Laut dem neusten Enisa Threat Landscape Report ist Social Engineering die drittgrösste Bedrohung in der digitalen Welt – nach Ransomware und Malware, die beide wiederum durch Social Engineering ermöglicht werden.
Die häufigste Art von Social Engineering ist Phishing, also betrügerische E-Mails. Aber auch betrügerische Anrufe und Pop-Ups gehören zum Arsenal der Kriminellen.
Linkedin, das Lieblingsnetzwerk der Social Engineers
Eine besondere Rolle für Social Engineers spielen die sozialen Medien. Ein gezielter Angriff basiert auf einer eingehenden Studie der Zielperson: Name, Alter, Adresse, Job, Interessen, Hobbies, Familie, Freunde, Persönlichkeit... All diese Informationen lassen sich auf den sozialen Medien finden.
Linkedin nimmt dabei eine spezielle Stellung ein. In diesem Netzwerk veröffentlichen viele ihren gut strukturierten und detaillierten Lebenslauf – alles, was ein Profiler braucht, wird auf dem Silbertablett serviert.
Worauf haben es Hacker abgesehen?
Linkedin ist besonders dann ein ideales Instrument, wenn es die Hacker nicht auf eine Einzelperson, sondern ein Unternehmen abgesehen haben. Zum Beispiel, wenn die Kriminellen Ransomware ins Firmennetzwerk schleusen wollen, wenn sie an Firmengeld kommen möchten oder wenn es um Industriespionage geht.
Auf Linkedin kann man direkt nach einem bestimmten Arbeitgeber suchen. Man erhält dann eine Liste von Angestellten inklusive deren Jobtitel und -profil, was einem Hacker oder einer Hackerin bereits einen guten Überblick über ein Unternehmen gibt: Wie ist die Firma organisiert? Wie heissen die Leute in der Führungsetage? Wie ist die IT-Abteilung aufgestellt?
Aus der Liste der Mitarbeitenden kann man sich dann eine Zielperson suchen. Das kann jemand sein mit Zugang zu vertraulichen Informationen, zu IT-Systemen oder zu Bankkonten. Das kann aber auch ein durchschnittlicher Angestellter sein, der den Angreifern einen ersten Landepunkt liefert.
Sollte ich Linkedin deinstallieren?
Wie bei anderen Medien empfehlen Cybersecurity-Experten und -Expertinnen auch bei Linkedin, nicht unbedingt gleich das Profil zu löschen, sondern mit einer gesunden Portion Skepsis an die Sache heranzugehen. Bei allem, was man schreibt, sollte man sich fragen: Darf das ein Krimineller, eine Kriminelle über mich wissen – respektive über meine Firma?
Dürfen das Kriminelle über mich wissen?
Ausserdem braucht es ein stärkeres Bewusstsein dafür, dass jede und jeder ein wertvolles Ziel sein kann – man muss weder besonders reich noch ein Firmenchef sein, um Opfer eines gezielten Hackerangriffs zu werden.
Ein Social Engineer kann über Monate hinweg als harmloser Kontakt getarnt eine Freundschaft aufbauen, bevor er oder sie unauffällig nach dem fragt, was von Beginn an die Absicht war: Dass Informationen verraten werden, dass ein Link oder Dokument geöffnet wird oder dass Geld überwiesen wird.
Wenn in dem Moment die Zeichen erkannt werden, kann den Betrügern relativ einfach der Riegel geschoben werden: mit einem simplen «Nein».
Der Technologie-Podcast von SRF über Internet, Smartphones, soziale Netzwerke, Computersicherheit und Games.
Um diesen Podcast zu abonnieren, benötigen Sie eine Podcast-kompatible Software oder App. Wenn Ihre App in der obigen Liste nicht aufgeführt ist, können Sie einfach die Feed-URL in Ihre Podcast-App oder Software kopieren.