Bevor wir uns mit den Arten von Social-Engineering-Angriffen befassen, denen die Opfer täglich zum Opfer fallen, sowie mit neuen Angriffen, die das Internet im Sturm erobern, sollten wir zunächst kurz erklären, worum es bei Social Engineering überhaupt geht.
Für den Laien ist Social Engineering eine Taktik zur Durchführung von Cyberangriffen, bei der Bedrohungsakteure psychologische Manipulationen einsetzen, um ihre Opfer auszunutzen und sie zu betrügen.
Social Engineering: Definition und Beispiele
Was ist ein Social-Engineering-Angriff?
Im Gegensatz zu Cyberkriminellen, die sich in Ihren Computer oder Ihr E-Mail-System einhacken, werden Social-Engineering-Angriffe inszeniert, indem versucht wird, die Meinung eines Opfers so zu beeinflussen, dass es sensible Informationen preisgibt. Sicherheitsanalysten haben bestätigt, dass mehr als 70 % der Cyberangriffe, die jährlich im Internet stattfinden, Social-Engineering-Angriffe sind.
Beispiele für Social Engineering
Schauen Sie sich das unten stehende Beispiel an:
Hier können wir eine Online-Werbung beobachten, die das Opfer mit dem Versprechen lockt, 1000 Dollar pro Stunde zu verdienen. Diese Anzeige enthält einen bösartigen Link, der eine Malware-Installation auf dem System des Opfers auslösen kann.
Diese Art von Angriff ist allgemein als Online Baiting oder einfach als Baiting bekannt und ist eine Form des Social Engineering Angriffs.
Nachstehend ein weiteres Beispiel:
Wie oben gezeigt, können Social-Engineering-Angriffe auch über das Medium E-Mail verübt werden. Ein gängiges Beispiel hierfür ist ein Phishing-Angriff. Auf diese Angriffe werden wir im nächsten Abschnitt näher eingehen.
Arten von Social Engineering-Angriffen
1. Vishing und Smishing
Angenommen, Sie erhalten heute eine SMS von Ihrer Bank, in der Sie (angeblich) aufgefordert werden, Ihre Identität zu überprüfen, indem Sie auf einen Link klicken, andernfalls wird Ihr Konto deaktiviert. Dies ist eine sehr verbreitete Nachricht, die oft von Cyberkriminellen verbreitet wird, um ahnungslose Menschen zu täuschen. Sobald Sie auf den Link klicken, werden Sie auf eine gefälschte Seite weitergeleitet, die Ihre Bankdaten abfragt. Sie können sicher sein, dass die Angreifer Ihr Konto plündern werden, wenn Sie Ihre Bankdaten preisgeben.
Ähnlich verhält es sich beim Vishing oder Voice-Phishing, das nicht per SMS, sondern per Telefonanruf eingeleitet wird.
2. Online-Köderung / Köderung
Jeden Tag stoßen wir beim Durchsuchen von Websites auf eine Reihe von Online-Werbungen. Die meisten von ihnen sind zwar harmlos und authentisch, aber es gibt auch ein paar faule Äpfel, die sich in der Menge verstecken. Dies lässt sich leicht erkennen, wenn man Anzeigen entdeckt, die zu gut erscheinen, um wahr zu sein. Sie enthalten in der Regel lächerliche Behauptungen und Verlockungen, wie z. B. den Jackpot zu knacken oder einen großen Rabatt anzubieten.
Denken Sie daran, dass dies eine Falle sein kann (aka a Köder). Wenn etwas zu schön erscheint, um wahr zu sein, ist es das wahrscheinlich auch. Daher ist es besser, sich von verdächtigen Anzeigen im Internet fernzuhalten und nicht auf sie zu klicken.
3. Phishing
Social-Engineering-Angriffe werden in den meisten Fällen über E-Mails durchgeführt und als Phishing bezeichnet. Phishing-Angriffe richten auf globaler Ebene schon fast so lange Schaden an, wie es E-Mails gibt. Seit dem Jahr 2020 ist die Zahl der Phishing-Angriffe aufgrund der zunehmenden E-Mail-Kommunikation sprunghaft angestiegen, so dass große und kleine Unternehmen täglich in die Schlagzeilen geraten.
Phishing-Angriffe lassen sich in Spear-Phishing, Whaling und CEO-Fraud unterteilen, wobei sich die Angreifer als bestimmte Mitarbeiter eines Unternehmens, als Entscheidungsträger des Unternehmens bzw. als CEO ausgeben.
4. Romantik-Betrug
Das Federal Bureau of Investigation (FBI) definiert Internet-Romantikbetrug als "Betrug, bei dem ein Krimineller eine falsche Online-Identität annimmt, um die Zuneigung und das Vertrauen des Opfers zu gewinnen. Der Betrüger nutzt dann die Illusion einer romantischen oder engen Beziehung, um das Opfer zu manipulieren und/oder zu bestehlen."
Romance Scams gehören zu den Social-Engineering-Angriffen, da die Angreifer manipulative Taktiken anwenden, um eine enge romantische Beziehung zu ihren Opfern aufzubauen, bevor sie ihr eigentliches Ziel verfolgen, nämlich sie zu betrügen. Im Jahr 2021 belegten Romance Scams den ersten Platz der finanziell schädlichsten Cyberangriffe des Jahres, dicht gefolgt von Ransomware.
5. Spoofing
Domain-Spoofing ist eine hochentwickelte Form des Social-Engineering-Angriffs. Dabei fälscht ein Angreifer eine legitime Unternehmensdomäne, um im Namen der versendenden Organisation E-Mails an Kunden zu senden. Der Angreifer gaukelt den Opfern vor, dass die besagte E-Mail von einer authentischen Quelle stammt, d. h. von einem Unternehmen, auf dessen Dienste sie sich verlassen.
Spoofing-Angriffe sind schwer nachzuverfolgen, da E-Mails von der eigenen Domäne eines Unternehmens aus gesendet werden. Es gibt jedoch Möglichkeiten, dieses Problem zu beheben. Eine der beliebtesten und von Branchenexperten empfohlenen Methoden ist die Minimierung von Spoofing mit Hilfe eines DMARC Einrichtung.
6. Vorwände
Pretexting kann als Vorläufer eines Social Engineering-Angriffs bezeichnet werden. Dabei spinnt ein Angreifer eine hypothetische Geschichte, um seinen Anspruch auf sensible Unternehmensinformationen zu untermauern. In den meisten Fällen erfolgt das Pretexting über Telefonanrufe, bei denen sich ein Angreifer als Kunde oder Mitarbeiter ausgibt und sensible Informationen von dem Unternehmen verlangt.
Was ist eine gängige Methode des Social Engineering?
Die häufigste Methode des Social Engineering ist das Phishing. Werfen wir einen Blick auf einige Statistiken, um besser zu verstehen, dass Phishing eine zunehmende globale Bedrohung darstellt:
- Der Bericht "Cybersecurity Threat Trends 2021" von CISCO zeigt, dass satte 90 % der Datenschutzverletzungen auf Phishing zurückzuführen sind.
- IBM hat in seinem Cost of a Data Breach Report von 2021 Phishing den Titel des finanziell teuersten Angriffsvektors verliehen
- Nach Angaben des FBI steigt die Zahl der Phishing-Angriffe jedes Jahr um 400 %.
Wie kann man sich vor Social Engineering-Angriffen schützen?
Protokolle und Tools, die Sie konfigurieren können:
- Setzen Sie in Ihrem Unternehmen E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC ein. Beginnen Sie noch heute mit der Erstellung eines kostenlosen DMARC-Datensatzes mit unserem DMARC-Datensatz-Generator.
- Durchsetzung Ihrer DMARC-Richtlinie auf p=reject, um Direct Domain Spoofing und E-Mail-Phishing-Angriffe zu minimieren
- Stellen Sie sicher, dass Ihr Computersystem mit Hilfe einer Antiviren-Software geschützt ist
Persönliche Maßnahmen, die Sie ergreifen können:
- Sensibilisierung Ihrer Organisation für gängige Arten von Social Engineering-Angriffen, Angriffsvektoren und Warnzeichen
- Informieren Sie sich über Angriffsvektoren und -arten. Besuchen Sie unsere Wissensdatenbank, geben Sie "Phishing" in die Suchleiste ein, drücken Sie die Eingabetaste und beginnen Sie noch heute zu lernen!
- Übermitteln Sie niemals vertrauliche Informationen auf externen Websites
- Aktivieren Sie Anwendungen zur Identifizierung von Anrufern auf Ihrem mobilen Gerät
- Denken Sie immer daran, dass Ihre Bank Sie niemals auffordern wird, Ihre Kontodaten und Ihr Passwort per E-Mail, SMS oder Anruf zu übermitteln.
- Überprüfen Sie immer wieder die Absenderadresse und den Absenderpfad Ihrer E-Mails, um sicherzustellen, dass sie übereinstimmen.
- Klicken Sie niemals auf verdächtige E-Mail-Anhänge oder Links, bevor Sie sich nicht zu 100 % von der Echtheit der Quelle überzeugt haben.
- Denken Sie zweimal nach, bevor Sie Menschen vertrauen, mit denen Sie online interagieren und die Sie im wirklichen Leben nicht kennen
- Surfen Sie nicht auf Websites, die nicht über eine HTTPS-Verbindung gesichert sind (z. B. http://domain.com)
- SPF Softfail vs. Hardfail: Was ist der Unterschied? - April 26, 2024
- FTC berichtet, dass E-Mail ein beliebtes Medium für Betrügereien mit falschen Namen ist - 16. April 2024
- SubdoMailing und das Aufkommen von Subdomain-Phishing - 18. März 2024