?>
Baiting
Author
Robin Laufenburg, Fr, 18. Nov. 2022
 in IT-Sicherheit

Baiting

Wenn Kriminelle Köder einsetzen

Beim Baiting handelt es sich um eine Manipulationsstrategie, bei der Kriminelle analoge oder digitale Köder einsetzen, um ihre Opfer zu unüberlegten Handlungen zu bewegen. Baiting ist dabei Grundlage für diverse Social-Engineering-Angriffe wie Phishing oder Smishing.

Erfahren Sie hier, was es mit Baiting genau auf sich hat und wie Sie sich vor Baiting erfolgreich schützen.

Was ist Baiting?

Beim Baiting handelt es sich um eine Social-Engineering- bzw. Social-Hacking-Strategie, die auf menschliche Neugierde und Gier abzielt. Menschen sind von Natur aus begeistert von unglaublichen Fundstücken wie herrenlosen Speichermedien oder Sonder- und Gratisangeboten, die zu schön sind, um wahr zu sein. Der Begriff „Baiting“ kommt aus dem Englischen und bedeutet etwa so viel wie Köder oder Ködern. Und genau das macht die Social-Engineering-Strategie Baiting aus: Kriminelle setzen Köder ein, um die Neugierde und Gier ihrer Opfer auszunutzen und sie zu unüberlegten Handlungen zu bewegen.

Die Köder können dabei in allen erdenklichen Erscheinungsformen analog oder digital daherkommen. Es kann sich bei ihnen um physische Gegenstände, Downloadlinks, Dateianhänge oder Datenabfragen mit großen Versprechen handeln. Häufig werden Köder als „großer Gewinn“ getarnt. Das Ziel von Kriminellen ist es, mithilfe von Baiting auf die Geräte ihrer Opfer zugreifen zu können und/oder sensible Informationen in die Hände zu bekommen.

Baiting-Angriff

Beim Baiting-Angriff setzen Kriminelle, wie man es vom Fischen kennt, verlockende Köder ein. Bild: Pexels/@karolina-grabowska

Köder-Angriffe und andere Angriffsformen

Die meisten Smishing- und Phishing-Angriffe basieren auf dem Prinzip des Baitings. Kriminelle versprechen ihren Opfern hierbei einen in Wirklichkeit nicht existenten Gewinn wie attraktive Produkte oder das große Geld und ködern dadurch ihre Opfer. Auf diese Weise funktionierte bereits die Ur-Form des Scammings, die weltweit bekanntgewordene Nigeria Connection. Obwohl Phishing-Angriffe auch heute noch häufig auf Baiting setzen, ist Phishing nicht zwingend auf Köder angewiesen.

Beispiel für ein köderloses Phishing ist eine angebliche Benachrichtigung der Bank mit der Aufforderung, auf einen Link zu klicken. Die Spear-Phishing-Methode CEO-Betrug setzt fast nie auf Neugierde oder Gier, sondern fast immer auf Gehorsam.

Baiting kann ein Bestandteil von Pretexting sein, indem Kriminelle ins fingiertes Szenario, mit dem sie einen plausiblen Vorwand für eine Informationsabfrage vortäuschen, einen Köder einbauen. Unter anderem kann der Pretext Bezug auf ein angebliches Gewinnspiel nehmen, für das bestimmte Daten angegeben werden müssen. Auch können Dumpster Diving und Baiting Hand in Hand gehen. Durch das Dumpster Diving können Kriminelle persönliche Informationen über ihre Opfer herausfinden, die sie für das Baiting nutzen.

Beliebte Köder für Baiting-Angriffe

Die Köder, die Kriminelle beim Baiting einsetzen, könnten unterschiedlicher nicht sein. Nicht selten handelt es sich bei den Ködern um kostenlose Downloads von beispielsweise Musik oder Filmen, aber auch Software wie Computerspielen. Köder können aber auch Rabatte auf Premium-Software-Downloads oder andere teure Produkte sein.

Bei den meisten Ködern handelt es sich um verlockende Versprechen über attraktive Produkte, die es angeblich zu gewinnen oder zu einem Spottpreis zu erwerben gibt. Zu einigen der in den vergangenen Jahren bekannt gewordenen Ködern gehören: ein hochwertiger Gasgrill von Obi, Milka-Schokolade, Adidas-Schuhe, Europa-Park-Gutscheine oder andere ungewöhnlich hohe Gewinne wie ein neues Auto, ein neues iPhone oder auch der Hotelurlaub auf den kanarischen Inseln. Die Opfer erfahren von den unfassbaren Angeboten über Phishing-Mails, soziale Medien, Massennachrichten via WhatsApp oder Werbeanzeigen.

Doch nicht nur Produkte können Köder sein. Bei Honeypots handelt es sich um fingierte Personen, die sexuell, romantisch oder wirtschaftlich attraktiv erscheinen und den Opfern Hoffnungen auf eine bestimmte zwischenmenschliche oder geschäftliche Beziehung machen. Die meisten Honeypots agieren über Fake-Seiten oder Fake-Accounts in sozialen Netzwerken.

Köder

Die Köder, die beim Baiting zum Einsatz kommen, könnten nicht unterschiedlicher aussehen. Bild: Pexels/@karolina-grabowska

Analoge Köder

Baiting-Angriffe sind dabei keinesfalls auf die digitale Welt beschränkt; sie können auch in der physischen Welt stattfinden. Bei einem der häufigsten analogen Baiting-Angriffe nutzen die Angreifer mit Malware infiltrierte Speichermedien wie USB-Sticks oder externe Festplatten als Köder.

Angreifer können diese Geräte am Empfangsbereich eines Unternehmens, in das sie durch Tailgating gelangen, auslegen oder an Schreibtischen verteilen, damit die Opfer sie benutzen. Sobald ein Mitarbeiter das Speichermedium an sein System anschließt, wird die Malware automatisch auf seinem Endgerät installiert. Im schlimmsten Fall kann sogar das ganze Netzwerk des Unternehmens infiziert werden.

Speichermedien können aber auch als vermeintliche Werbegeschenke verschickt oder als Belohnungen für die Teilnahme an Umfragen verteilt werden. Kriminelle platzieren infiltrierte Speichermedien gern in Kartons mit Gratisgeschenken vor Firmengebäuden. In einem kontrollierten Experiment hat Google bei einer Zusammenarbeit mit der Universität von Michigan und der Universität von Illinois herausgefunden, dass abhängig vom Szenario 45 bis 98 Prozent der Personen, die USB-Laufwerke finden, sie auch einstecken.

Wie Sie sich vor Baiting schützen!

Wie andere Social-Engineering-Angriffe auch, ist Baiting ein sowohl für Privatpersonen als auch für Firmen ernstzunehmendes Problem. Ein Baiting-Angriff kann Ihre Systeme oder Ihr ganzes Netzwerk lahmlegen, Ihren Ruf erheblich schädigen oder zu erheblichen finanziellen Verlusten führen. Im schlimmsten Fall kann ein Baiting-Angriff dabei sogar Ihr Geschäft ruinieren.

Und daran müssen Sie selbst nicht einmal Schuld sein. Auch Ihre Mitarbeiter können Köder schlucken, ohne es zu realisieren. Deswegen gilt es stets, alle Einzelkomponenten Ihres Unternehmens möglichst gut zu schützen und dafür zu sorgen, dass niemand aus Ihrem Team zum Opfer eines Baiting-Angriffs wird. Dabei sind eine gesunde Skepsis, ein kontinuierlicher Austausch und Achtsamkeit eine wichtige Basis. Aber es gibt auch weitere Tipps, die Sie befolgen können, um Baiting zu vermeiden:

  • Sie sollten Angebote, die zu schön sind, um wahr zu sein, immer skeptisch betrachten.
  • Klicken Sie nicht auf Links oder Anhänge, wenn Ihnen der Absender nicht vertraut und der Link oder Anhang bekannt ist.
  • Verwenden Sie auf allen privat und geschäftlich eingesetzten Geräten hochwertige Antiviren-Software.
  • Stecken Sie unbekannten Speichermedien nicht leichtfertig in Ihre Geräte.
  • Überprüfen Sie Medien vor der Nutzung beispielsweise mithilfe einer Sandbox auf Schadsoftware.
  • Lassen Sie eine professionelle IT-Dokumentation und -Analyse durchführen, um Vorfälle proaktiv zu verhindern.
  • Buchen Sie für sich und Ihre Mitarbeiter hochwertige Security-Awareness-Schulungen, um auch in der Praxis vor Baiting- und anderen Social-Engineering-Angriffen geschützt zu sein.

Unwissenheit erhöht die Gefahr, dass Sie Opfer von Baiting & Co. werden: Sie und Ihre Mitarbeiter können Baiting-Angriffe nur dann verhindern, wenn Sie überhaupt wissen, dass es sie gibt, und wenn Sie ungefähr verstehen, wie sie funktionieren. Sollten Sie eine professionelle Beratung zu möglichen Sicherheitsmaßnahmen sowie Unterstützung bei der Umsetzung von IT-Sicherheitslösungen privat oder in Ihrem Unternehmen benötigen, ist PC-SPEZIALIST der geeignete Ansprechpartner für Sie.
_______________________________________________

Andere Stimmen zum Thema: Mailference, EasyDMARC

, ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren