Social Engineering & Recon – Wie Angreifer öffentliche Infos für Täuschung nutzen

von

Stefan
in , ,

Einleitung

Die menschliche Komponente ist oft die schwächste Stelle in der Sicherheitskette. Selbst die beste Firewall oder das härteste Passwort nützt wenig, wenn Mitarbeiter dazu gebracht werden, vertrauliche Informationen preiszugeben.
Hier kommt Social Engineering ins Spiel – und die Grundlage dafür ist fast immer eine gründliche Passive Reconnaissance.

Was ist Social Engineering?

Social Engineering beschreibt Manipulationstechniken, bei denen Angreifer das Vertrauen von Menschen ausnutzen, um an Informationen oder Zugänge zu gelangen.
Typische Methoden sind:

  • Phishing: Täuschende E-Mails oder Websites.
  • Pretexting: Angreifer geben sich als jemand anderes aus (z. B. IT-Support).
  • Vishing/Smishing: Telefon- oder SMS-basierte Täuschungen.
  • Impersonation: Auftreten als Mitarbeiter, Kunde oder Dienstleister.

Wie Recon Social Engineering vorbereitet

1. Mitarbeiterinformationen sammeln

  • Über LinkedIn, Xing, Firmenwebseiten oder Pressemitteilungen.
  • Angreifer identifizieren Schlüsselpersonen: Admins, HR, Assistenzkräfte.

2. Persönliche Details analysieren

  • Social Media Posts verraten Hobbys, Vorlieben oder Reisepläne.
  • Diese Infos machen Angriffe persönlicher und glaubwürdiger.

3. Organigramme & Partnerbeziehungen rekonstruieren

  • Durch öffentliche Kontakte lässt sich nachvollziehen, wer mit wem arbeitet.
  • So können Angreifer plausible Pretexts entwickeln („Ich bin vom Support-Partner XY“).

4. Sprache & Kommunikationsstil imitieren

  • Durch Newsletter, Pressemitteilungen oder Social Media lernen Angreifer den Tonfall des Unternehmens.
  • E-Mails wirken dadurch authentischer.

Beispiel-Szenario

  1. Recon deckt auf: Ein Unternehmen migriert gerade zu Microsoft 365 (Jobanzeigen + LinkedIn-Posts).
  2. Angreifer erstellen ein täuschend echtes Login-Portal für Microsoft.
  3. Phishing-Mails an Mitarbeiter, die auf das Projekt Bezug nehmen:
    „Bitte hier in das neue M365-Portal einloggen, um Ihre Daten zu synchronisieren.“
    👉 Ohne das Wissen aus der Recon wäre die Attacke nicht glaubwürdig.

Risiken für Unternehmen

  • Spear-Phishing: Hochgradig gezielte E-Mails mit realistischen Inhalten.
  • CEO-Fraud: Angreifer geben sich als Vorgesetzte aus und fordern Überweisungen.
  • Vertrauensverlust: Kunden oder Partner könnten Opfer von Social-Engineering-Angriffen werden, die den Anschein haben, vom Unternehmen selbst zu stammen.

Schutzmaßnahmen

  1. Security Awareness Trainings: Mitarbeiter regelmäßig für Social-Engineering-Techniken sensibilisieren.
  2. Simulationen: Phishing-Tests durchführen, um die Reaktionsfähigkeit zu messen.
  3. Verifizierungsprozesse: Telefonische Rückrufe oder 4-Augen-Prinzip bei kritischen Anfragen.
  4. Monitoring: Social Media und öffentliche Datenquellen auf Unternehmensbezug beobachten.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert