Beiträge

Wie können Sie sich vor Social Engineering schützen?

Die erste Verteidigungslinie besteht darin, wachsam zu bleiben. Bei Social-Engineering-Angriffen kann der Angreifer Sie in ein Gespräch verwickeln, das eher zu einem Verhör wird. Der beste Weg, sich vor Social Engineering zu schützen, besteht jedoch darin, zu wissen, wem Sie vertrauen können, und selbst vertrauenswürdig zu sein. Sie müssen alle Personen identifizieren, die sich Zugang zu Ihrem Konto verschaffen oder es beeinflussen könnten, und sicherstellen, dass sie einen guten Grund dafür haben, dies zu tun. 

Wenn Sie weiter lesen, erfahren Sie, was eine gängige Methode des Social Engineering ist und wie Sie sich vor Cyberangriffen schützen können in Zukunft schützen können!

Was ist eine Social-Engineering-Attacke?

Bei Social-Engineering-Angriffen versucht ein Angreifer, Zugang zu Daten oder Diensten zu erhalten, indem er Beziehungen zu Personen aufbaut, deren Vertrauen er ausnutzen kann.

Social-Engineering-Angriffe sind eine Form des Hackings, bei der ein Angreifer versucht, sich Zugang oder Informationen zu verschaffen, indem er Vertrauen ausnutzt. Es ist ein sehr effektiver Angriff, weil er Ihren Wunsch, Menschen zu helfen, Ihre Neugierde und Naivität ausnutzt. Ein Social Engineer kann Sie zu einem unwissenden Komplizen machen, indem er Sie auf hohem Niveau manipuliert, um das zu bekommen, was der Angreifer will. 

Die Verwendung von Täuschung und Tricks, um sich einen Vorteil zu verschaffen, gab es schon lange vor der weiten Verbreitung von Personalcomputern und dem World Wide Web. Aber wir können noch weiter in die Geschichte zurückblicken, um einige der ungeheuerlichsten Fälle von Social Engineering-Angriffen zu sehen.

Beim jüngsten Vorfall, der sich im Februar 2020 ereignete, wurde ein Phishing Versuch mit einer gefälschten Renovierungsrechnung erfolgreich Barbara Corcoran von ABC's "Haifischbecken" um fast 400.000 Dollar zu bringen.

Wenn Sie Opfer von Social-Engineering-Angriffen geworden sind, ist es wichtig zu wissen, wie Sie sich davor schützen können, dass Sie zum Opfer werden. Lernen Sie die Warnzeichen einer potenziellen Bedrohung kennen und erfahren Sie, wie Sie sich schützen können.

Lesen Sie dazu: Was ist Social Engineering?

Was ist eine gängige Methode des Social Engineering?

Eine gängige Methode, die von Social Engineers bei Social-Engineering-Angriffen eingesetzt wird, besteht darin, sich als IT-Support auszugeben. Dies kann geschehen, indem man ein Unternehmen anruft und um ein Gespräch mit der IT-Abteilung bittet oder eine E-Mail an das Unternehmen schickt, in der man angibt, von der IT-Abteilung anzurufen.

Sobald sich der Anrufer oder Mailer Zugang verschafft hat, kann er sich als Mitarbeiter einer anderen Abteilung ausgeben oder Informationen anfordern, die das Unternehmen normalerweise nicht herausgeben würde. Der Social Engineer sammelt auch oft so viele Informationen wie möglich über seine Zielperson, bevor er Kontakt aufnimmt.

5 Wege, sich vor Social Engineering-Angriffen zu schützen

Hier haben wir einige hilfreiche Tipps und Ideen zusammengestellt, die Ihnen helfen, sich vor sozialen Angriffen zu schützen oder Social-Engineering-Angriffe zu verhindern:

Unbekannte Absender (E-Mails vs. Textnachrichten)

Achten Sie genau auf die E-Mail-Adresse des Absenders und den Inhalt der Nachricht. Es ist wichtig zu wissen, dass Sie nicht auf verdächtige Links zu Dokumenten klicken müssen. 

Keine Weitergabe persönlicher Informationen

Denken Sie nach, bevor Sie persönliche Daten wie Passwörter und Kreditkartennummern weitergeben. Kein seriöses Unternehmen und keine seriöse Person sollte jemals nach derartigen sensiblen Informationen fragen. Verwenden Sie immer sichere Passwörter und ändern Sie diese regelmäßig. Vermeiden Sie es, dieselben Passwörter für mehrere Konten zu verwenden, damit Sie nicht Opfer von Social-Engineering-Angriffen werden.

Schichten der Sicherheit

Verwenden Sie wann immer möglich die Zwei-Faktor-Authentifizierung. Sie kann eine zusätzliche Sicherheitsebene schaffen, indem sie von den Nutzern verlangt, einen an ihr Mobiltelefon gesendeten Code sowie ihren Benutzernamen und ihr Passwort einzugeben. Richten Sie immer Authentifizierungscodes mit Ihrer E-Mail-Adresse und Telefonnummer ein, damit jemand, der sich Zugang zu einem der beiden Systeme verschafft, Ihr Konto nicht direkt nutzen kann.

Anti-Viren-Software

Installieren Sie AntiMalware und Antiviren-Software auf all Ihren Geräten. Halten Sie diese Programme auf dem neuesten Stand, damit sie Sie vor den neuesten Bedrohungen schützen können. Wenn Sie jedoch ein Antivirenprogramm auf Ihren Geräten installiert haben, kann es einen hervorragenden Schutz vor Social Engineering-Angriffen bieten.

Achten Sie immer auf die Risiken

Sie sollten immer die Risiken berücksichtigen. Vergewissern Sie sich, dass jede Informationsanfrage korrekt ist, indem Sie sie doppelt und dreifach überprüfen. Halten Sie Ausschau nach Nachrichten zur Cybersicherheit, wenn Sie von einer kürzlich erfolgten Sicherheitsverletzung betroffen sind. 

Was sind die Beispiele für Social Engineering?

Menschen durch Social-Engineering-Angriffe zu Opfern zu machen, ist eine gute Möglichkeit, Betrug zu begehen. Dies kann auf verschiedene Weise geschehen. Hier sind einige Beispiele für Social Engineering:

Zugang erhalten

Hacker können sich Zugang zu Ihrem Bankkonto verschaffen, indem sie einen Kredit unter dem Namen einer anderen Person beantragen. Bei diesem Betrug werden häufig Freunde und Familienangehörige angerufen oder per E-Mail angeschrieben und aufgefordert, eine Überweisung zu tätigen, um den Hacker für seinen Schaden am Leben des Opfers zu entschädigen. 

Persönliche Informationen stehlen

Eine weitere gängige Methode, um Menschen dazu zu bringen, ihre persönlichen Daten preiszugeben, besteht darin, dass sie glauben, sie hätten einen Preis oder ein Gewinnspiel gewonnen, an dem sie nie teilgenommen haben, für das sie sich aber angemeldet haben. Und wenn sie solche Anrufe erhalten, um sich zu vergewissern, dass sie den Preis erhalten, sobald sie ihre Daten weitergeben, dann tappen die Opfer in die Falle der Angreifer. 

Phishing

Bei diesem Angriff versenden die Angreifer E-Mails, die aussehen, als kämen sie von seriösen Unternehmen oder Organisationen, aber bösartige Links oder Anhänge enthalten. Außerdem ist dies einer der häufigsten Social-Engineering-Angriffe weltweit. 

Pretexting

Ein weiterer massiver Social-Engineering-Angriff besteht darin, eine falsche Identität oder ein falsches Szenario vorzutäuschen, um Zugang zu persönlichen Informationen zu erhalten. Eines der bekanntesten Beispiele für Social Engineering ist bei dem sich Angreifer Zugang verschaffen, um Menschen durch Texting zu manipulieren.

Schultersurfen

Dabei handelt es sich um einen Angriff, bei dem der Angreifer jemandem über die Schulter schaut, um Zugang zu vertraulichen Informationen zu erhalten. Manchmal ist der Angreifer nichts anderes als ein enger Freund oder ein geliebter Mensch, der Sie erpressen wird, sobald er die Informationen erhält, die er schon immer haben wollte. Daher ist es wichtig, solche Personen im Auge zu behalten und niemals alle persönlichen Details preiszugeben. 

Tailgating

Tailgating bedeutet, dass ein Angreifer einer Person folgt, die berechtigt ist, ein Gebäude oder einen sicheren Bereich zu betreten, ohne tatsächlich dazu berechtigt zu sein. Es ist nicht so häufig wie andere Social-Engineering-Angriffe, aber dennoch ist es gefährlich und kann schädliche Spuren hinterlassen.

Schlussfolgerung

Um sich vor Social Engineering-Angriffen zu schützen, müssen Sie lernen, Vorsichtsmaßnahmen zu treffen. Da wir Ihnen bereits einige Standardmethoden für Social-Engineering-Angriffe vorgestellt haben, die seit mehreren Jahrhunderten in der Welt verwendet werden, sollten Sie jetzt mit der Umsetzung der Vorsichtsmaßnahmen beginnen. Social-Engineering-Angriffe können das Privat- und Berufsleben einer Person innerhalb von Sekunden schädigen. Schützen Sie Ihre Geräte, Passwörter und andere Log-Ins immer mit zwei Authentifizierungscodes, um einen zusätzlichen Schutz zu gewährleisten.

Bevor Sie irgendetwas anderes tun, sprechen Sie mit einem vertrauenswürdigen IT-Experten oder Sicherheitsexperten wie PowerDMARC. Sie können Ihnen helfen, die Risiken von Social-Engineering-Angriffen zu verstehen und sie zu minimieren.

/von

Arten von Social Engineering-Angriffen im Jahr 2022

Bevor wir uns mit den Arten von Social-Engineering-Angriffen befassen, denen die Opfer täglich zum Opfer fallen, sowie mit neuen Angriffen, die das Internet im Sturm erobern, sollten wir zunächst kurz erklären, worum es bei Social Engineering überhaupt geht. 

Für den Laien ist Social Engineering eine Taktik zur Durchführung von Cyberangriffen, bei der Bedrohungsakteure psychologische Manipulationen einsetzen, um ihre Opfer auszunutzen und sie zu betrügen.

Social Engineering: Definition und Beispiele

Was ist ein Social-Engineering-Angriff?

Im Gegensatz zu Cyberkriminellen, die sich in Ihren Computer oder Ihr E-Mail-System einhacken, werden Social-Engineering-Angriffe inszeniert, indem versucht wird, die Meinung eines Opfers so zu beeinflussen, dass es sensible Informationen preisgibt. Sicherheitsanalysten haben bestätigt, dass mehr als 70 % der Cyberangriffe, die jährlich im Internet stattfinden, Social-Engineering-Angriffe sind.

Beispiele für Social Engineering

Schauen Sie sich das unten stehende Beispiel an:

 

Hier können wir eine Online-Werbung beobachten, die das Opfer mit dem Versprechen lockt, 1000 Dollar pro Stunde zu verdienen. Diese Anzeige enthält einen bösartigen Link, der eine Malware-Installation auf dem System des Opfers auslösen kann. 

Diese Art von Angriff ist allgemein als Online Baiting oder einfach als Baiting bekannt und ist eine Form des Social Engineering Angriffs. 

Nachstehend ein weiteres Beispiel:

Wie oben gezeigt, können Social-Engineering-Angriffe auch über das Medium E-Mail verübt werden. Ein gängiges Beispiel hierfür ist ein Phishing-Angriff. Auf diese Angriffe werden wir im nächsten Abschnitt näher eingehen.

Arten von Social Engineering-Angriffen

1. Vishing und Smishing

Angenommen, Sie erhalten heute eine SMS von Ihrer Bank, in der Sie (angeblich) aufgefordert werden, Ihre Identität zu überprüfen, indem Sie auf einen Link klicken, andernfalls wird Ihr Konto deaktiviert. Dies ist eine sehr verbreitete Nachricht, die oft von Cyberkriminellen verbreitet wird, um ahnungslose Menschen zu täuschen. Sobald Sie auf den Link klicken, werden Sie auf eine gefälschte Seite weitergeleitet, die Ihre Bankdaten abfragt. Sie können sicher sein, dass die Angreifer Ihr Konto plündern werden, wenn Sie Ihre Bankdaten preisgeben. 

Ähnlich verhält es sich beim Vishing oder Voice-Phishing, das nicht per SMS, sondern per Telefonanruf eingeleitet wird.

2. Online-Köderung / Köderung 

Jeden Tag stoßen wir beim Durchsuchen von Websites auf eine Reihe von Online-Werbungen. Die meisten von ihnen sind zwar harmlos und authentisch, aber es gibt auch ein paar faule Äpfel, die sich in der Menge verstecken. Dies lässt sich leicht erkennen, wenn man Anzeigen entdeckt, die zu gut erscheinen, um wahr zu sein. Sie enthalten in der Regel lächerliche Behauptungen und Verlockungen, wie z. B. den Jackpot zu knacken oder einen großen Rabatt anzubieten.

Denken Sie daran, dass dies eine Falle sein kann (aka a Köder). Wenn etwas zu schön erscheint, um wahr zu sein, ist es das wahrscheinlich auch. Daher ist es besser, sich von verdächtigen Anzeigen im Internet fernzuhalten und nicht auf sie zu klicken.

3. Phishing

Social-Engineering-Angriffe werden in den meisten Fällen über E-Mails durchgeführt und als Phishing bezeichnet. Phishing-Angriffe richten auf globaler Ebene schon fast so lange Schaden an, wie es E-Mails gibt. Seit dem Jahr 2020 ist die Zahl der Phishing-Angriffe aufgrund der zunehmenden E-Mail-Kommunikation sprunghaft angestiegen, so dass große und kleine Unternehmen täglich in die Schlagzeilen geraten. 

Phishing-Angriffe lassen sich in Spear-Phishing, Whaling und CEO-Fraud unterteilen, wobei sich die Angreifer als bestimmte Mitarbeiter eines Unternehmens, als Entscheidungsträger des Unternehmens bzw. als CEO ausgeben.

4. Romantik-Betrug

Das Federal Bureau of Investigation (FBI) definiert Internet-Romantikbetrug als "Betrug, bei dem ein Krimineller eine falsche Online-Identität annimmt, um die Zuneigung und das Vertrauen des Opfers zu gewinnen. Der Betrüger nutzt dann die Illusion einer romantischen oder engen Beziehung, um das Opfer zu manipulieren und/oder zu bestehlen." 

Romance Scams gehören zu den Social-Engineering-Angriffen, da die Angreifer manipulative Taktiken anwenden, um eine enge romantische Beziehung zu ihren Opfern aufzubauen, bevor sie ihr eigentliches Ziel verfolgen, nämlich sie zu betrügen. Im Jahr 2021 belegten Romance Scams den ersten Platz der finanziell schädlichsten Cyberangriffe des Jahres, dicht gefolgt von Ransomware.

5. Spoofing

Domain-Spoofing ist eine hochentwickelte Form des Social-Engineering-Angriffs. Dabei fälscht ein Angreifer eine legitime Unternehmensdomäne, um im Namen der versendenden Organisation E-Mails an Kunden zu senden. Der Angreifer gaukelt den Opfern vor, dass die besagte E-Mail von einer authentischen Quelle stammt, d. h. von einem Unternehmen, auf dessen Dienste sie sich verlassen. 

Spoofing-Angriffe sind schwer nachzuverfolgen, da E-Mails von der eigenen Domäne eines Unternehmens aus gesendet werden. Es gibt jedoch Möglichkeiten, dieses Problem zu beheben. Eine der beliebtesten und von Branchenexperten empfohlenen Methoden ist die Minimierung von Spoofing mit Hilfe eines DMARC Einrichtung.

6. Vorwände

Pretexting kann als Vorläufer eines Social Engineering-Angriffs bezeichnet werden. Dabei spinnt ein Angreifer eine hypothetische Geschichte, um seinen Anspruch auf sensible Unternehmensinformationen zu untermauern. In den meisten Fällen erfolgt das Pretexting über Telefonanrufe, bei denen sich ein Angreifer als Kunde oder Mitarbeiter ausgibt und sensible Informationen von dem Unternehmen verlangt.

Was ist eine gängige Methode des Social Engineering?

Die häufigste Methode des Social Engineering ist das Phishing. Werfen wir einen Blick auf einige Statistiken, um besser zu verstehen, dass Phishing eine zunehmende globale Bedrohung darstellt:

  • Der Bericht "Cybersecurity Threat Trends 2021" von CISCO zeigt, dass satte 90 % der Datenschutzverletzungen auf Phishing zurückzuführen sind.
  • IBM hat in seinem Cost of a Data Breach Report von 2021 Phishing den Titel des finanziell teuersten Angriffsvektors verliehen
  • Nach Angaben des FBI steigt die Zahl der Phishing-Angriffe jedes Jahr um 400 %.

Wie kann man sich vor Social Engineering-Angriffen schützen?

Protokolle und Tools, die Sie konfigurieren können: 

  • Setzen Sie in Ihrem Unternehmen E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC ein. Beginnen Sie noch heute mit der Erstellung eines kostenlosen DMARC-Datensatzes mit unserem DMARC-Datensatz-Generator.
  • Durchsetzung Ihrer DMARC-Richtlinie auf p=reject, um Direct Domain Spoofing und E-Mail-Phishing-Angriffe zu minimieren
  • Stellen Sie sicher, dass Ihr Computersystem mit Hilfe einer Antiviren-Software geschützt ist

Persönliche Maßnahmen, die Sie ergreifen können:

  • Sensibilisierung Ihrer Organisation für gängige Arten von Social Engineering-Angriffen, Angriffsvektoren und Warnzeichen
  • Informieren Sie sich über Angriffsvektoren und -arten. Besuchen Sie unsere Wissensdatenbank, geben Sie "Phishing" in die Suchleiste ein, drücken Sie die Eingabetaste und beginnen Sie noch heute zu lernen!  
  • Übermitteln Sie niemals vertrauliche Informationen auf externen Websites
  • Aktivieren Sie Anwendungen zur Identifizierung von Anrufern auf Ihrem mobilen Gerät
  • Denken Sie immer daran, dass Ihre Bank Sie niemals auffordern wird, Ihre Kontodaten und Ihr Passwort per E-Mail, SMS oder Anruf zu übermitteln.
  • Überprüfen Sie immer wieder die Absenderadresse und den Absenderpfad Ihrer E-Mails, um sicherzustellen, dass sie übereinstimmen. 
  • Klicken Sie niemals auf verdächtige E-Mail-Anhänge oder Links, bevor Sie sich nicht zu 100 % von der Echtheit der Quelle überzeugt haben.
  • Denken Sie zweimal nach, bevor Sie Menschen vertrauen, mit denen Sie online interagieren und die Sie im wirklichen Leben nicht kennen
  • Surfen Sie nicht auf Websites, die nicht über eine HTTPS-Verbindung gesichert sind (z. B. http://domain.com)

/von