Was ist Social Engineering?

Lerne effektive Strategien zum Schutz deiner persönlichen Daten und zur Abwehr von Social Engineering, eine raffinierte Taktik von Cyberkriminellen, um Menschen zu manipulieren.

KOSTENLOSE ANTIVIREN- UND VIRUS-SCANS HERUNTERLADEN

In diesem Artikel:

  • Erfahren Sie, was Social-Engineering-Angriffe sind und wie Cyberkriminelle psychologische Manipulationen einsetzen, um Sicherheitsmaßnahmen zu umgehen und Personen dazu zu bringen, vertrauliche Informationen preiszugeben.
  • Verstehen Sie, wie Angreifer menschliche Emotionen wie Angst, Neugier und Dringlichkeit durch Taktiken wie Impersonation, Phishing und Scareware ausnutzen.
  • Entdecken Sie praktische Tipps zum Schutz vor Social Engineering, einschließlich Multi-Faktor-Authentifizierung, Schulungen zum Sicherheitsbewusstsein und Spam-Filter.
  • Lernen Sie die gängigsten Arten von Social-Engineering-Angriffen kennen - von Phishing und Lockvogelangeboten bis hin zu Betrügereien mit technischem Support - und sehen Sie sich Beispiele aus der Praxis an, wie Sextortion-E-Mails und COVID-19-Betrug.

Was sind Social Engineering Angriffe?

Sozial-Engineering-Angriffe in der Informatik sind raffinierte Methoden, die von Cyberkriminellen genutzt werden, um Einzelpersonen zu manipulieren und deren Sicherheit zu gefährden. Oft führen diese Angriffe dazu, dass Opfer unwissentlich Geld senden, sensible persönliche oder organisatorische Informationen preisgeben oder Sicherheitsprotokolle verletzen.

Die Wirksamkeit von Social Engineering liegt in der Fähigkeit, menschliche Emotionen wie Angst, Neugier oder Mitgefühl auszunutzen, um Menschen dazu zu bringen, impulsiv gegen ihr besseres Urteilsvermögen zu handeln. Angreifer nutzen diese emotionalen Trigger, um Opfer dazu zu bringen, Entscheidungen zu treffen, die im Nachhinein irrational erscheinen, wie das Herunterladen schädlicher Software, der Besuch unsicherer Websites oder das Teilen vertraulicher Daten.

Wie funktioniert Social Engineering?

Social Engineering beinhaltet psychologische Taktiken, um Menschen zu manipulieren, damit sie sensible Informationen preisgeben, die für den Systemzugang oder Identitätsdiebstahl entscheidend sind. Dabei werden menschliche Fehler ausgenutzt, oft durch Täuschung oder Nachahmung, was zu Sicherheitsverletzungen und Datenkompromittierung führt, ohne dass technische Hacking-Methoden zum Einsatz kommen.

Sozial-Engineering-Angriffe sind in der Regel mehrstufige Prozesse. Zunächst recherchiert der Angreifer das Ziel, um genügend Informationen und wesentliche Hintergrunddetails zu sammeln und Schwachstellen sowie schwache Sicherheitsmaßnahmen zu identifizieren, die für den Erfolg des Angriffs entscheidend sind. Anschließend wendet der Angreifer Taktiken wie Pretexting oder das Nachahmen von Autoritätspersonen an, um das Vertrauen des Opfers zu gewinnen. Diese Manipulation zielt darauf ab, Handlungen zu fördern, die die Sicherheit untergraben, wie das Offenlegen vertraulicher Informationen oder den Zugang zu wichtigen Systemen zu gewähren.

Social Engineering Angriffe manipulieren menschliche Psychologie, um technische Sicherheitsmaßnahmen zu umgehen. Sie wählen ihre beabsichtigten Opfer sorgfältig nach verschiedenen Faktoren aus. Zu den wichtigsten Taktiken zählen:

  1. Nachahmung: Angreifer geben sich oft als renommierte Unternehmen, Regierungsbehörden oder Autoritätspersonen aus, um Vertrauen zu gewinnen. Zum Beispiel können sie betrügerische Websites erstellen, die große Marken nachahmen, um Benutzer zu täuschen und sensible Informationen zu enthüllen.
  2. Emotionen Ausnutzen: Diese Angriffe nutzen häufig Emotionen wie Angst, Dringlichkeit oder Gier. Betrüger könnten alarmierende Nachrichten über ein kompromittiertes Bankkonto senden oder Opfer mit betrügerischen Versprechen finanzieller Gewinne locken, wie beim berüchtigten 'Nigerianischen Prinzen'-E-Mail-Betrug.
  3. Ausnutzen von Hilfsbereitschaft oder Neugier: Social Engineers nutzen auch die natürliche Neigung einer Person zu helfen oder ihre Neugier. Sie könnten E-Mails senden, die von Freunden oder sozialen Netzwerken zu kommen scheinen und um Kontaktinformationen oder Unterstützung bitten oder Benutzer dazu verleiten, auf einen schädlichen Link zu klicken, unter dem Vorwand einer interessanten Geschichte oder hilfreichen Ressource.

Diese Taktiken zu verstehen ist entscheidend, um Social Engineering Angriffe zu erkennen und abzuwehren. Sie zielen auf die menschliche Natur ab, anstatt auf technologische Schwachstellen, was Bewusstsein und Wachsamkeit zu den wichtigsten Abwehrmaßnahmen gegen solche Bedrohungen macht.

Wie schützt man sich vor Social Engineering Angriffen?

Social Engineering Angriffe können viele Formen annehmen, von Phishing-E-Mails bis hin zu Manipulationen über Telefonanrufe oder Textnachrichten. Da sie hauptsächlich menschliche Schwachstellen und nicht technologische Fehler ins Visier nehmen, erfordert die Abwehr ihrer Kombination aus Bewusstsein, Wachsamkeit und technischen Schutzmaßnahmen.

Die folgenden Schritte bieten einen umfassenden Ansatz zur Verbesserung Ihrer Abwehr gegen diese zunehmend verbreiteten und ausgeklügelten Angriffe:

  1. Verwenden Sie Multi-Faktor-Authentifizierung: Die Implementierung von Zwei-Faktor- oder Multi-Faktor-Authentifizierung ist entscheidend. Es fügt eine zusätzliche Sicherheitsebene hinzu, die sicherstellt, dass selbst wenn Anmeldedaten kompromittiert werden, unbefugter Zugriff weiterhin verhindert wird.
  2. Sicherheitsbewusstsein-Schulung: Regelmäßige Schulungen für alle Mitarbeiter sind entscheidend, um Social Engineering Angriffe zu erkennen und darauf zu reagieren. Diese Schulungen sollten das Erkennen verdächtiger Aktivitäten und die Wichtigkeit des Nichtteilens sensibler Informationen abdecken.
  3. Installieren Sie ein starkes Cybersecurity-Programm: Verwenden Sie eine umfassende Cybersicherheitssoftware, wie z. B. Malwarebytes, die Bedrohungen wie bösartige Websites, Malvertising, Malware, Viren und Ransomware erkennen und neutralisieren kann.
  4. Implementierung von Zugangskontrollrichtlinien und Cybersecurity-Technologien: Setzen Sie strenge Zugangskontrollrichtlinien durch, einschließlich adaptiver Authentifizierung und eines Zero-Trust-Sicherheitsansatzes. Nutzen Sie Technologien wie Spamfilter, sichere E-Mail-Gateways, Firewalls und Antivirensoftware und halten Sie Ihre Systeme mit den neuesten Patches auf dem neuesten Stand.
  5. Schalten Sie Spam-Filter ein: Aktivieren Sie Spam-Filter, um Phishing-E-Mails und andere Formen von Spam zu blockieren. Während einige legitime E-Mails herausgefiltert werden könnten, können Sie dem entgegenwirken, indem Sie sie als "kein Spam" markieren und legitime Absender zu Ihrer Kontaktliste hinzufügen.
  6. Wie man Phishing-E-Mails erkennt: Bilden Sie sich und andere aus, um Phishing-Versuche zu erkennen. Achten Sie auf Warnsignale wie nicht übereinstimmende Absenderadressen, generische Anreden, ungewöhnliche URLs, schlechte Grammatik und Angebote, die zu gut erscheinen, um wahr zu sein.
  7. Deaktivieren Sie Makros in Dokumenten: Schalten Sie Makros in Ihrer Software ab. Seien Sie vorsichtig bei E-Mail-Anhängen, die Sie zur Aktivierung von Makros auffordern, insbesondere von unbekannten Quellen. Im Zweifelsfall überprüfen Sie die Legitimität des Anhangs beim Absender.
  8. Nicht auf vermutete Betrugsversuche reagieren: Vermeiden Sie es, auf potenzielle Betrugsversuche zu reagieren, sei es per E-Mail, SMS oder Anrufe. Durch das Antworten bestätigen Sie Betrügern, dass Ihre Kontaktdaten gültig sind, was mehr Versuche ermutigt. Verdächtige Texte an 7726 (SPAM) weiterleiten, um Ihrem Anbieter zu helfen, Spam zu filtern.

Durch die Umsetzung dieser Strategien können Sie ein robustes Verteidigungssystem gegen Social Engineering Angriffe schaffen, das sowohl Ihre persönlichen Daten als auch die sensiblen Informationen Ihres Unternehmens schützt. Denken Sie daran, informiert und vorsichtig zu bleiben ist Ihre erste Verteidigungslinie in der sich ständig weiterentwickelnden Welt der Cybersecurity-Bedrohungen.

Arten von Social Engineering Angriffen

Social-Engineering-Angriffe erfolgen vor allem durch verschiedene [Formen des Phishings](malwarebytes. Diese Angriffe nutzen die menschliche Psychologie und das Vertrauen aus, anstatt sich auf technische Hacking-Methoden zu stützen. Die Effektivität und Häufigkeit von Phishing machen es zu einem kritischen Problem für Einzelpersonen und Unternehmen. Hier ist eine detailliertere Aufschlüsselung der einzelnen Arten:

  1. E-Mail-Phishing: Angreifer imitieren legitime Unternehmen durch E-Mails und täuschen Empfänger, persönliche Daten oder Anmeldeinformationen preiszugeben. Diese E-Mails enthalten oft Links zu betrügerischen Websites oder bösartige Anhänge.
  2. Massenphishing: Bei dieser Methode wird dieselbe Phishing-E-Mail an Millionen von Personen gesendet. Die E-Mails scheinen von erkennbaren Organisationen zu stammen und fordern oft unter falschem Vorwand persönliche Informationen an.
  3. Spear Phishing: Eine gezieltere Form des Phishings, bei der Angreifer ihre Nachrichten an bestimmte Personen anpassen, indem sie Informationen aus sozialen Medien oder beruflichen Netzwerken verwenden.
  4. Walfisch-Phishing: Eine hochrangige Spear-Phishing-Taktik, die auf leitende Angestellte oder hochrangige Personen abzielt. Diese Angriffe sind stark personalisiert und beinhalten oft komplexe Täuschungen.
  5. Sprach-Phishing (Vishing): Bei dieser Technik werden Personen durch Telefonanrufe dazu verleitet, sensible Informationen preiszugeben. Die Angreifer können sich als legitime Organisationen oder Autoritätspersonen ausgeben.
  6. SMS-Phishing (Smishing): Eine Variante des Phishings, die über Textnachrichten durchgeführt wird. Diese Nachrichten locken Empfänger dazu, auf bösartige Links zu klicken oder sensible Informationen preiszugeben.
  7. Suchmaschinen-Phishing: Bei diesem Ansatz erstellen Angreifer gefälschte Websites, die in den Suchergebnissen hoch erscheinen. Wenn Nutzer diese Seiten besuchen, besteht das Risiko von Informationsdiebstahl.
  8. Angler Phishing: Diese Form nutzt soziale Medien aus, bei der Angreifer gefälschte Kundenservice-Konten erstellen, um mit Opfern zu interagieren, was sie oft zu Phishing-Seiten führt.

Nach Phishing sind die anderen Social Engineering Methoden:

  1. Baiting: Verführt Opfer mit einem falschen Versprechen von Waren oder Dienstleistungen, um Informationen zu stehlen oder Malware zu installieren.
  2. Tailgating/Piggybacking: Beinhaltet den unautorisierten Zugang zu eingeschränkten Bereichen, indem man einer autorisierten Person körperlich folgt oder digital die aktive Sitzung einer anderen Person ausnutzt.
  3. Pretexting: Angreifer erfinden Szenarien, um sensible Informationen zu extrahieren oder Zugang zu erhalten, oft indem sie sich als jemand mit Autorität oder als jemand mit einer Notwendigkeit zur Identitätsüberprüfung ausgeben.
  4. Quid Pro Quo: Bietet einen Service oder Nutzen im Austausch für sensible Informationen, und nutzt das Bedürfnis des Opfers nach einem guten Geschäft oder Belohnung aus.
  5. Scareware: Verwendet Angsttaktiken, um die Opfer zur Installation von Malware oder zur Preisgabe vertraulicher Informationen zu verleiten.
  6. Watering Hole-Angriff: Zielt auf bestimmte Gruppen ab, indem Websites infiziert werden, die sie häufig besuchen, was zum Datendiebstahl oder zur Installation von Malware führt.
  7. Trojaner Angriffe: Malware, die als legitime Software getarnt ist und oft durch E-Mail-Anhänge von scheinbar vertrauenswürdigen Quellen verbreitet wird.
  8. Tech-Support-Betrügereien: Täuschen Opfer, sie glauben ihre Geräte seien kompromittiert, und verlangen Geld für unnötige "Reparaturen".
  9. Betrugsanrufe: Betrügerische Anrufe (einschließlich Robo-Anrufe), bei denen sich die Opfer oft als seriöse Organisationen oder Behörden ausgeben.

Diese Phishing-Methoden und andere Social Engineering Taktiken zu verstehen, ist entscheidend, um sich gegen diese verbreiteten und sich weiterentwickelnden Bedrohungen zu schützen.

Beispiele für Social Engineering Angriffe

Hier sind einige Beispiele für Social Engineering aus der Praxis, über die wir bei Malwarebytes Labs berichtet haben. In jedem Beispiel suchen die Social-Engineering-Betrüger nach dem richtigen Ziel und dem richtigen emotionalen Auslöser. Manchmal kann die Kombination aus Ziel und Auslöser sehr spezifisch sein (wie bei einem Spear-Phishing-Angriff). In anderen Fällen haben es die Betrüger auf eine viel breitere Gruppe abgesehen.

Der Sextortion-Betrug: In diesem ersten Beispiel werfen die Betrüger ein weites Netz aus. Das Ziel? Jeder, der sich Pornos ansieht. Das Opfer wird per E-Mail benachrichtigt, dass seine Webcam angeblich gehackt und benutzt wurde, um es beim Ansehen von Pornovideos aufzuzeichnen. Der Betrüger behauptet auch, dass er das E-Mail-Konto des Empfängers gehackt hat, wobei er ein altes Passwort als Beweis verwendet. Wenn das Opfer nicht mit Bitcoin bezahlt, droht der Betrüger damit, das Video an alle Kontakte des Opfers weiterzugeben. In der Regel hat der Betrüger kein Video von Ihnen, und Ihr altes Passwort stammt von einer zuvor bekannt gewordenen Datenpanne.

Der Enkeltrick-Betrug: Dieser Betrug kursiert seit Jahren und zielt auf jeden ab, der noch lebende Familienangehörige hat, meist die Älteren. Eltern oder Großeltern erhalten einen Anruf oder eine SMS vom Betrüger, der sich als Anwalt oder Strafverfolgungsbehörde ausgibt. Der Betrüger behauptet, dass der Angehörige des Opfers festgenommen oder verletzt wurde und Geld für Kaution, Anwaltskosten oder Krankenhausrechnungen benötigt. Im Fall der SMS-Version dieses Betrugs kostet allein schon das Antworten den Opfern Geld.

Der Betrug mit der Sozialversicherungsnummer: Bei dieser Betrugsmasche wird es eng, da sie nur für US-Bürger gilt. Das Opfer erhält einen voraufgezeichneten Telefonanruf, der vorgibt, von der Sozialversicherungsbehörde zu kommen. In der Nachricht wird behauptet, dass die SSN des Opfers wegen "verdächtiger Spuren von Informationen" gesperrt worden sei. Ganz abgesehen davon, dass die SSN nicht gesperrt werden kann, wird das Opfer, wenn es auf die Masche hereinfällt und den Anruf erwidert, aufgefordert, eine Geldstrafe zu zahlen, um die Angelegenheit zu klären.

Der John Wick 3-Betrug: Hier ist ein gutes Beispiel für Spear Phishing. In diesem Fall haben es die Betrüger auf eine sehr spezifische Zielgruppe abgesehen: einen John Wick-Fan, der Comics mag, aber es vorzieht, sie auf Amazon Kindle zu lesen. Während der Suche nach John Wick-Comics wird dem Ziel ein kostenloser Download für den dritten John Wick-Film angeboten—zu der Zeit des Betrugs war der Film noch nicht in den Kinos erschienen. Der Link, der in der Beschreibung des Films eingebettet ist, führt das Opfer in ein Dilemma illegaler Streaming-Seiten für Raubkopien.

Coronavirus-Betrügereien: Betrüger nutzten den Mangel an Informationen über das Virus, insbesondere in den ersten Tagen und Monaten der Epidemie. Während die Gesundheitsbehörden darum kämpften, das Virus und seine Ausbreitung von Mensch zu Mensch in den Griff zu bekommen, füllten Betrüger die Lücken mit gefälschten Websites und Spam-E-Mails.

Wir berichteten über Spam-E-Mails, die sich als Vireninformationen der Weltgesundheitsorganisation ausgaben. Die E-Mails enthielten in Wirklichkeit mit Malware gefüllte Anhänge. In einem anderen Beispiel berichteten die Labs über eine COVID-19-Tracking-Site, die Infektionen in der ganzen Welt in Echtzeit anzeigte. Hinter den Kulissen lud die Website einen Trojaner, der Informationen stahl, auf die Computer der Opfer.

Was ist Phishing?

Was ist Spear Phishing?

Was ist ein vishing ?

Was ist Catfishing?

Was ist Identitätsdiebstahl?

FAQs

Was ist der Unterschied zwischen Social Engineering und Reverse Social Engineering?

Beim Social Engineering nähern sich Angreifer den Zielen, um sie zur Preisgabe von Informationen zu manipulieren. Beim Reverse Social Engineering initiieren Opfer unwissentlich den Kontakt mit hinterlistigen Angreifern.