Was ist Social Engineering? Dabei handelt es sich um eine Form des Cyberangriffs, bei der psychologische Manipulation und Täuschung eingesetzt werden, um Beziehungen zu knüpfen, Vertrauen auszunutzen und Zugang zu Daten oder Informationen zu erhalten. Ziel des Social Engineering ist es, Menschen dazu zu bringen, vertrauliche Informationen wie Passwörter und Netzwerkdetails preiszugeben, indem man ihnen vorgaukelt, dass sie mit jemandem interagieren, dem sie vertrauen. Sicherheitsanalysten haben bestätigt, dass mehr als 70 % der jährlich im Internet stattfindenden Cyberangriffe Social-Engineering-Angriffe sind.
In einigen Fällen versuchen Social Engineers auch, Sie dazu zu bringen, Malware - Software, die für bösartige Zwecke verwendet werden kann - auf Ihren Computer herunterzuladen, ohne dass Sie es merken.
Wichtigste Erkenntnisse
- Social Engineering nutzt eher psychologische Manipulation und Vertrauen als technisches Hacking, um die Opfer zur Preisgabe sensibler Informationen oder zur Durchführung von Aktionen zu verleiten.
- Zu den gängigen Angriffsmethoden gehören Phishing (E-Mail), Vishing (Sprachanrufe), Smishing (SMS), Köder und Pretexting (Erstellen falscher Szenarien).
- Phishing ist die am weitesten verbreitete Form, bei der häufig als legitime Kommunikation getarnte E-Mails verwendet werden, um Anmeldedaten zu stehlen oder Malware zu liefern.
- Seien Sie vorsichtig bei unaufgeforderten Anfragen nach persönlichen Informationen, dringenden Forderungen und Angeboten, die zu gut erscheinen, um wahr zu sein, und überprüfen Sie die Identität des Anfragenden über separate Kanäle.
- Schützen Sie sich durch eine Kombination aus technischen Maßnahmen wie Multi-Faktor-Authentifizierung und E-Mail-Authentifizierung (DMARC, SPF, DKIM) und Verhaltensweisen wie Benutzerschulungen und strenge Passworthygiene.
Was ist Social Engineering: Definition
Unter Social Engineering versteht man die Manipulation von Menschen, damit sie Handlungen ausführen oder vertrauliche Informationen preisgeben, oft unter Ausnutzung psychologischer Auslöser wie Vertrauen, Neugier oder Hilfsbereitschaft. Es handelt sich dabei um eine Form des Hackings, aber anstatt technisch in Computer einzubrechen, versuchen Social Engineers, sich Zugang zu ihnen zu verschaffen, indem sie Mitarbeiter dazu bringen, Informationen preiszugeben oder Malware herunterzuladen. Ein Social Engineer kann Sie zu einem unwissenden Komplizen machen, indem er auf hohem Niveau manipuliert, um das zu bekommen, was der Angreifer will.
Schützen Sie sich vor Social Engineering mit PowerDMARC!
Techniken des Social Engineering: Wie funktioniert Social Engineering?
Social Engineers nutzen viele verschiedene Taktiken und Kanäle, um ihre Ziele zu erreichen. Der Angreifer könnte Sie in ein Gespräch verwickeln, das eher zu einem Verhör wird. Zu den üblichen Methoden gehören:
- Impersonation über verschiedene Kanäle: Social Engineering kann über das Telefon (Vishing), per E-Mail (Phishing) oder über Textnachrichten (Smishing) durchgeführt werden. Ein Social Engineer kann ein Unternehmen anrufen und um Zugang zu einem geschützten Bereich bitten oder sich als eine vertrauenswürdige Person ausgeben (z. B. der IT-Support, ein Kollege oder sogar die Strafverfolgungsbehörden), um eine andere Person dazu zu bringen, ein E-Mail-Konto zu öffnen, Anmeldedaten zu übermitteln oder in ihrem Namen Zugang zu gewähren.
- Helpdesk/Support-Betrug: Die Angreifer geben vor, vom Helpdesk eines Unternehmens anzurufen, und bitten um Fernzugriff, damit sie etwas auf Ihrem Computer oder in Ihrem Netzwerk reparieren können. Oder sie behaupten, sie bräuchten Ihr Kennwort oder andere persönliche Informationen wie Bankdaten, um ein Problem mit Ihrem Bankkonto zu lösen.
- Vorwand: Dabei wird ein Szenario oder eine Geschichte erfunden (ein Vorwand), um das Vertrauen des Opfers zu gewinnen und es zur Preisgabe von Informationen oder zur Durchführung einer Handlung zu bewegen. Ein Angreifer könnte sich beispielsweise als Kunde oder Mitarbeiter ausgeben und eine hypothetische Geschichte erfinden, um seinen Bedarf an sensiblen Unternehmensinformationen zu rechtfertigen, was häufig per Telefonanruf geschieht.
- Köder: Die Angreifer ködern ihre Opfer mit verlockenden Angeboten wie kostenlosen Downloads, Preisen oder verlockenden Werbeanzeigen ("Verdienen Sie 1000 Dollar pro Stunde!"). Das Anklicken dieser Köder führt oft zu bösartigen Websites oder initiiert Malware-Downloads. Wenn ein Angebot zu gut erscheint, um wahr zu sein, ist es das wahrscheinlich auch.
- Tailgating/Piggybacking: Ein Angreifer folgt einer autorisierten Person in einen beschränkten physischen Bereich, ohne sich ordnungsgemäß zu legitimieren.
- Shoulder Surfing: Jemanden aus der Nähe beobachten (z. B. über die Schulter schauen), um vertrauliche Informationen wie Passwörter oder PINs zu stehlen, während sie eingegeben werden.
- Romantik-Betrug: Die Angreifer nehmen falsche Online-Identitäten an, um romantische Beziehungen zu den Opfern aufzubauen, ihr Vertrauen zu gewinnen und sie dann zu manipulieren oder zu bestehlen. Diese Betrügereien können finanziell verheerend sein.
- Nachahmung von Strafverfolgungsbehörden: In einigen Fällen geben sich Social Engineers sogar als Beamte der Strafverfolgungsbehörden aus und drohen mit rechtlichen Schritten, wenn Sie sich weigern, ihren Informationsforderungen nachzukommen. Auch wenn es für Unternehmen wichtig ist, diese Drohungen ernst zu nehmen, sollten Sie daran denken, dass seriöse Behörden in der Regel nicht per Telefon oder E-Mail nach Passwörtern oder sensiblen Finanzdaten fragen!
Zweck des Social Engineering
Social Engineering wird häufig bei Phishing-Angriffen eingesetzt. Dabei handelt es sich um E-Mails, die scheinbar von einer vertrauenswürdigen Quelle stammen, in Wirklichkeit aber darauf abzielen, Ihre persönlichen Daten zu stehlen oder Malware zu verbreiten. Die E-Mails enthalten in der Regel einen Anhang mit bösartiger Software (oft Malware genannt) oder Links zu bösartigen Websites, die Ihren Computer infizieren, wenn Sie sie öffnen oder anklicken.
Das Ziel des Social Engineering ist immer dasselbe: Zugang zu etwas Wertvollem zu erhalten, ohne dafür arbeiten zu müssen (aus der Perspektive des technischen Hackings). Zu den üblichen Zielen gehören:
1. Diebstahl sensibler Informationen
Social Engineers können versuchen, Sie dazu zu bringen, Ihr Kennwort und Ihre Anmeldedaten (z. B. Ihren Benutzernamen und Ihre E-Mail-Adresse) preiszugeben, damit sie auf Ihr E-Mail-Konto oder Ihr Social-Media-Profil zugreifen und persönliche Informationen wie Kreditkartennummern und Bankkontodaten aus früheren Transaktionen stehlen können. Sie könnten es auch auf Unternehmensgeheimnisse, Kundendaten oder geistiges Eigentum abgesehen haben. Sie wissen vielleicht , wie man auf Instagram verkauft, aber verfügen Sie auch über genügend Wissen, um Ihr kleines Unternehmen und Ihr Konto vor Social Engineers zu schützen?
2. Identitätsdiebstahl
Sie könnten diese Informationen auch nutzen, um die Identität des Opfers anzunehmen und bösartige Aktivitäten durchzuführen, die sich als die des Opfers ausgeben, z. B. Kreditanträge im Namen des Opfers zu stellen, betrügerische Einkäufe zu tätigen oder auf andere Konten zuzugreifen.
3. Finanzieller Betrug
Die Angreifer zielen darauf ab, direkt Geld zu stehlen, oft durch Betrügereien mit gefälschten Rechnungen (wie die, die Barbara Corcoran fast 400.000 Dollar gekostet hat), Überweisungsanfragen (CEO-Betrug), gefälschte Preisgewinne, die eine Vorauszahlung erfordern, oder den Zugang zu Bankkonten.
4. Unbefugten Zugang erlangen
Das Ziel könnte sein, Zugang zu einem eingeschränkten Netzwerk, System oder Standort zu erhalten, um weitere Angriffe, Spionage oder Sabotage durchzuführen.
Erfahren Sie warum Cyberangreifer häufig Social Engineering einsetzen.
Wie erkennt man einen Social Engineering-Angriff?
1. Vertrauen Sie Ihrem Bauchgefühl
Wenn Sie E-Mails, Nachrichten oder Anrufe erhalten, die verdächtig klingen, ein Gefühl der Dringlichkeit vermitteln oder sich "daneben" anfühlen, geben Sie keine Informationen weiter und ergreifen Sie keine Sofortmaßnahmen. Überprüfen Sie die Anfrage über einen separaten, vertrauenswürdigen Kommunikationskanal (z. B. rufen Sie direkt die offizielle Nummer Ihres Unternehmens an oder erkundigen Sie sich bei der Person, von der die Anfrage angeblich stammt, über eine bekannte Kontaktmethode).
2. Geben Sie Ihre persönlichen Daten nicht ohne Weiteres preis
Seien Sie äußerst vorsichtig, wenn Sie jemand nach Ihrer Sozialversicherungsnummer, Passwörtern, Finanzdaten oder anderen privaten Informationen fragt, vor allem, wenn dies unaufgefordert geschieht. Seriöse Unternehmen fragen selten per E-Mail oder Telefon nach sensiblen Daten. Es ist ratsam, keine Informationen herauszugeben, es sei denn, es ist absolut notwendig und Sie haben die Legitimität der Anfrage und die Identität des Anfragenden überprüft.
3. Ungewöhnliche Ersuchen ohne Kontext oder Überprüfung
Social Engineers stellen oft ungewöhnliche oder umfangreiche Anfragen (z. B. Überweisungen, Zugriffsberechtigungen, sensible Daten), ohne den richtigen Kontext zu nennen oder etablierte Verfahren einzuhalten. Wenn jemand um Geld oder andere Ressourcen bittet, ohne überzeugend zu erklären, warum er sie braucht, oder wenn die Anfrage ungewöhnlich erscheint oder die normalen Kanäle umgeht, ist wahrscheinlich etwas faul. Prüfen Sie solche Anfragen immer über offizielle Kanäle, bevor Sie ihnen nachkommen.
4. Absenderangaben und Links prüfen
Prüfen Sie in E-Mails sorgfältig die Absender- und Rücksprungadresse; Angreifer verwenden oft Adressen, die leicht falsch geschrieben sind oder legitimen Adressen ähnlich sehen(Domain-Spoofing). Bewegen Sie den Mauszeiger über Links, bevor Sie darauf klicken, um die tatsächliche Ziel-URL zu sehen; seien Sie vorsichtig, wenn sie verdächtig aussieht oder nicht mit der erwarteten Website übereinstimmt. Seien Sie vorsichtig bei E-Mails mit allgemeinen Begrüßungsformeln, schlechter Grammatik oder Rechtschreibfehlern.
5. Hüten Sie sich vor verlockenden Angeboten und Dringlichkeit
Seien Sie skeptisch bei Angeboten, die zu schön sind, um wahr zu sein (z. B. Gewinn einer Lotterie, an der Sie nicht teilgenommen haben, riesige Rabatte von unbekannten Quellen) oder bei Nachrichten, die ein starkes Gefühl von Dringlichkeit oder Angst vermitteln (z. B. "Ihr Konto wird geschlossen, wenn Sie nicht sofort handeln"). Dies sind gängige Manipulationstaktiken.
Hier sind einige konkrete Beispiele für potenziell verdächtige Situationen:
- Sie erhalten eine E-Mail von jemandem, der sich als Mitarbeiter Ihrer IT-Abteilung ausgibt und Sie auffordert, Ihr Passwort über einen Link zurückzusetzen oder es in einer E-Mail oder Textnachricht anzugeben.
- Sie erhalten eine unaufgeforderte E-Mail oder einen Anruf von jemandem, der behauptet, von Ihrer Bank zu sein, und Sie um persönliche Informationen wie Ihre Kontonummer, Ihren PIN-Code oder Ihr Passwort bittet. Denken Sie daran, dass Ihre Bank fast nie auf diese Weise nach diesen Informationen fragen wird.
- Bitte um sensible Informationen über das Unternehmen (z. B. Mitarbeiterdaten, Finanzdaten) durch eine Person, die vorgibt, von der Personalabteilung oder einem leitenden Angestellten des Unternehmens zu kommen, insbesondere wenn die Anfrage ungewöhnlich oder dringend erscheint.
- Sie sehen Online-Werbung oder erhalten Nachrichten mit unrealistischen Prämien oder Angeboten, die das Anklicken eines Links oder die Angabe persönlicher Daten erfordern.
E-Mail-basierte Social-Engineering-Angriffe
E-Mails sind nach wie vor ein wichtiger Kanal für Social Engineering. Gängige Typen sind:
Phishing-E-Mails - Diese E-Mails sehen aus, als kämen sie von einer seriösen Quelle (Banken, beliebte Dienste, Behörden), versuchen aber in Wirklichkeit, Sie dazu zu verleiten, einen bösartigen Anhang zu öffnen, eine gefälschte Anmeldeseite zu besuchen, um Anmeldedaten zu stehlen, oder auf einen Link zu klicken, über den Malware installiert wird. Phishing ist für die große Mehrheit der Datenschutzverletzungen verantwortlich.
Speer-Phishing - Speer-Phishing Angriffe sind sehr gezielte Angriffe, die sich an bestimmte Personen oder Organisationen richten. Die Angreifer recherchieren ihre Ziele und verwenden personalisierte Informationen (Name, Berufsbezeichnung, Interessen, jüngste Aktivitäten), um die E-Mails glaubwürdiger und überzeugender erscheinen zu lassen.
Whaling - Hierbei handelt es sich um eine Form des Spear-Phishing, die speziell auf hochrangige Personen innerhalb eines Unternehmens abzielt, z. B. auf leitende Angestellte oder Vorstandsmitglieder ("Wale"), da diese über ein hohes Maß an Zugang und Autorität verfügen.
CEO-Betrug / Business Email Compromise (BEC) - CEO-Betrug ist eine Art von Phishing- oder Spear-Phishing-Betrug, bei dem sich ein CEO oder eine andere hochrangige Führungskraft ausgibt und Mitarbeiter (in der Regel aus dem Finanz- oder Personalwesen) anweist, dringende Aktionen durchzuführen, wie z. B. Überweisungen zu veranlassen, Gehaltsabrechnungsdaten zu ändern oder vertrauliche Informationen zu senden.
Domain Spoofing - Angreifer fälschen die Absenderadresse, um eine E-Mail so aussehen zu lassen, als käme sie von einer legitimen Unternehmensdomäne, und verleiten so ihre Opfer, dem Inhalt der E-Mail zu vertrauen. Die Implementierung von DMARC kann helfen, direktes Domain-Spoofing zu verhindern.
Erfahren Sie mehr über andere Arten von Social Engineering Angriffe.
Wie kann Social Engineering verhindert werden?
Die Verhinderung von Social Engineering erfordert eine Kombination aus technischen Kontrollen und der Sensibilisierung der Benutzer. Im Folgenden finden Sie einige Tipps, wie Sie Social-Engineering-Angriffe verhindern und sich und Ihr Unternehmen schützen können:
- Installieren und pflegen Sie Sicherheitssoftware: Stellen Sie sicher, dass auf all Ihren Geräten und Computern eine gute Antiviren- und Anti-Malware-Software installiert ist. Halten Sie diese Programme sowie Ihr Betriebssystem und Ihre Anwendungen mit den neuesten Patches auf dem neuesten Stand, um sich vor bekannten Sicherheitslücken zu schützen.
- Seien Sie skeptisch gegenüber unaufgeforderten Mitteilungen: Öffnen Sie keine verdächtigen E-Mails oder Anhänge, vor allem nicht von Personen, die nicht zu Ihrem Vertrauenskreis gehören oder die Sie nicht kennen. Dies gilt auch für E-Mails, die vorgeben, von Ihrer Bank, Ihrem Kreditkartenunternehmen oder anderen Diensten zu stammen, wenn sie ungewöhnlich erscheinen oder nach vertraulichen Informationen fragen.
- Überprüfen Sie Links und Absender: Klicken Sie nicht auf Links in E-Mails oder Nachrichten, wenn Sie nicht sicher sind, dass sie sicher sind - selbst wenn sie von einer Ihnen bekannten Person zu stammen scheinen (deren Konto könnte kompromittiert sein). Bewegen Sie den Mauszeiger über Links, um die Ziel-URL zu überprüfen. Wenn Sie Zweifel an der Echtheit einer E-Mail haben, wenden Sie sich direkt an den Absender über einen bekannten, separaten Kommunikationskanal (z. B. Telefon oder SMS), anstatt auf die verdächtige E-Mail zu antworten oder auf Links darin zu klicken. Überprüfen Sie immer wieder die Absender- und Absenderadresse der E-Mail.
- Üben Sie strenge Passworthygiene: Verwenden Sie sichere, eindeutige Passwörter für verschiedene Konten. Ändern Sie sie regelmäßig. Vermeiden Sie die Weitergabe von Passwörtern und schreiben Sie sie nicht dort auf, wo andere sie finden können.
- Seien Sie vorsichtig bei ungebetenen Anrufen/Nachrichten: Seien Sie vorsichtig bei unaufgeforderten Anrufen (Vishing) oder Textnachrichten (Smishing), die etwas anbieten, das "zu schön ist, um wahr zu sein" (z. B. kostenlose Preise, Investitionsmöglichkeiten, dringende Warnungen). Geben Sie am Telefon keine persönlichen Daten an, es sei denn, Sie haben den Anruf initiiert und wissen, dass Sie mit einem legitimen Vertreter sprechen. Ziehen Sie die Verwendung von Anwendungen zur Identifizierung von Anrufern in Betracht.
- Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA/2FA): Verwenden Sie Zwei-Faktor-Authentifizierung wo immer möglich. Damit wird eine zusätzliche Sicherheitsebene geschaffen, d. h. selbst wenn jemand Ihr Passwort stiehlt, benötigt er eine weitere Information (z. B. einen einmaligen Code, der an Ihr Telefon gesendet wird), um auf Ihr Konto zuzugreifen.
- Implementieren Sie E-Mail-Authentifizierung: Richten Sie E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC für Ihre Domäne ein. Die Konfiguration von DMARC mit einer Richtlinie von p=reject hilft, Ihre E-Mail-Kanäle gegen direktes Domain-Spoofing, Phishing-Angriffe und Domain-Missbrauch zu schützen.
- Sichern Sie den physischen Zugang: Achten Sie darauf, dass sensible Informationen nicht leicht von Unbefugten eingesehen werden können. Schließen Sie Ihren Computer ab, wenn Sie sich entfernen.
- Begrenzen Sie die Weitergabe von Informationen im Internet: Seien Sie vorsichtig mit der Menge an persönlichen Informationen, die Sie in sozialen Medien und auf anderen öffentlichen Plattformen weitergeben, da Angreifer diese Informationen für Spear-Phishing oder Pretexting nutzen können.
- Sicheres Surfen: Surfen Sie nicht auf Websites, die nicht über eine HTTPS-Verbindung gesichert sind (achten Sie auf das Vorhängeschloss-Symbol und "https://" in der Adressleiste), insbesondere wenn Sie sensible Daten eingeben.
- Aufklären und schulen: Schärfen Sie das Bewusstsein in Ihrem Unternehmen und klären Sie sich und Ihre Mitarbeiter über gängige Arten von Social-Engineering-Angriffen, die verwendeten Taktiken und Warnzeichen auf. Regelmäßige Schulungen können die Anfälligkeit deutlich verringern. Denken Sie zweimal nach, bevor Sie Personen vertrauen, mit denen Sie online interagieren und die Sie im wirklichen Leben nicht kennen.
- Klare Verfahren einführen: Implementieren Sie klare Richtlinien und Verfahren für den Umgang mit Anfragen nach sensiblen Informationen, die Überprüfung von Identitäten und die Eskalation verdächtiger Aktivitäten.
Zusammenfassen
Es ist wichtig, sich vor Social Engineering zu schützen, denn es kann zu erheblichen finanziellen Verlusten, zum Diebstahl persönlicher und vertraulicher Informationen, zur Beeinträchtigung von Sicherheitssystemen, zur Rufschädigung und zu schwerwiegenden Datenschutzverletzungen führen.
Ganz gleich, wie gut Ihr IT-Team Ihr Unternehmen vor technischen Cyberangriffen schützt, das menschliche Element bleibt eine potenzielle Schwachstelle. Das Risiko, dass jemand versucht, durch Social-Engineering-Methoden, die auf das Vertrauen und die Psyche der Menschen abzielen, in Ihr System einzudringen, lässt sich nie ganz ausschließen. Deshalb ist es so wichtig, dass Mitarbeiter schulen kontinuierlich über die Erkennung von Phishing-E-Mails, Vishing-Anrufen und anderen Arten von Social-Engineering-Angriffen zu informieren und eine Kultur des Sicherheitsbewusstseins und der Vorsicht zu fördern.