Überblick
Baiting ist eine Social-Engineering-Technik, bei der Angreifer einen „Köder“ auslegen,
um potenzielle Opfer zu einer Handlung zu verleiten, die den Angreifer begünstigt.
Dabei kann es sich um physische Gegenstände wie USB-Sticks, digitale Inhalte oder Online-Werbeanzeigen handeln.
Das Ziel besteht häufig darin, Schadsoftware zu installieren, Zugangsdaten zu stehlen oder vertrauliche Informationen zu erlangen.
Häufige Varianten
Quishing (QR-Code Phishing)
Beim Quishing platzieren Angreifer manipulierte QR-Codes, die statt zur erwarteten legitimen Zieladresse auf eine Phishing- oder Malware-Seite führen.
Dies kann durch Überkleben eines echten QR-Codes oder durch Platzierung gefälschter Codes auf Plakaten, Flyern oder digitalen Displays erfolgen.
Typische Merkmale:
- QR-Code wirkt unauffällig, deckt jedoch einen bestehenden Code ab
- Eingescannte URL stimmt nicht mit der auf dem Dokument angegebenen Adresse überein
USB-Drop-Attack
Ein präparierter USB-Stick wird an einem öffentlich zugänglichen Ort platziert, um Neugier oder Hilfsbereitschaft auszunutzen.
Sobald der Stick an einen Rechner angeschlossen wird, installiert er Schadsoftware, beispielsweise einen Remote-Access-Trojaner (RAT),
der dem Angreifer Zugriff auf interne Systeme ermöglicht.
Typischer Ablauf:
- Opfer findet vermeintlich verlorenen USB-Stick.
- Stick wird am Arbeitsplatz-PC eingesteckt, um den vermeintlichen Eigentümer zu ermitteln.
- Schadsoftware wird automatisch ausgeführt und verbindet sich mit dem Angreifer-Server.
- Daten werden entwendet und für Erpressung genutzt.
Risiken:
- Kompromittierung des Unternehmensnetzwerks
- Verlust sensibler Kundendaten
- Erpressung mit Veröffentlichung vertraulicher Informationen
Malvertising
Angreifer schalten oder manipulieren Online-Werbeanzeigen, die auf präparierte Webseiten verlinken oder Exploit-Kits enthalten.
Bereits das Aufrufen der Webseite kann Schadsoftware auslösen, ohne dass ein aktiver Download erfolgt.
Malvertising wird oft über legitime Werbenetzwerke ausgespielt, wodurch es schwer zu erkennen ist.
Typische Merkmale:
- Anzeige verweist auf unerwartete oder themenfremde Inhalte
- Weiterleitung erfolgt über mehrere unbekannte Domains
- Zielseite fordert zur Installation von Software-Updates oder Sicherheits-Scans auf
Risiken und Auswirkungen
Baiting kann zu folgenden Schäden führen:
- Installation von Schadsoftware (z. B. Trojaner, Ransomware, Keylogger)
- Diebstahl von Anmeldedaten oder vertraulichen Informationen
- Unerlaubter Fernzugriff auf interne Systeme
- Finanzielle Verluste durch Erpressung oder Betriebsausfälle
- Reputationsschäden durch Datenlecks
Präventionsmaßnahmen
Zur Minimierung des Baiting-Risikos empfiehlt sich ein mehrschichtiger Ansatz:
- Technische Schutzmaßnahmen
- Deaktivierung automatischer Ausführung (AutoRun) auf allen Systemen
- Einsatz von Endpoint-Protection-Lösungen mit Malware-Scanning
- Awareness-Programme
- Regelmäßige Schulungen zu Social-Engineering-Techniken und deren Erkennung
- Physische Sicherheit
- Kontrolle und Registrierung externer Speichermedien vor deren Nutzung
- Policy-Vorgaben
- Klare Richtlinien zum Umgang mit gefundenen oder geschenkten Datenträgern
- Web-Filter
- Blockierung bekannter Malvertising-Domains und riskanter Werbenetzwerke
Standards und Best Practices
Die folgenden Rahmenwerke und Standards enthalten relevante Maßnahmen zur Abwehr von Baiting:
- ISO/IEC 27001 – Annex A.11 & A.12: Physical and Communications Security
- NIST SP 800-53 – System and Communications Protection (SC), Media Protection (MP)
- BSI IT-Grundschutz – Bausteine CON.5 „Wechseldatenträger“ und OPS.1 „Schutz vor Schadprogrammen“
Fazit
Baiting nutzt menschliche Neugier, Hilfsbereitschaft und Gewohnheiten aus,
um technische Sicherheitsmaßnahmen zu umgehen.
Nur die Kombination aus technischen Schutzmechanismen, klaren Richtlinien und kontinuierlicher Sensibilisierung
bietet einen wirksamen Schutz gegen diese Form des Social Engineering.