Social Engineering
Wissenswertes
Social Engineering (engl. eigentlich «angewandte Sozialwissenschaft», auch «soziale Manipulation») nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. (Quelle: Wikipedia)
Beim Social Engineering erfolgt der Angriff häufig personenbezogen, mit fingierten Telefonanrufen oder auch im direkten Kontakt. Das Opfer wird beispielsweise gebeten, einem angeblichen Techniker Zutritt zu Räumlichkeiten zu gewähren.
Auch per E-Mail kann mit Methoden des Social Engineerings angegriffen werden. «CEO Frauds» und teilweise auch Phishing-Mails sind Beispiele dafür.
Beim CEO Fraud sollen die Opfer mit Hilfe von E-Mails dazu gebracht werden, den Angreifenden Geld zu überweisen oder ihnen anderweitig einen finanziellen Vorteil zu verschaffen.
Die Angreifer verwenden falsche Identitäten und schieben eine dringende Aktion vor. Zum Beispiel wird das Opfer angeblich von einer vorgesetzten Stelle (z.B. einem SL-Mitglied) angeschrieben und im Laufe des sich entspinnenden Mail-Dialogs instrutiert, schnell und aufgrund einer Ausnahmesituation Zahlungen auszulösen oder Gutscheine für Online-Händler zu erwerben.
Ein solcher Angriff nutzt die vorgespielten Hierarchieverhältnisse sowie die Hilfsbereitschaft von Menschen aus.
Social Engineering-Angriffe stoppen
Bei aller Hilfsbereitschaft - ein gesundes Misstrauen ist wichtig.
Ist die Person vor Ihnen, am Telefon oder in der E-Mail wirklich diejenige, die sie zu sein vorgibt?
- Wenn Sie Zweifel an der Echtheit eines Anrufs haben, unterbrechen Sie das Gespräch. Suchen Sie in Verzeichnissen der ETH oder im offiziellen Telefonverzeichnissen nach der Rufnummer und rufen Sie die Anruferin zurück.
- Prüfen Sie die Absendeadresse der E-Mail, indem Sie mit der Maus über den Absender fahren. Ist die Adresse bekannt oder plausibel? Bei angeblich internen Absendern sollte eine interne Absendeadresse angezeigt werden.
- Sprechen Sie unbekannte oder unerwartete Personen an, wenn sie sich in zutrittsbeschränkten Räumlichkeiten befinden. Weshalb sind sie dort? Wer hat sie beauftragt?
- Gewähren Sie Unbekannten keinen Einlass in zutrittsbeschränkte Räume, es sei denn Sie sind über den Anlass informiert und der Besuch wurde Ihnen offiziell angekündigt. Im Zweifelsfall können sie beim Auftraggeber zurückfragen.
Fragen Sie sich:
- Würde die Absenderin/der Absender Sie wegen dieser Sache kontaktieren? Wie wahrscheinlich ist das?
- Kennen Sie die E-Mailadresse der Absenderin/des Absenders? Ist sie korrekt? Wenn Sie Zweifel haben, versuchen Sie über einen anderen Kommunikationskanal die korrekte E-Mail-Adresse herauszufinden. Sie können die angebliche Absenderin/den Absender auch anrufen.
- Wollen Sie die Mail wirklich beantworten? Falls ja, nutzen Sie nicht die «Reply»-Funktion, sondern adressieren Sie Ihre Antwort an die korrekte, Ihnen bekannte Mailadresse des Absenders.
- Wenn Sie auf die E-Mail geantwortet haben: Ist der darauf folgende E-Mail-Dialog plausibel, glaubwürdig? Sollen Sie dazu gebracht werden, Geldflüsse auszulösen oder sensitive Informationen preiszugeben?
Seien Sie skeptisch. Im Zweifelsfall können Sie Ihren zuständigen IT-Support um Rat fragen.