Die verführerischen Tricks der Passwort-Gauner

Technische Hacks sind aufwendig. Cyberkriminelle setzen daher verstärkt auf Social Engineering, um Konten, Daten und Systeme zu kapern. Diese Tricks sollten Sie kennen, um nicht darauf hereinzufallen.

Ein Bericht von Michael Kurzidim, verkürzte Veröffentlichung an dieser Stelle mit freundlicher Genehmigung der Computerworld

Social-Engineering-Angriffe werden von Sicherheitsteams gerne unterschätzt. Oft ist es für die Angreifer jedoch leichter, ihren Opfern durch psychologische Tricks Passwörter und Zugangscodes zu entlocken, als einen technisch aufwendigen Angriff auf eine Web-Applikation oder ein Netzwerk durchzuführen. Denn Menschen sind von Natur aus hilfsbereit.

Eine beliebte Masche der Cyberkriminellen besteht darin, sich als Support-Mitarbeiter, Verkaufsleiter oder Stellenbewerber ins Vertrauen der Opfer einzuschleichen und den Psycho-Druck Schritt für Schritt zu erhöhen. Besonders bei grossen Unternehmen beliebt, wo nicht jeder jeden kennt: Die Angreifer verschaffen sich mit gefälschten Identitäten Zugang zum Firmengebäude und geben sich einfach als Firmenmitarbeiter aus, denen niemand misstraut.

Einen Gefallen, ja sehr gerne…

Angenommen, ein Kollege der Finanzabteilung erhält per Mail eine angehängte Rechnung mit der Bitte, sie zu prüfen. Einige Minuten später ruft ein neuer Mitarbeiter aus dem Accounting an, und es geht um genau die eben erhaltene Rechnung. Cyberkriminelle haben ihre Hausaufgaben in der Regel gut gemacht. Natürlich ist die Sache dringend, und ein einfacher Klick auf das Excel-Spreadsheet im Attachement verschafft Klarheit und hilft dem neuen Kollegen weiter. Nur ein kleiner Gefallen, und schon ist der Trojaner installiert.

Diesen USB-Sticks kann keiner widerstehen

Der Trick mit den infizierten Speichermedien: in der Cafeteria oder an anderen belebten Stellen im Firmengebäude einfach USB-Sticks an öffentlichen Plätzen wie der Kaffeemaschine oder Meeting-Räumen liegen lassen. Die Sticks tragen zum Beispiel Aufkleber wie „Strategie 2015“ oder „Gehaltslisten 2014“. Natürlich sind die Sticks mit Malware infiziert, und irgendein neugieriger Mitarbeiter wird sie sicher an seinen Firmen-PC einstecken, um Einblick zu nehmen. Schon ist der Trojaner installiert und das Firmennetzwerk infiziert.

Unter Social Engineering verstehen Sicherheitsexperten die Kunst, sich mithilfe psychologischer Tricks Zugang zu Gebäuden, Systemen oder Daten zu verschaffen, ohne klassische Hacking-Techniken einzusetzen. Das beste und sicherste Passwort nützt nichts, wenn man es freiwillig aus der Hand gibt oder nicht hinreichend schützt. Der Yahoo-Account der US-Politikerin Sarah Palin etwa wurde gehackt, indem sich der Angreifer vorab in sozialen Netzwerken biografische Daten seines Opfers besorgte. Yahoo kennt eine „Forgotten Password“-Option, die durch eine Sicherheitsfrage vor unbefugtem Zugriff geschützt ist. Mithilfe der Social-Network-Infos konnte der Angreifer die Sicherheitsfrage beantworten und den Account kapern.

Kriminelle: gefährlich nette Leute

Angreifer sind in der Regel humorvolle, sympathische Menschen, mit denen man gerne Umgang pflegt. Sie setzen diese Eigenschaften jedoch als Waffe ein. Ein beliebter Trick, sich Zugang zu Gebäuden zu verschaffen, besteht zum Beispiel darin, die Mitarbeiter durch kleine Gefälligkeiten für sich zu gewinnen. Kleine Präsente oder verführerische Schmeicheleien gehören dazu.

Mehr zu diesem Thema in der Computerworld.ch

Bericht mit freundlicher Genehmigung
Autor: Michael Kurzidim