Zurück zur Übersicht
4 min Lesezeit

Was ist Social Engineering?

4 min Lesezeit
August 3, 2021
Autor Eye Security
image
Autor Eye Security
7 März 2024

Social Engineering bedeutet, Menschen dazu zu verleiten, sensible Informationen preiszugeben oder eine bestimmte Handlung vorzunehmen. Diese Art, jemandem Daten zu entlocken oder ihn dazu zu bringen, etwas zu tun, nutzt die natürlichen Neigungen und emotionalen Reaktionen der Menschen aus.

Cyber-Kriminelle nutzen Social-Engineering-Taktiken, weil es in der Regel einfacher ist, die natürliche Neigung einer Person zum Vertrauen auszunutzen, als nach technischen Fehlern und Schwachstellen in Software zu suchen. Es ist zum Beispiel viel einfacher, jemanden dazu zu bringen, sein Passwort zu verraten, als zu versuchen, dieses Passwort selbst zu knacken. Social Engineering kann durch Telefonanrufe, E-Mails, Textnachrichten oder SMS erfolgen. Es gibt eine Vielzahl von Methoden, um Benutzer zur Preisgabe sensibler Informationen zu bewegen. Cyber-Kriminelle geben sich oft als Bank- oder Helpdesk-Mitarbeiter aus.

Wie funktioniert ein solcher Angriff?

Obwohl Kriminelle ihre Taktiken und Methoden ständig weiterentwickeln, folgen die meisten Angriffe einem bestimmten Muster. Zunächst sammelt ein Angreifer Hintergrundinformationen, was auch als Opferprofilierung bezeichnet wird. Dann wird entschieden, auf welchem Weg das Opfer kontaktiert werden soll, und der Angreifer versucht, ein Vertrauensverhältnis aufzubauen, um sicherzustellen, dass das Opfer sensible Informationen weitergibt, ohne allzu viel Verdacht zu schöpfen. Sobald diese Daten vorliegen, kann der Kriminelle sie zur Durchführung seines Angriffs verwenden. So kann er beispielsweise mit erlangten Passwörtern einen klassischen Identitätsdiebstahl begehen und auf Systeme zugreifen oder die Informationen zu seinem persönlichen oder politischen Vorteil nutzen.

Wer sind die Opfer von Social Engineering?

Social-Engineering-Angriffe sind sowohl für Einzelpersonen als auch für Unternehmen sehr gefährlich, da den Opfern in beiden Fällen große Geldbeträge gestohlen werden können. So wurde beispielsweise die Toyota Boshoku Corporation, ein Zulieferer von Toyota, im Jahr 2019 Opfer eines Social-Engineering-Angriffs, der sie 37 Millionen Dollar kostete. Der Angriff war auf Mitarbeiter der Finanzabteilung gezielt und die Kriminelle gaben sich als leitende Angestellte aus. Die Cyberkriminellen verschickten E-Mails von einem gefälschten (aber echt aussehenden) geschäftlichen E-Mail-Konto und forderten eine Kontoänderung. Auf diese Weise wurden die Mitarbeiter der Finanzabteilung erfolgreich dazu verleitet, große Geldsummen auf von den Cyberkriminellen verwaltete Konten zu überweisen.

Wie kann ich Social Engineering erkennen?

Wenn man weiß, wie Menschen beeinflusst werden können, ist es einfacher, die roten Fahnen des Social Engineering zu erkennen. Anfragen nach bestimmten Arten von sensiblen Informationen, wie Login- oder Bankdaten, sollten Sie immer alarmieren. Auch bei Angeboten, die zu gut erscheinen, um wahr zu sein, sollten die Alarmglocken läuten. Natürlich klicken Sie nie auf Links in einer E-Mail eines unbekannten Absenders, aber seien Sie auch vorsichtig bei Absendern, die Ihnen bekannt vorkommen.

Social Engineering ist ein allgemeiner Begriff, der sich auf eine Vielzahl von Manipulationstaktiken bezieht, die Cyber-Kriminelle anwenden, um an Informationen zu gelangen. Wenn Sie sich mit diesen verschiedenen Formen vertraut machen, sind Sie vorsichtiger und fallen weniger leicht auf Schönrednerei herein. Dies gilt auch für die Mitarbeiter Ihres Unternehmens. Stellen Sie sicher, dass jeder mit Social Engineering, seinen Gefahren und seiner Erkennung vertraut ist.

1. Ködern

Hierbei handelt es sich um einen Angriff, bei dem der Kriminelle das Opfer mit etwas Kostenlosem ködert, um es dazu zu bringen, auf einen Link zu klicken. Denken Sie an einen kostenlosen Musik- oder Filmdownload, der den Interessen des Opfers entspricht. Bei dieser Form des Social Engineering muss das Opfer auf den Köder des Angreifers anbeißen, damit der Angriff erfolgreich ist.

2. Phishing

Phishing ist eine bekannte Methode, um Informationen von einem unwissenden Opfer zu stehlen. Obwohl immer mehr Menschen wissen, was Phishing ist, ist es immer noch eine erfolgreiche Praktik für Cyberkriminelle. Der Angreifer sendet in der Regel eine E-Mail oder eine App an die Zielperson und bittet um Informationen, die bei einem wichtigeren Verbrechen helfen könnten. Wenn diese Informationen über das Telefon erlangt werden, spricht man auch von "Vishing", mit dem "V" von "Voice". In dieser Kategorie wird auch zwischen "Whaling" und "Spear Phishing" unterschieden, wobei letzteres ein Phishing-Angriff ist, der auf eine bestimmte Person abzielt (bei dem die Cyberkriminellen viel Mühe in die Profilerstellung stecken). Wenn es sich um eine hochrangige Person handelt, z. B. einen Manager oder einen Angestellten auf C-Level, sprechen wir von "Whaling" (das sind schließlich die großen Fische).

3. E-Mail-Hacking und Kontakt-Spamming

Dies ist die Grundlage für viele Whatsapp-Betrügereien. Es liegt in der menschlichen Natur, Nachrichten von Personen, die wir kennen, Aufmerksamkeit zu schenken. Einige Kriminelle machen sich dies zunutze, indem sie E-Mail-Konten oder Adressbücher in Ihrem Telefon stehlen und Spam an Kontakte verschicken.

4. Vorspiegelung falscher Tatsachen

Beim Pretexting gibt sich ein Krimineller als Vertreter einer vertrauenswürdigen Organisation aus, um an sensible Informationen zu gelangen. Diese Form des Angriffs wird häufig eingesetzt, um Informationen zu sammeln, bevor der eigentliche Angriff gestartet wird.

5. Quid pro quo

Hierbei handelt es sich um eine Variante des Köderns, bei der es scheinbar einen Austausch gibt: Ich gebe dir etwas, du gibst mir etwas. Zum Beispiel verspricht der Cyberkriminelle eine Dienstleistung oder einen Vorteil, wenn das Opfer im Gegenzug auf einen bestimmten Link klickt (der Malware installiert). Das sieht nach einem fairen Handel aus, ist es aber natürlich nie.

6. Umgekehrtes Social Engineering

Bei dieser Form des Angriffs überzeugt der Angreifer dem Opfer ein, dass es ein Problem hat. Natürlich hat der Angreifer die Lösung für dieses Problem. Er versucht, das Opfer dazu zu bringen, von sich aus mit dem Angreifer Kontakt aufzunehmen, um ihm bei der Lösung seines Problems zu helfen.

Wie kann ich mein Unternehmen vor Social Engineering schützen?

Die beste Vorbeugung besteht darin, alle Mitarbeiter Ihres Unternehmens zu schulen. Wenn jeder weiß, wie man Social-Engineering-Taktiken erkennt, ist es einfacher, sie zu vermeiden. Ein paar Tipps, die dabei helfen können:

  • Untersuchen Sie die Quelle aller verdächtigen Anrufe, E-Mails und Nachrichten. Klicken Sie niemals auf Links oder öffnen Sie keine Anhänge von Absendern, die Sie nicht kennen oder denen Sie nicht vertrauen.
  • Seien Sie sofort wachsam, wenn sensible Daten angefordert werden oder wenn große Transaktionen unter hohem Druck ausgeführt werden müssen.
  • Seien Sie auch bei unerwarteten Hilfeersuchen vorsichtig.
  • Sorgen Sie für eine solide Sicherheitslösung für Ihre IT-Systeme und halten Sie (alle) Ihre Software auf dem neuesten Stand.
  • Verwenden Sie immer sichere Passwörter und einen Passwortmanager. Lassen Sie das jeden im Unternehmen tun.
  • Benutzen Sie so wenig wie möglich öffentliches WiFi und wenn nötig, ein VPN.
  • Verwenden Sie die Spam-Filter in Ihrem E-Mail-Programm.
  • Wenn Sie sich unsicher sind, fragen Sie einen Sicherheitsspezialisten oder Ihren IT-Dienstleister um Hilfe.

Nehmen Sie Kontakt auf

Möchten Sie wissen, wie wir helfen können?

Lassen Sie uns drüber reden
GET IN TOUCH
Artikel weiterleiten