Cyberkriminalität durch individualisierte SPAM-Nachrichten erreicht diese Tage eine neue Qualität. Neu sind die durch persönliche Daten aus Sozialen Netzwerken glaubhaften Nachrichtentexte, in deren Anhang Schadsoftware in Unternehmensnetze geschleust werden. Betroffen sind insbesondere Behörden und Unternehmen mit Sicherheitsbezug. Ein prominentes Beispiel ist laut Washington Post vom 27. September die Chertoff Group, ein auf Risikomanagement und Sicherheitsberatung spezialisiertes Unternehmen.
Das sogenannte Social Engineering ist eine Betrugsform, die menschliche Eigenschaften wie Empfänglichkeit für Lob und Kritik, Hilfsbereitschaft und Solidarität unter Kollegen, Respekt für Autoritäten sowie Unsicherheit ausnutzt. Der Social Engineer wertet Blogeinträge und Beiträge aus sozialen Netzwerken wie Facebook aus, um glaubwürdige Texte zu verfassen. Auf diese Weise werden die Empfänger veranlasst, vermeintlich vertrauenswürde Anhänge und Links zu öffnen. Diese enthalten tatsächlich Spionagesoftware, die den Zugriff auf unternehmensinterne, geheime Informationen ermöglicht. Hat die Schadsoftware erst Einzug in das Netzwerk erlangt, ist es nur schwer diese ausfindig zu machen und zu entfernen.
Alle Informationen, auch vermeintlich unnütze, sind für den Cyberkriminellen relevant. Sie helfen, sinnvollere Legenden zu generieren, die ein tieferes Eindringen in das Unternehmen möglich machen. Auch anhand persönlicher Daten, die zwar nicht direkt mit der Firma in Verbindung stehen, jedoch von Seiten wie Facebook oder Twitter gesammelt werden können, kann ein geübter Social Engineerer diese Mails zu entwerfen.
Im Falle der Chertoff Group wurde eine Mail generiert, die ein im Betrieb besprochenes Zitat für eine Schulung enthielt. Dieser Angriff ist Teil einer langwierigen Spionage-Kampagne von Hackern aus China. Andere Angriffe richteten sich unter anderem an Geheimdienste, Vorstände von Gaskonzernen oder weitere Sicherheitsfirmen – alle individuell abgestimmt.
Weitere Informationen zu Social Engineering finden Sie auf der Internetseite des Bundesamts für Sicherheit und Informationstechnologie.
Den Artikel der Washington Post über die Cyber-Angriffe durch Social Engineering finden Sie hier
