Die 5 fiesesten Social-Engineering-Maschen
Social-Engineering-Attacken werden immer ausgefuchster. Doch es gibt auch beliebte Maschen der Hacker. Die IT-Security-Firma Proofpoint hat die 5 Spitzen-E-Mail-Köder ausfindig gemacht, bei denen leider immer noch viel zu viele Angeschriebene anbeissen.
1. «Siehe Rechnung im Anhang»
So genannte «Money out»-Köder sind unter den Angreifern laut Proofpoint bei Weitem am beliebtesten, und sie sind für fast die Hälfte aller beobachteten Social-Engineering-Kampagnen verantwortlich. Dieser Köder gibt vor, dass eine Zahlung fällig ist, um den Empfänger dazu zu verleiten, E-Mail-Nachrichten zu öffnen und auf den Anhang oder einen Link zu klicken. Ganz ähnlich funktionieren Mails mit «Ihre Bestellung».
Diese E-Mail-Köder beinhalten häufig ein angehängtes Dokument mit einem eingebetteten, schädlichen Code, oftmals in Form eines bösartigen Makros, der vom Benutzer aktiviert werden muss. Durch das Ausführen des schädlichen Makros wird die Malware heruntergeladen und installiert. Beispiele sind ein Banking-Trojaner wie Dridex oder die jüngste Ransomeware wie Locky.
Nächste Seite: 2. «Hier klicken, um Ihr gescanntes Dokument zu öffnen»
2. «Hier klicken, um Ihr gescanntes Dokument zu öffnen»
So genannte Fax- und Scan-Benachrichtigungsköder sind ebenfalls häufig. Sie werden nach Statistiken von Proofpoint bei gut einem Zehntel der Social-Engineering-Kampagnen beobachtet. Diese Köder enthalten eine gewisse Dringlichkeit und geben den Anschein, unbedenklich zu sein. Denn mit Fax- und Telefonleitungen werden historisch anmutende Analog-Erinnerungen wach. Die wenigsten bringen diese Benachrichtigungen mit Malware in Verbindung. Mitarbeiter, die mitten in einem hektischen Arbeitstag stecken, denken kaum darüber nach, bevor sie auf vermeintliches Fax im Anhang oder auf eine entsprechende URL klicken.
Nächste Seite: 3. «Ihr Paket wurde versandt – Ihr Versandbeleg ist beigefügt»
3. «Ihr Paket wurde versandt – Ihr Versandbeleg ist beigefügt»
Falsche Versand- und Lieferbenachrichtigungen sind bei Social-Engineering-Angreifern nach wie vor beliebt. Damit schlagen sie aus der weit verbreiteten Nutzung von Online-Shopping Kapital. Während manche dieser E-Mail-Köder gestohlene Marken von grossen Logistikanbietern verwenden, geben andere vor, statt vom Lieferservice direkt vom Anbieter zu stammen. Da immer mehr Unternehmen grosse Online-Shopping- und Auktions-Sites als ihren hauptsächlichen Online-Store verwenden, ist es nicht unüblich, dass ein Artikel, der in einem Store gekauft wurde, von einem anderen Anbieter ausgeliefert wird, der dem Käufer nicht unbedingt bekannt ist. Daher ist der Empfänger eher bereit, E-Mails von Anbietern zu öffnen, bei dem sie nicht direkt bestellt haben. Die Versandbenachrichtigungs-E-Mail-Köder enthalten einen Dokumentenanhang mit den «Lieferangaben». Wenn der Empfänger das Dokument öffnet, wird ein automatisches Exploit ausgeführt oder sie werden gebeten, auf die Schaltfläche «Inhalt aktivieren» zu klicken, um das Dokument anzuzeigen. In jedem Fall wird dadurch versucht, Malware auf dem Computer des Opfers zu installieren.
Nächste Seite: 4. «Ich möchte eine Bestellung der angehängten Liste aufgeben»
4. «Ich möchte eine Bestellung der angehängten Liste aufgeben»
Die «Geschäftstransaktions»-E-Mail-Köder geben vor, sich auf ein mögliches Geschäft in der Zukunft zu beziehen, wie beispielsweise eine Preisauskunft, Import- und Exportarrangements, Preislisten und Verträge. Diese E-Mail-Köder weisen den Empfänger normalerweise an, einen Anhang zu öffnen, z. B. ein Dokument oder Arbeitsblatt, um die Einzelheiten einer Anfrage anzuzeigen. Der Angreifer hält dabei die Nachricht im Mail bewusst kurz und einfach, damit das Opfer das Dokument auf der Suche nach mehr Infos auch öffnet. Einmal offen wird der eingebettete, schädliche Code ausgeführt.
Nächste Seite: 5. «Bitte bestätigen Sie diese Transaktion»
5. «Bitte bestätigen Sie diese Transaktion»
Social-Engineering-E-Mails in dieser Kategorie scheinen üblicherweise von einer Bank oder einem Finanzinstitut zu stammen und ködern den Benutzer mit Nachrichten über eine elektronische oder Online-Zahlung, die für den Empfänger bestimmt ist. Doch zuvor sollten die Kontoinformationen im angehängten Dokument bestätigt oder korrigiert werden, so der Trick der Angreifer, welche mittlerweile lieber präparierte Dateien verschicken als URL auf Malware-verseuchte Seiten. Auch hier führt das Öffnen des Files dazu, dass der eingebettete, bösartige Code ausgeführt. Mit Vorliebe gelangen so Bank-Trojaner oder Ransomware auf das Gerät.
