Was ist Social Engineering? Dabei handelt es sich um eine Form des Cyberangriffs, bei dem durch Manipulation und Täuschung Zugang zu Daten oder Informationen erlangt wird. Das Ziel von Social Engineering ist es, Menschen dazu zu bringen, sensible Informationen wie Passwörter und Netzwerkdetails preiszugeben, indem sie glauben, dass sie mit jemandem interagieren, dem sie vertrauen.
In einigen Fällen versuchen Social Engineers auch, Sie dazu zu bringen, Malware - Software, die für bösartige Zwecke verwendet werden kann - auf Ihren Computer herunterzuladen, ohne dass Sie es merken.
Was ist Social Engineering: Definition
Unter Social Engineering versteht man die Manipulation von Menschen, damit sie Handlungen ausführen oder vertrauliche Informationen preisgeben. Es handelt sich dabei um eine Form des Hackings, aber anstatt in Computer einzubrechen, versuchen Social Engineers, sich Zugang zu ihnen zu verschaffen, indem sie Mitarbeiter dazu bringen, Informationen preiszugeben oder Malware herunterzuladen.
Techniken des Social Engineering: Wie funktioniert Social Engineering?
- Social Engineering kann per Telefon, E-Mail oder Textnachricht durchgeführt werden. Ein Social Engineer kann ein Unternehmen anrufen und um Zugang zu einem gesperrten Bereich bitten oder sich als eine andere Person ausgeben, um diese dazu zu bringen, ein E-Mail-Konto in seinem Namen zu eröffnen.
- Social Engineers verwenden viele verschiedene Taktiken, um ihre Ziele zu erreichen. Sie geben beispielsweise vor, vom Helpdesk eines Unternehmens anzurufen, und bitten um Fernzugriff, damit sie etwas auf Ihrem Computer oder in Ihrem Netzwerk reparieren können. Oder sie behaupten, sie bräuchten Ihr Kennwort oder andere persönliche Informationen wie Bankdaten, um ein Problem mit Ihrem Bankkonto zu lösen.
- In einigen Fällen geben sich die Social Engineers sogar als Strafverfolgungsbeamte aus und drohen mit rechtlichen Schritten, wenn Sie sich weigern, auf ihre Forderungen nach Informationen einzugehen. Auch wenn es für Unternehmen wichtig ist, diese Drohungen ernst zu nehmen, sollten Sie daran denken, dass die Polizei niemals jemanden anrufen und ihn am Telefon nach seinen Passwörtern fragen wird!
Zweck des Social Engineering
Social Engineering wird häufig bei Phishing-Angriffen eingesetzt. Dabei handelt es sich um E-Mails, die scheinbar von einer vertrauenswürdigen Quelle stammen, in Wirklichkeit aber darauf abzielen, Ihre persönlichen Daten zu stehlen. Die E-Mails enthalten in der Regel einen Anhang mit bösartiger Software (oft Malware genannt), die Ihren Computer infiziert, wenn sie geöffnet wird.
Das Ziel von Social Engineering ist immer dasselbe: Zugang zu etwas Wertvollem zu erhalten, ohne dafür arbeiten zu müssen.
1. Diebstahl sensibler Informationen
So können Social Engineers versuchen, Sie mit einem Trick dazu zu bringen, Ihr Passwort und Ihre Anmeldedaten (z. B. Ihren Benutzernamen oder Ihre E-Mail-Adresse) preiszugeben, damit sie auf Ihr E-Mail-Konto oder Ihr Social-Media-Profil zugreifen und persönliche Daten wie Kreditkartennummern und Bankkontodaten aus früheren Transaktionen stehlen können. Sie wissen vielleicht, wie man auf Instagram verkauft, aber sind Sie auch mit genügend Wissen ausgestattet, um Ihr kleines Unternehmen und Ihr Konto vor Social Engineers zu schützen?
2. Identitätsdiebstahl
Sie könnten diese Informationen auch verwenden, um die Identität des Opfers anzunehmen und bösartige Aktivitäten durchzuführen, indem sie sich als das Opfer ausgeben, wenn sie die Informationen nicht sofort vernichten.
Erfahren Sie warum Cyberangreifer häufig Social Engineering einsetzen.
Wie erkennt man einen Social Engineering-Angriff?
1. Vertrauen Sie Ihrem Bauchgefühl
Wenn Sie E-Mails oder Anrufe erhalten, die verdächtig klingen, geben Sie keine Informationen heraus, bis Sie Ihre Identität überprüft haben. Dies können Sie tun, indem Sie Ihr Unternehmen direkt anrufen oder sich bei der Person erkundigen, die angeblich die E-Mail gesendet oder eine Nachricht auf Ihrer Mailbox hinterlassen hat.
2. Übermitteln Sie keine persönlichen Informationen
Wenn jemand nach Ihrer Sozialversicherungsnummer oder anderen privaten Details fragt, ist das ein Zeichen dafür, dass er versucht, Ihr Vertrauen auszunutzen und es später gegen Sie zu verwenden. Es ist ratsam, keine Informationen herauszugeben, wenn es nicht absolut notwendig ist.
3. Ungewöhnliche Anfragen ohne Kontext
Sozialingenieure stellen in der Regel umfangreiche Anfragen, ohne einen Kontext anzugeben. Wenn jemand um Geld oder andere Ressourcen bittet, ohne zu erklären, wofür er sie braucht, ist wahrscheinlich etwas faul an der Sache. Bei derartigen Anfragen sollte man lieber vorsichtig sein - man weiß nie, welchen Schaden man mit dem Zugriff auf sein Bankkonto anrichten kann!
Hier sind einige Möglichkeiten, wie Sie Social-Engineering-Angriffe erkennen können:
- Sie erhalten eine E-Mail von jemandem, der sich als Mitarbeiter Ihrer IT-Abteilung ausgibt und Sie auffordert, Ihr Kennwort zurückzusetzen und es in einer E-Mail oder Textnachricht anzugeben.
- Erhalt einer E-Mail von jemandem, der behauptet, von Ihrer Bank zu sein und nach persönlichen Daten wie Ihrer Kontonummer oder Ihrem PIN-Code fragt
- Erhalt einer E-Mail von jemandem, der behauptet, von Ihrer Bank zu sein und nach persönlichen Daten wie Ihrer Kontonummer oder Ihrem PIN-Code fragt
- Eine Person, die sich als Mitarbeiter der Personalabteilung des Unternehmens ausgibt, bittet um Informationen über das Unternehmen
E-Mail-basierte Social-Engineering-Angriffe
Phishing-E-Mails - Diese E-Mails sehen aus, als kämen sie von einer legitimen Quelle, versuchen aber in Wirklichkeit, Sie zum Öffnen eines Anhangs oder zum Besuch einer bösartigen Website zu verleiten
Speer-Phishing - Speer-Phishing Angriffe sind gezielter als Phishing-E-Mails und verwenden Informationen über Sie, um sie glaubwürdiger erscheinen zu lassen
CEO-Betrug - CEO-Betrug ist eine Art von Phishing-Betrug, bei dem man sich als CEO oder hochrangige Führungskraft ausgibt, um Zugang zu vertraulichen Informationen zu erhalten. Dazu können Bankkontonummern, Überweisungsdetails oder sogar Gehaltsabrechnungsdaten von Mitarbeitern gehören.
Erfahren Sie mehr über andere Arten von Social Engineering Angriffe.
Wie kann Social Engineering verhindert werden?
Wir haben einige Tipps, wie Sie Social-Engineering-Angriffe verhindern und sich davor schützen können.
- Stellen Sie sicher, dass auf Ihren Geräten und Computern eine gute Antiviren-Software installiert ist.
- Öffnen Sie keine verdächtigen E-Mails oder Anhänge von Personen, die nicht zu Ihrem Vertrauenskreis gehören (dies gilt auch für E-Mails von Personen, die sich als Ihre Bank oder Ihr Kreditkartenunternehmen ausgeben).
- Klicken Sie nicht auf Links in E-Mails, wenn Sie nicht sicher sind, dass sie sicher sind - selbst wenn sie von jemandem kommen, den Sie kennen! Wenn Sie Zweifel haben, ob eine E-Mail seriös ist, rufen Sie den Absender direkt per Telefon oder SMS an, anstatt zuerst online nach weiteren Informationen zu suchen.
- Seien Sie vorsichtig bei unaufgeforderten Anrufen oder Textnachrichten, die etwas anbieten, das "zu schön ist, um wahr zu sein" (z. B. kostenlose Preise und andere Angebote für die Anmeldung zu kostenlosen Tests).
- Verwenden Sie Zwei-Faktoren-Authentifizierung Das bedeutet, dass selbst wenn jemand Ihr Passwort hat, er noch eine weitere Information (z. B. einen Einmalcode) benötigt, um auf Ihr Konto zuzugreifen.
- Richten Sie E-Mail-Authentifizierungsprotokolle wie DMARC um Ihre E-Mail-Kanäle gegen Phishing-Angriffe, Social Engineering und Domain-Missbrauch zu schützen.
Zusammenfassen
Es ist wichtig, sich vor Social Engineering zu schützen, denn es kann zum Verlust von Geld und anderen persönlichen Informationen sowie zur Beeinträchtigung von Sicherheitssystemen und Datenverletzungen führen.
Ganz gleich, wie gut Ihr IT-Team Ihr Unternehmen vor Cyberangriffen schützt, das Risiko, dass jemand versucht, durch Social-Engineering-Methoden in Ihr System einzudringen, lässt sich nie ganz ausschließen. Deshalb ist es so wichtig, dass Mitarbeiter schulen zur Erkennung von Phishing-E-Mails und anderen Arten von Social-Engineering-Angriffen.