Business Security

Warnung der Polizei vor Social Engineering-Attacken auf KMU

Mittels Social Engineering gelingt es Kriminellen schon seit Jahren Betroffene zu betrügen. Sie täuschen Identitäten und Vertraulichkeit nur vor und geben sich als Vorgesetzte aus, um Gewinn zu erzielen. Im Laufe dieses Jahres wurden Fälle in Friedberg und Büdingen bekannt, bei denen skrupellose Betrüger am Werk waren.

Mitarbeiter in Friedberg waren skeptisch

Wie die hessische Polizei mitteilte, waren die Mitarbeiter einer Friedberger Firma skeptisch als sie eine Mail erhielten, die scheinbar von seinem Vorgesetzten stammte. Inhaltlich ging es angeblich um ein sehr geheimes Dossier zur Übernahme einer ausländischen Firma. Von einem Geheimhaltungsvertrag war die Rede. Zudem wurde mehrfach das Vertrauen in den Mitarbeiter hervorgehoben. Kein Wort sollte er gegenüber anderen, und selbst gegenüber dem Vorgesetzten, von dem die Mail angeblich stammte, im Büro verlieren. Die Kommunikation würde, so habe es der Anwalt geraten, ausschließlich per Mail stattfinden.

Der Firmenmitarbeiter aus Friedberg war sofort skeptisch, zumal er erkannte, dass die ersichtliche Mailanschrift des Absenders einen Buchstabendreher enthielt und der Name des eigentlichen Chefs damit falsch geschrieben war. Er ging somit nicht weiter auf die Mail ein und informierte die Firmenleitung und die Polizei über den scheinbaren Betrugsversuch.

Büdinger Firma sollte über 300.000 Euro überweisen

Ende letzten Jahres hatte es eine Büdinger Firma getroffen. Betrüger wollten einen Betrag von über 300.000 Euro ergaunern. Per E-Mail kontaktierten sie den Leiter des Rechnungswesens der Firma und versuchten, ihn zu der Überweisung an eine Anwaltskanzlei in Luxemburg zu veranlassen. Auch diese E-Mail-Adresse enthielt einen Schreibfehler. Zudem befand sich der Chef zum Kontaktzeitpunkt im Urlaub. So wurde der Mitarbeiter stutzig und stoppte die bereits veranlasste Überweisung in letzter Minute.

Die Polizei warnt

Betrüger sind oft gut informiert. Firmenauftritte im Internet liefern zumeist umfassende Informationen über die Hierarchieverhältnisse in den Unternehmern. Über Anonymisierungsdienste lässt sich dann eine X-beliebige E-Mail-Adresse vorgaukeln, die in der E-Mail-Flut manches Firmenmitarbeiters schnell als eine echte Mitteilung des Chefs angesehen werden kann. Den Betrug zu erkennen ist nicht immer leicht. Manchmal sind es lediglich Rechtschreibfehler oder ein falsche Signaturen, die Hinweise liefern können, dass etwas faul ist. Das Spiel der Betrüger mit der Vertraulichkeit macht es für Mitarbeiter zudem schwer sich mit ihren Kollegen auszutauschen, da sie nicht in die Missgunst des vermeintlichen Chefs fallen wollen.

Meist werden gezielt die Mitarbeiter eines Unternehmens angeschrieben, die berechtigt sind Überweisungen zu tätigen. Das nämlich ist in den meisten Fällen das Ziel der Täter. Jedoch fallen unter den Begriff des Social Engineering auch diverse weitere Betrugsmethoden, bei denen die Täter sich etwa telefonisch melden oder es nicht auf Geld, sondern auf Passwörter und interne Firmendaten abgesehen haben.

Bereits seit 2008 bietet das Hessische Landeskriminalamt "Prävention aus einer Hand". Dabei hat jedes Präsidium einen eigenen Ansprechpartner für das "Tatwerkzeug Internet"

Über Social Engineering (BSI)

Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch "Aushorchen" zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln. Ein typischer Fall von Angriffen mit Hilfe von Social Engineering ist das Manipulieren von Mitarbeitern per Telefonanruf, bei dem sich der Angreifer z. B. ausgibt als:

  • Vorzimmerkraft, deren Vorgesetzter schnell noch etwas erledigen will, aber sein Passwort vergessen hat und es jetzt dringend braucht,
  • Administrator, der wegen eines Systemfehlers anruft, da er zur Fehlerbehebung noch das Passwort des Benutzers benötigt,
  • Telefonentstörer, der einige technische Details wissen will, z. B. unter welcher Rufnummer ein Modem angeschlossen ist und welche Einstellungen es hat,
  • Externer, der gerne Herrn X sprechen möchte, der aber nicht erreichbar ist. Die Information, dass Herr X drei Tage abwesend ist, sagt ihm auch gleichzeitig, dass der Account von Herrn X in dieser Zeit nicht benutzt wird, also unbeobachtet ist.
  • Wenn kritische Rückfragen kommen, ist der Neugierige angeblich "nur eine Aushilfe" oder eine "wichtige" Persönlichkeit.
  • Eine weitere Strategie beim systematischen Social Engineering ist der Aufbau einer längeren Beziehung zum Opfer. Durch viele unwichtige Telefonate im Vorfeld kann der Angreifer Wissen sammeln und Vertrauen aufbauen, das er später ausnutzen kann.

Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen erworben wurden.

Ausführliche Informationen des Bundesamtes für Sicherheit in der Informationstechnik

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben