nicht leicht, sich gegen einen Social Engineer zu verteidigen [6]. Wie gesagt, nutzt ein Social Engineer positive Eigenschaften wie Hilfsbereitschaft, Gutgläubigkeit, Neugier oder allgemein menschliche Emotionen aus. Er führt Notsituationen herbei, in denen wir Menschen ohne weiteres Nachfragen helfen. Am besten bekämpft man SE, in dem man die Identität und Berechtigung einer Person sicherstellt, bevor man weitere Handlungen unternimmt. Im Unternehmen können bestimmte Verhaltensweisen von Mitarbeitern trainiert werden, um im Ernstfall richtig zu reagieren. syracom bietet einen Werkzeugkasten mit wertvollen Instrumenten, um Kunden vor SE zu schützen.

Der bewusste Blick nach vorne: Awareness schaffen

Wer die Methoden eines Social Engineers kennt, ist diesem nicht schutzlos ausgeliefert. Das oberste Ziel dabei: Awareness, also Bewusstsein, bei den Beteiligten zu schaffen.

syracom etabliert hierzu hohe Sicherheitsstandards für Kunden. Mit verschiedenen IT Security-Lösungen werden Bedrohungen aus dem Cyberbereich erfolgreich abgewehrt. Dabei schafft eine lokal durchgeführte Sicherheitskulturanalyse kombiniert mit gezielten Awareness-Maßnahmen Sicherheit.

Und so könnte dies in der Praxis aussehen: Mit einer einleitenden Phishing-Kampagne wird die Klickrate einzelner Abteilungen im Unternehmen analysiert. Mitarbeiter bekommen ein erstes Gefühl, wie eine Phishing-E-Mail aussieht, und sammeln wichtige Erfahrungen. Beim anschließenden IT-Sicherheitscheck wird jetzt die Ausgangssituation des Unternehmens ermittelt. Daraus werden weitere Handlungsempfehlungen abgeleitet. Meist findet parallel dazu eine fortgeschrittene Phishing-Kampagne statt. Die gewonnenen Erkenntnisse stehen dem Unternehmen anschließend in Form eines Berichtes zur Verfügung. Weitere Maßnahmen wie Schulungen vor Ort oder digital, E-Learning-Einheiten aus dem syracom-Leistungsportfolio können ergänzt werden.

Mit dem passenden Ansatz erkennen Unternehmen Angriffe rechtzeitig und können entsprechend handeln. syracom unterstützt Unternehmen beim Aufbau und der Weiterentwicklung einer einheitlichen, nachhaltigen Sicherheitsstrategie – und dies auf allen Ebenen des Unternehmens. Jeder Kunde erhält dabei sein individuell auf ihn abgestimmtes Awareness-Paket.

Dieser Blogbeitrag wurde von Matthias Kunz in Zusammenarbeit mit Philipp Merchel erstellt. Philipp Merchel ist Teil des IT-Security-Teams bei syracom und interessiert sich besonders für die Themen Cybersecurity und Cyber Resilience.

Autor

Autorenprofil Matthias Kunz

Matthias Kunz absolvierte eine Bankausbildung und studierte an der Technischen Universität Darmstadt Wirtschaftsinformatik auf Diplom. Nach 15 Jahren Arbeitserfahrung in der Bankenbranche wechselte Matthias Kunz zu syracom in die Beratung, wo er als Banken- und Digitalisierungsexperte und nicht zuletzt auch als Blockchain-Experte das Unternehmen und die Projekte unserer Kunden aktiv mitgestaltet.

Werden Sie heute noch aktiv und sprechen Sie uns an it-security(at)syracom.de.

 

Quellen:
[1] Bitkom. Wirtschaftsschutz 2021: Ransomeware & 0-Day Schwachstellen als zukünftige Bedrohungen. Wirtschaftsschutz 2021 (bitkom.org). [last visited 8.9.2022]
[2] Statista. Singapore: number of internet love scams 2021. love scamming statista singapur – Google Suche. [last visited 8.9.2022]
[3] gov.uk. Goverment approach to authorized push payment scam reimbursement. Government approach to authorised push payment scam reimbursement - GOV.UK (www.gov.uk). [last visited 8.9.22]
[4] Wikipedia. Social Engineering (Sicherheit): USB Drop. Social Engineering (Sicherheit) – Wikipedia. [last visited 12.9.2022]
[5] Wikipedia. Social Engineering (Sicherheit): Bekannte Social Engineers. Social Engineering (Sicherheit) – Wikipedia. [last visited 12.9.2022]
[6] Wikipedia. Social Engineering (Sicherheit): Abwehr. Social Engineering (Sicherheit) – Wikipedia. [last visited 12.9.2022]
[7] Wikipedia. Simon Leviev: Vorgehen.  Simon Leviev – Wikipedia. [last visited 14.09.22]
[8] Security-insider.de. Profis rüsten weiter hoch – Social-Engineering-Trends 2021. Profis rüsten weiter hoch – Social-Engineering-Trends 2021 (security-insider.de). [last visited 30.9.22]
[9] Wikipedia. Romance Scam. Romance Scam – Wikipedia. [last visited 30.9.22]
[10] Statista. Number of cases of… from 2013 to 2012. Singapore: number of internet love scams 2021 | Statista. [last visited 30.9.22]

Dieser Blogpost wurde bisher 4091 mal aufgrufen.

Blogpost teilen

Zurück zur Übersicht

INSIGHTS!

Aktuelle Themen frisch aus dem Kopf. Wir freuen uns diese mit Ihnen zu teilen und zu diskutieren.

Kategorie:

  • Atlassian Solution
  • Financial Services
  • IT Security
  • life@syracom
  • Prozesse & Daten
  • Solution Engineering
  • Sustainibility

Autor:

  • Carsten Gross
  • Hendrik Kurz
  • IT Security Team
  • Manfred Freitag
  • Marketing Team
  • Matthias Kunz
  • Oliver Tornow
  • Philip Tauschek
  • Philipp Kramer
  • Springfluencer
  • Tom Acker

syracom AG
Otto-von-Guericke-Ring 15
65205 Wiesbaden

+49 6122 9176 0 info@syracom.de

SitemapDatenschutzGender-HinweisImpressumCookie Einstellungen