Geschrieben am 22.09.2022 von:
Mitte des Jahres wurde die US-amerikanische Hotelkette Marriott zum dritten Mal Opfer eines Social Engineering Angriffs. Die Angreifer brachten einen Hotelmitarbeiter dazu, ihnen Zugriff auf seinen PC zu gewähren. So konnten die Angreifer rund 20 GB an Daten von Gästen und Mitarbeitenden kopieren. Darunter befanden sich Kreditkartendaten und andere sensible Daten.
Der Mensch als vermeintlich schwächstes Glied in der Kette ist ein beliebtes Angriffsziel, weil über ihn andere Sicherheitsvorkehrungen teils übergangen werden können. Auch wenn Social Engineering Angriffe gerne belächelt werden, handelt es sich bei den erfolgreichen Angriffen eher nicht um schlecht formulierte E-Mails vermeintlicher afrikanischer Prinzen, die großzügig ihren Reichtum teilen wollen. Durch geschicktes Nachforschen fälschen die Angreifer stattdessen E-Mails oder Anrufe, die täuschend echt wirken können. In besonders lohnenden Fällen stecken professionelle Gruppen viel Arbeit und Zeit in die Vorbereitungen. So wurde im März 2022 beim vietnamesischen Unternehmen Sky Mavis virtuelle Währung im Wert von rund 540 Millionen Dollar gestohlen, nachdem ein Mitarbeiter durch ein vermeintliches Job-Angebot mit sehr viel besseren Konditionen geködert wurde. Nach mehreren Bewerbungsgesprächen wurde der Mitarbeiter dazu gebracht ein manipuliertes PDF-Dokument mit dem endgültigen Angebot auf seinem Firmen-PC zu öffnen. Das PDF enthielt Schadcode über den die Angreifer sich dann den weiteren Zugriff verschafften.
Beide Vorfälle zeigen, wie wichtig eine stetige Sensibilisierung und Schulung der eigenen Mitarbeiter*innen in Bezug auf Social Engineering ist, um die Gefahr für das eigene Unternehmen so gering wie möglich zu halten.