Social Engineering: Schwachstelle Mensch als Einfallstor
Kürzlich wurde bei Cisco ein Fall bekannt: Ein Mitarbeiter hatte dienstliche und private Passwörter in seinem Google-Account gespeichert. Der oder die Angreifer hatten sich Zugriff zu diesem Konto verschafft, und dann mit den aufgefundenen Passwörtern und Informationen den Inhaber dieses Google-Kontos per Telefon kontaktiert und zur Abgabe eines Multi-Faktor-Merkmals bewegt. Somit erlangten Sie Zugriff – auch auf die Unternehmens-Accounts.
Angriffe dieser Art sind nicht ungewöhnlich. Es sind klassische Social-Engineering-Angriffe, bei dem Beschäftigte systematisch manipuliert werden, um vermeintlich freiwillig Informationen herauszugeben. Weitere klassische Social-Engineering-Delikte sind beispielsweise Zahlungs- und Bestellerbetrug sowie die „Fake President“-Masche, die auch teilweise als CEO-Fraud bekannt ist und bei dem sich die Kriminellen etwa als Vorgesetzter ausgeben, um die Überweisung von hohen Geldbeträgen zu ergaunern.
Neue Masche: „Pig Butchering“
Eine in Deutschland noch relativ unbekannte Masche, die erstmals 2019 in China bekannt wurde, zeigt die permanente Weiterentwicklung von Kriminellen und die noch stärkere Fokussierung auf den Menschen als Einfallstor sehr deutlich: das sogenannte „Pig Butchering“ (zu Deutsch: Schweine schlachten).
Unter Pig Butchering versteht man ein Phänomen, bei dem Angreifer über Social Media oder meist Online-Dating-Plattformen, wie beispielsweise Tinder, Grindr, Bumble aber auch LinkedIn Kontakt zu ihren späteren Opfern aufnehmen und ein Vertrauensverhältnis aufbauen, das sie später missbrauchen, um die Opfer um ihr Geld zu bringen. Sie richtet sich vor allem gegen private Einzelpersonen, die dadurch in schwere existenzielle Nöte geraten können, was wiederum auch für Unternehmen ein immenses Schadenpotenzial darstellt – aber dazu später mehr.
Anfang April 2022 warnte die US-Bundespolizei FBI erstmals vor dieser Masche, die mittlerweile über Südostasien und die USA auch ihren Weg nach Deutschland gefunden hat.
Schneeballsystem: Täter stehen selbst unter Druck und suchen neue Opfer
Davon sind bisher nur wenige Einzelfälle bekannt – noch. In Südostasien ist die Methode bereits weit verbreitet: Dort haben kriminelle Gruppierungen ganze „Scam-Center" aufgebaut. Hinter diesen stehen meist Menschenhandelsringe, die die Betrüger, auch „Scammer“ genannt, dort unter Vergewaltigungsandrohung, Sklavenarbeit und extremere Gewalt festhalten und zwingen, die Delikte auszuführen. Zunächst einmal werden die Scammer dort psychologisch geschult, wie sie online eine Beziehung zu einem Fremden aufbauen können. Im nächsten Schritt müssen sie sich mit den unterschiedlichen Dating-Plattformen auseinandersetzen, die eingesetzt werden, um die Opfer um ihr Geld zu bringen.
Über den Kommunikationsweg von Dating-Plattformen entsteht ein Sympathieverhältnis oder sogar eine Abhängigkeit durch den Austausch von Bildern oder teilweise auch intimen Informationen. Das gewonnene Vertrauensverhältnis wird dann für die Verwirklichung von „Investmentideen“ im Bereich von Kryptowährungen, Devisen, Gold oder ähnlichem genutzt.
Fünf verschiedene Abzocken bekannt: von Krypto bis Glücksspiel
Die Betrüger bitten ihre Opfer dabei nicht direkt um Geld, sondern nutzen fünf unterschiedliche Arten des Pig-Butchering-Scams: gefälschte Investment-Websites und Apps, gefälschte Makler auf Meta Trader, gefälschte Liquiditäts-Mining-Pools (dezentralisierte Apps), Gruppeninvestitionen und Glücksspiel. Weil das Geld bei allen Methoden vermeintlich nicht direkt an die Betrüger gezahlt wird, fühlen die Opfer sich sicher bezüglich der Geldeinzahlung und schöpfen erst Verdacht, wenn es schon zu spät ist.
In Absprache mit dem „Kundendienst“ der einzelnen Investment-Seiten überreden die Betrüger die Opfer mit einer Reihe von psychologischen und technischen Tricks auf der von ihnen kontrollierten Website oder App immer größere Geldbeträge einzuzahlen. Die zunächst kleinen Einzahlungssummen werden durch Gewinne weiter angefüttert, um schlussendlich zum vollständigen Verlust des Vermögens zu führen.
Sobald die Opfer skeptisch werden und infolgedessen versuchen ihr Geld abzuheben, bekommen sie gesagt, dass Steuern auf die Gewinne anfallen würden, bevor die Gelder ausgezahlt werden können. Hierbei handelt es sich um einen Versuch, eine letzte Zahlung des Opfers zu veranlassen unter dem Deckmantel des großen Gewinnes, der sich dahinter angeblich verbirgt.
Neben Dating-Plattformen ist auch Whatsapp ein Kanal für den Erstkontakt
Ein ähnliches Vorgehen lässt sich auch bei Kontakten via Whatsapp und älteren Personen beobachten. Hier wird das Vorgehen oft noch mit sogenannte Support-Scams kombiniert. Die Betrüger greifen mit Hilfe von Fernwartungssoftware auf die Rechner oder Handys der Opfer zu, um dort Banking-Apps zu installieren und die Kontobewegungen teils selbst vorzunehmen. Oft wird das Vorgehen dabei mit klassischen Tätigkeiten der Geldwäsche über die Opferkonten kombiniert. Auch hier führt das Vorgehen im Ergebnis zum vollständigen Verlust des Vermögens auf der Opferseite.
Wirtschaftskriminalität: 57 Prozent der Täter sind eigene Mitarbeiter
Dabei werden diese sich daraus ergebenden privaten Notlagen schnell auch zum Problem für Unternehmen: Nach Analysen von Allianz Trade gehört die finanzielle Notlage zu einem der drei häufigsten Motive von kriminellen Mitarbeitern, die ihre eigenen Unternehmen angreifen. Die eigenen Mitarbeiter verursachen mit 57 Prozent aller Fälle immer noch wesentlich mehr und auch wesentlich höhere Schäden als externe Dritte wie beispielsweise Cyberkriminelle.
Gerade das Angriffsmuster des Pig Butchering hinterlässt oft völlig mittellose Opfer. Die Opfer befinden sich in einer gravierenden finanziellen Schieflage, die mit erheblichem sozialem Druck verbunden ist, aber auch mit Scham. Aufgrund dieser Scham versuchen die meisten Opfer alles, um diese Notlage zu vertuschen. Die Täter können über dieses „Geheimnis“ besonders einfach ein „Vertrauensverhältnis“ aufbauen und vermeintliche „Auswege“ aus der Krise aufzeigen. Und es gibt noch ein weiteres Szenario: Die Drohung, die persönlichen Daten und Informationen weiterzuverkaufen, kann dazu genutzt werden, das Opfer dazu zu bewegen neue Opfer zu suchen, wie beispielweise den Arbeitgeber.
Opfer könnten genötigt werden, Firmeninteressen oder Geschäftsgeheimnisse zu verraten – etwa durch die Weitergabe von Zugangsdaten, oder auch einfach nur das Abspielen bestimmter Dateien auf dem Firmenrechner oder auch durch das Einschleusen von Ransomware in das Unternehmen. Hierdurch wird das vormalige Opfer selbst zum Täter. Wobei die ursprünglichen Angreifer weiterhin in der Lage sind, die „Tätermotivation“ selbst zu beeinflussen und sie wie Marionetten zu steuern.
Abwehrmaßnahmen für Unternehmen
Pig Butchering ist auch deshalb so gefährlich, weil der Ansatzpunkt von üblichen Angriffsmethoden abweicht. Sicherheitsmechanismen wie Inhaltskontrolle von Internetseiten und Mailüberwachung als erste Linien der Verteidigung werden komplett ausgehebelt. Solche Täter im Unternehmensumfeld zu identifizieren ist schwierig, da sensible Erkennungsmechanismen benötigt werden. Unternehmen sollten ihre Firmennetzwerke regelmäßig auf eine mögliche Infiltration überprüfen und Sicherheitslücken schließen.
Wirksam sind auch Einschränkungen auf den Endgeräten, die verhindern, weitere Software von Drittanbietern zu installieren. Dabei geht es im Besonderen um den Schutz vor Software aus dem Bereich der Fernwartung. Auch deshalb sollten Unternehmen auch den Einsatz von mobilen Datenträgern strikt reglementieren.
Eine reine Schulung der Mitarbeiter an sich reicht hier nicht mehr aus, da es sich um eine willentliche Entscheidung des Arbeitnehmers handelt. So bleibt als wirksames Mittel zunächst einmal nur der offene Umgang mit Cybercrime-Risiken – auch außerhalb des Unternehmens – und wie leicht es sein kann, ein Opfer derartiger Maschen zu werden. Wenn sie einer Stigmatisierung der Opfer entgegenwirken, können sie auch verhindern, dass vormalige Opfer zu Täter werden.
Rüdiger Kirsch ist Betrugsexperte bei Allianz Trade.
