Was ist Social-Engineering-Angriffsfläche? - Definition von Computer Weekly

Social-Engineering-Angriffe nutzen in der Regel menschliche Verhaltensweisen und die Schwachstellen Mensch aus: etwa den Wunsch nach etwas Kostenlosem, die Anfälligkeit für Ablenkung oder den Wunsch gemocht zu werden oder hilfreich zu sein. Social Engineering wird von Angreifern häufig sehr gezielt eingesetzt. Dabei kann es sowohl darum gehen, physischen Zugang zu Ressourcen zu ermöglichen, als auch Informationen für einen gezielten E-Mail-Angriff oder andere Attacken zu erhalten.

Hier einige Beispiele für Social-Engineering-Attacken:

Ein vorgetäuschter Anruf bei der IT-Abteilung oder dem Helpdesk, wobei sich der Angreifer als Mitarbeiter ausgibt, um beispielsweise ein Passwort zu erhalten.
Präparierte Medien, die vom Angreifer platziert werden und einem physischen Trojanischem Pferd ähneln. So könnte ein USB-Stick oder ein anderes Medium in einem Konferenzraum oder auf dem Firmenparkplatz platziert werden. Nimmt ein Mitarbeiter des Unternehmens das Medium mit, um es in seinem System anzuschließen, wird automatisch Code ausgeführt, was weitere Schäden nach sich ziehen kann.
Um sich Zugang zu Unternehmen und Rechnern zu verschaffen, können Angreifer sich als Servicekräfte oder beispielsweise Reinigungskräfte ausgeben.

Mit Hilfe von Social Engineering können Angreifer sowohl fingierte Anrufe als auch Phishing-Mails sehr persönlich (Stichwort Spear-Phishing) und gezielt anlegen. Hierfür werden in unterschiedlichsten öffentlich zugänglichen Quellen wie sozialen Netzwerken oder auch Online-Auftritten des Unternehmens selbst zahlreiche Informationen über das potenzielle Opfer gesammelt. Zu diesem Einsammeln von Informationen kann auch das so genannte Dumpster Diving gehören. Dabei wird der Müll des Opfers oder des Unternehmens nach verwertbaren Informationen durchsucht. Sehr gezielten Angriffen, wie etwa Business E-Mail Compromise (BEC), geht in der Regel immer Social Engineering voraus.

Das Wichtigste was die Unternehmen tun können, um die Social-Engineering-Angriffsfläche zu reduzieren, ist die Aufklärung der Mitarbeiter im Hinblick auf die bekannten Risiken und wie Social-Engineering-Hacker zu operieren pflegen. Diese Informationen können Anwendern helfen, augenscheinlich harmlose Interkationen neu zu bewerten.