Bei Social-Engineering-Angriffen versucht ein Angreifer, Zugang zu Daten oder Diensten zu erhalten, indem er Beziehungen zu Personen aufbaut, deren Vertrauen er ausnutzen kann. Die erste Verteidigungslinie besteht darin, wachsam zu bleiben. Der Angreifer könnte Sie in ein Gespräch verwickeln, das eher zu einem Verhör wird. Der beste Weg, sich vor Social Engineering zu schützen, besteht jedoch darin, zu wissen, wem Sie vertrauen können, und selbst vertrauenswürdig zu sein. Sie müssen alle Personen identifizieren, die sich Zugang zu Ihrem Konto verschaffen oder es beeinflussen könnten, und sicherstellen, dass sie einen guten Grund dafür haben, dies zu tun.
Was ist ein Social-Engineering-Angriff?
Social-Engineering-Angriffe sind eine Form des Hackings, bei der ein Angreifer versucht, sich Zugang zu Informationen zu verschaffen, indem er Vertrauen ausnutzt. Es ist ein sehr effektiver Angriff, weil er Ihren Wunsch, Menschen zu helfen, Ihre Neugierde und Naivität ausnutzt. Ein Social Engineer kann Sie zu einem unwissenden Komplizen machen, indem er Sie auf hohem Niveau manipuliert, um das zu bekommen, was der Angreifer will. Es handelt sich um eine Form des Hackings, aber anstatt in Computer einzubrechen, versuchen Social Engineers, sich Zugang zu ihnen zu verschaffen, indem sie Mitarbeiter dazu bringen, Informationen preiszugeben oder Malware herunterzuladen.
Social-Engineering-Techniken
Social-Engineering-Angriffe können per Telefon, E-Mail oder Textnachricht durchgeführt werden. Ein Social Engineer kann ein Unternehmen anrufen und um Zugang zu einem geschützten Bereich bitten oder sich als eine andere Person ausgeben, um sie dazu zu bringen, ein E-Mail-Konto in seinem Namen zu eröffnen.
Social Engineers verwenden viele verschiedene Taktiken, um ihre Ziele zu erreichen. Sie geben beispielsweise vor, vom Helpdesk eines Unternehmens anzurufen, und bitten um Fernzugriff, damit sie etwas auf Ihrem Computer oder in Ihrem Netzwerk reparieren können. Oder sie behaupten, sie bräuchten Ihr Kennwort oder andere persönliche Informationen wie Bankdaten, um ein Problem mit Ihrem Bankkonto zu lösen.
In einigen Fällen geben sich die Social Engineers sogar als Strafverfolgungsbeamte aus und drohen mit rechtlichen Schritten, wenn Sie sich weigern, auf ihre Forderungen nach Informationen einzugehen. Auch wenn es für Unternehmen wichtig ist, diese Drohungen ernst zu nehmen, sollten Sie daran denken, dass die Polizei niemals jemanden anrufen und ihn am Telefon nach seinen Passwörtern fragen wird!
Zweck des Social Engineering
Social Engineering wird häufig bei Phishing-Angriffen eingesetzt. Dabei handelt es sich um E-Mails, die scheinbar von einer vertrauenswürdigen Quelle stammen, in Wirklichkeit aber darauf abzielen, Ihre persönlichen Daten zu stehlen. Die E-Mails enthalten in der Regel einen Anhang mit bösartiger Software (oft Malware genannt), die Ihren Computer infiziert, wenn sie geöffnet wird.
Das Ziel von Social Engineering ist immer dasselbe: Zugang zu etwas Wertvollem zu erhalten, ohne dafür arbeiten zu müssen.
1. Diebstahl sensibler Informationen
So können Social Engineers versuchen, Sie dazu zu bringen, Ihr Kennwort und Ihre Anmeldedaten (z. B. Ihren Benutzernamen und Ihre E-Mail-Adresse) preiszugeben, damit sie auf Ihr E-Mail-Konto oder Ihr Social-Media-Profil zugreifen und persönliche Daten wie Kreditkartennummern und Bankkontodaten aus früheren Transaktionen stehlen können.
2. Identitätsdiebstahl
Sie könnten diese Informationen auch verwenden, um die Identität des Opfers anzunehmen und bösartige Aktivitäten durchzuführen, indem sie sich als das Opfer ausgeben, wenn sie die Informationen nicht sofort vernichten.
Beispiel für einen Social-Engineering-Angriff
Die Verwendung von Täuschung und Tricks, um sich einen Vorteil zu verschaffen, gab es schon lange vor der weiten Verbreitung von Personalcomputern und dem World Wide Web. Aber wir können noch weiter in die Geschichte zurückblicken, um einige der ungeheuerlichsten Fälle von Social Engineering-Angriffen zu sehen.
Beim jüngsten Vorfall, der sich im Februar 2020 ereignete, wurde ein Phishing Versuch mit einer gefälschten Renovierungsrechnung erfolgreich Barbara Corcoran von ABC's "Haifischbecken" um fast 400.000 Dollar zu bringen.
Wenn Sie Opfer von Social-Engineering-Angriffen geworden sind, ist es wichtig zu wissen, wie Sie sich davor schützen können, dass Sie zum Opfer werden. Lernen Sie die Warnzeichen einer potenziellen Bedrohung kennen und erfahren Sie, wie Sie sich schützen können.
Wie erkennt man einen Social Engineering-Angriff?
1. Vertrauen Sie Ihrem Bauchgefühl
Wenn Sie E-Mails oder Anrufe erhalten, die verdächtig klingen, geben Sie keine Informationen heraus, bis Sie Ihre Identität überprüft haben. Dies können Sie tun, indem Sie Ihr Unternehmen direkt anrufen oder sich bei der Person erkundigen, die angeblich die E-Mail gesendet oder eine Nachricht auf Ihrer Mailbox hinterlassen hat.
2. Übermitteln Sie keine persönlichen Informationen
Wenn jemand nach Ihrer Sozialversicherungsnummer oder anderen privaten Details fragt, ist das ein Zeichen dafür, dass er versucht, Ihr Vertrauen auszunutzen und es später gegen Sie zu verwenden. Es ist ratsam, keine Informationen herauszugeben, wenn es nicht notwendig ist.
3. Ungewöhnliche Anfragen ohne Kontext
Sozialingenieure stellen in der Regel umfangreiche Anfragen, ohne einen Kontext anzugeben. Wenn jemand um Geld oder andere Ressourcen bittet, ohne zu erklären, wofür er sie braucht, ist wahrscheinlich etwas faul an der Sache. Bei derartigen Anfragen sollte man lieber vorsichtig sein - man weiß nie, welchen Schaden man mit dem Zugriff auf sein Bankkonto anrichten kann!
Hier sind einige Möglichkeiten, wie Sie Social-Engineering-Angriffe erkennen können:
- Sie erhalten eine E-Mail von jemandem, der sich als Mitarbeiter Ihrer IT-Abteilung ausgibt und Sie auffordert, Ihr Kennwort zurückzusetzen und es in einer E-Mail oder Textnachricht anzugeben.
- Erhalt einer E-Mail von jemandem, der behauptet, von Ihrer Bank zu sein und nach persönlichen Daten wie Ihrer Kontonummer oder Ihrem PIN-Code fragt
- Erhalt einer E-Mail von jemandem, der behauptet, von Ihrer Bank zu sein und nach persönlichen Daten wie Ihrer Kontonummer oder Ihrem PIN-Code fragt
- Eine Person, die sich als Mitarbeiter der Personalabteilung des Unternehmens ausgibt, bittet um Informationen über das Unternehmen
Arten von Social-Engineering-Angriffen
Menschen durch Social-Engineering-Angriffe zu Opfern zu machen, ist eine gute Möglichkeit, Betrug zu begehen. Dies kann auf verschiedene Weise geschehen.
Zugang erlangen: Hacker können sich Zugang zu Ihrem Bankkonto verschaffen, indem sie unter dem Namen einer anderen Person einen Kredit beantragen. Bei diesem Betrug werden häufig Freunde und Familienangehörige angerufen oder per E-Mail kontaktiert und aufgefordert, eine Überweisung zu tätigen, um den Hacker für seinen Schaden am Leben des Opfers zu entschädigen.
Persönliche Informationen stehlen: Eine weitere gängige Methode, um Menschen dazu zu bringen, ihre persönlichen Daten preiszugeben, besteht darin, dass sie glauben, sie hätten einen Preis oder ein Gewinnspiel gewonnen, an dem sie nie teilgenommen haben, für das sie sich aber angemeldet haben. Und wenn sie solche Anrufe erhalten, um sich zu vergewissern, dass sie den Preis erhalten, sobald sie ihre Daten angeben, dann tappen die Opfer in die Falle der Angreifer.
Phishing: Bei diesem Angriff versenden Angreifer E-Mails, die aussehen, als kämen sie von seriösen Unternehmen oder Organisationen, aber bösartige Links oder Anhänge enthalten. Außerdem ist dies einer der häufigsten Social-Engineering-Angriffe weltweit.
Vorspiegeln von Tatsachen: Ein weiterer massiver Social-Engineering-Angriff besteht darin, eine falsche Identität oder ein falsches Szenario vorzutäuschen, um Zugang zu persönlichen Informationen zu erhalten. Eines der bekanntesten Social-Engineering-Beispiele ist , dass Angreifer sich Zugang verschaffen, um Menschen durch SMS zu manipulieren.
Shoulder Surfing: Dabei handelt es sich um einen Angriff, bei dem der Angreifer jemandem über die Schulter schaut, um Zugang zu vertraulichen Informationen zu erhalten. Manchmal sind die Angreifer nichts anderes als Ihre engen Freunde oder Angehörigen, die Sie erpressen werden, sobald sie die Informationen erhalten, die sie schon immer haben wollten. Daher ist es wichtig, solche Personen im Auge zu behalten und niemals alle persönlichen Details preiszugeben.
Hinterherlaufen: Tailgating bedeutet, dass ein Angreifer einer Person folgt, die berechtigt ist, ein Gebäude oder einen sicheren Bereich zu betreten, ohne tatsächlich dazu berechtigt zu sein. Dies ist zwar nicht so häufig wie andere Social-Engineering-Angriffe, aber dennoch gefährlich und kann schädliche Spuren hinterlassen.
5 Wege, sich vor Social Engineering-Angriffen zu schützen
Hier haben wir einige hilfreiche Tipps und Ideen zusammengestellt, die Ihnen helfen, sich vor sozialen Angriffen zu schützen oder Social-Engineering-Angriffe zu verhindern:
1. Unbekannte Absender (E-Mails vs. Textnachrichten)
Achten Sie genau auf die E-Mail-Adresse des Absenders und den Inhalt der Nachricht. Es ist wichtig zu wissen, dass Sie nicht auf verdächtige Links zu Dokumenten klicken müssen.
2. Persönliche Informationen nicht mehr weitergeben
Denken Sie nach, bevor Sie persönliche Daten wie Passwörter und Kreditkartennummern weitergeben. Kein seriöses Unternehmen und keine seriöse Person sollte jemals nach derartigen sensiblen Informationen fragen. Verwenden Sie immer sichere Passwörter und ändern Sie diese regelmäßig. Vermeiden Sie es, dieselben Passwörter für mehrere Konten zu verwenden, damit Sie nicht Opfer von Social-Engineering-Angriffen werden.
3. Schichten der Sicherheit
Verwenden Sie wann immer möglich die Zwei-Faktor-Authentifizierung. Sie kann eine zusätzliche Sicherheitsebene schaffen, indem sie von den Nutzern verlangt, einen an ihr Mobiltelefon gesendeten Code sowie ihren Benutzernamen und ihr Passwort einzugeben. Richten Sie immer Authentifizierungscodes mit Ihrer E-Mail-Adresse und Telefonnummer ein, damit jemand, der sich Zugang zu einem der beiden Systeme verschafft, Ihr Konto nicht direkt nutzen kann.
4. Anti-Viren-Software
Installieren Sie AntiMalware und Antiviren-Software auf all Ihren Geräten. Halten Sie diese Programme auf dem neuesten Stand, damit sie Sie vor den neuesten Bedrohungen schützen können. Wenn Sie jedoch ein Antivirenprogramm auf Ihren Geräten installiert haben, kann es einen hervorragenden Schutz vor Social Engineering-Angriffen bieten.
5. Achten Sie immer auf die Risiken
Es wäre hilfreich, wenn Sie stets die Risiken berücksichtigen würden. Stellen Sie sicher, dass jede Informationsanfrage korrekt ist, indem Sie sie doppelt und dreifach überprüfen. Halten Sie Ausschau nach Nachrichten zur Cybersicherheit, wenn Sie von einer aktuellen Sicherheitsverletzung betroffen sind.
Schlussfolgerung
Um sich vor Social Engineering-Angriffen zu schützen, müssen Sie lernen, Vorsichtsmaßnahmen zu treffen. Da wir Ihnen bereits einige Standardmethoden für Social-Engineering-Angriffe vorgestellt haben, die seit mehreren Jahrhunderten in der Welt verwendet werden, sollten Sie jetzt mit der Umsetzung der Vorsichtsmaßnahmen beginnen. Social-Engineering-Angriffe können das Privat- und Berufsleben einer Person innerhalb von Sekunden schädigen. Schützen Sie Ihre Geräte, Passwörter und andere Log-Ins immer mit zwei Authentifizierungscodes, um einen zusätzlichen Schutz zu gewährleisten.
Bevor Sie irgendetwas anderes tun, sprechen Sie mit einem vertrauenswürdigen IT-Experten oder Sicherheitsexperten wie PowerDMARC. Sie können Ihnen helfen, die Risiken von Social-Engineering-Angriffen zu verstehen und sie zu minimieren.
