Was sind Social-Engineering-Angriffe?
Social-Engineering-Angriffe im Computerbereich sind ausgeklügelte Methoden, mit denen Cyberkriminelle Personen dazu bringen, ihre eigene Sicherheit zu gefährden. Diese Angriffe führen oft dazu, dass die Opfer unwissentlich Geld senden, sensible persönliche oder organisatorische Informationen preisgeben oder Sicherheitsprotokolle verletzen.
Die Effektivität von Social Engineering liegt in der Fähigkeit, menschliche Emotionen wie Angst, Neugier oder Empathie auszunutzen und Menschen dazu zu bringen, impulsiv und gegen ihr besseres Wissen zu handeln. Indem sie diese emotionalen Auslöser verstehen und ausnutzen, bringen die Angreifer ihre Opfer dazu, Entscheidungen zu treffen, die im Nachhinein irrational erscheinen, wie z. B. das Herunterladen von Schadsoftware, der Besuch unsicherer Websites oder die Weitergabe vertraulicher Daten.
Wie funktioniert das Social Engineering?
Social Engineering beinhaltet psychologische Taktiken, um Menschen zu manipulieren, damit sie sensible Informationen preisgeben, die für den Systemzugang oder Identitätsdiebstahl entscheidend sind. Dabei werden menschliche Fehler ausgenutzt, oft durch Täuschung oder Nachahmung, was zu Sicherheitsverletzungen und Datenkompromittierung führt, ohne dass technische Hacking-Methoden zum Einsatz kommen.
Social-Engineering-Angriffe sind in der Regel mehrstufige Prozesse. Zunächst recherchiert der Angreifer das Ziel, um genügend Informationen und wichtige Hintergrunddetails zu sammeln und Schwachstellen und schwache Sicherheitsmaßnahmen zu identifizieren, die für den Erfolg des Angriffs entscheidend sind. Anschließend wendet der Angreifer Taktiken wie das Vorgeben eines Vorwandes oder das Nachahmen von Autoritätspersonen an, um das Vertrauen des Opfers zu gewinnen. Durch diese Manipulation sollen Handlungen herbeigeführt werden, die die Sicherheit gefährden, z. B. die Preisgabe vertraulicher Informationen oder die Gewährung von Zugang zu wichtigen Systemen.
Social-Engineering-Angriffe manipulieren die menschliche Psychologie, um technische Sicherheitsmaßnahmen zu umgehen. Sie wählen ihr Opfer sorgfältig anhand verschiedener Faktoren aus. Zu den wichtigsten Taktiken gehören:
- Impersonation: Angreifer geben sich oft als seriöse Unternehmen - große Marken, Regierungsbehörden oder Autoritätspersonen - aus, um Vertrauen zu gewinnen. Sie erstellen beispielsweise betrügerische Websites, die große Marken widerspiegeln, um Benutzer zur Preisgabe vertraulicher Informationen zu verleiten.
- Ausnutzung von Emotionen: Diese Angriffe nutzen in der Regel Emotionen wie Angst, Dringlichkeit oder Gier aus. Die Betrüger können alarmierende Nachrichten über ein kompromittiertes Bankkonto versenden oder die Opfer mit betrügerischen Versprechungen von finanziellen Gewinnen locken, wie z. B. beim berüchtigten E-Mail-Betrug "Nigerianischer Prinz".
- Ausnutzung des guten Willens oder der Neugierde: Social Engineers nutzen auch die natürliche Hilfsbereitschaft oder die Neugierde von Menschen aus. Sie können E-Mails verschicken, die den Anschein erwecken, von Freunden oder sozialen Netzwerken zu stammen, und um Kontaktinformationen oder Unterstützung bitten oder Benutzer unter dem Deckmantel einer interessanten Geschichte oder hilfreichen Ressource dazu verleiten, auf einen bösartigen Link zu klicken.
Das Verständnis dieser Taktiken ist entscheidend, um Social-Engineering-Angriffe zu erkennen und zu vereiteln. Sie nutzen eher die menschliche Natur als technologische Schwächen aus, so dass Bewusstsein und Wachsamkeit die wichtigsten Schutzmaßnahmen gegen solche Bedrohungen sind.
Wie man sich vor Social-Engineering-Angriffen schützt
Social-Engineering-Angriffe können viele Formen annehmen, von Phishing-E-Mails bis hin zu Manipulationen über Telefonanrufe oder Textnachrichten. Da sie in erster Linie auf menschliche Schwachstellen und nicht auf technologische Mängel abzielen, erfordert die Abwehr dieser Angriffe eine Kombination aus Sensibilisierung, Wachsamkeit und technologischen Sicherheitsvorkehrungen.
Die folgenden Schritte bieten einen umfassenden Ansatz zur Verbesserung Ihrer Verteidigung gegen diese immer häufiger auftretenden und ausgefeilten Angriffe:
- Verwenden Sie die Multi-Faktor-Authentifizierung: Die Implementierung einer Zwei-Faktor- oder Multi-Faktor-Authentifizierung ist entscheidend. Sie bietet eine zusätzliche Sicherheitsebene, die sicherstellt, dass selbst bei einer Kompromittierung der Anmeldedaten ein unbefugter Zugriff verhindert wird.
- Security Sensibilisierungsschulung: Regelmäßige Schulungen für alle Mitarbeiter sind unerlässlich, um Social-Engineering-Angriffe zu erkennen und darauf zu reagieren. Diese Schulungen sollten die Erkennung verdächtiger Aktivitäten und die Bedeutung der Nichtweitergabe sensibler Informationen abdecken.
- Installieren Sie ein starkes Cybersecurity-Programm: Verwenden Sie eine umfassende Cybersicherheitssoftware wie Malwarebytes, die Bedrohungen wie bösartige Websites, Malvertising, Malware, Viren und Ransomware erkennen und neutralisieren kann.
- Implementierung von Zugangskontrollrichtlinien und Cybersecurity-Technologien: Setzen Sie strenge Zugangskontrollrichtlinien durch, einschließlich adaptiver Authentifizierung und eines Zero-Trust-Sicherheitsansatzes. Nutzen Sie Technologien wie Spamfilter, sichere E-Mail-Gateways, Firewalls und Antivirensoftware und halten Sie Ihre Systeme mit den neuesten Patches auf dem neuesten Stand.
- Aktivieren Sie Spam-Filter: Aktivieren Sie Spam-Filter, um Phishing-E-Mails und andere Formen von Spam zu blockieren. Auch wenn einige legitime E-Mails herausgefiltert werden, können Sie dies abmildern, indem Sie sie als "kein Spam" markieren und legitime Absender zu Ihrer Kontaktliste hinzufügen.
- Lernen Sie, wie Sie Phishing-E-Mails erkennen: Informieren Sie sich und andere über die Erkennung von Phishing-Versuchen. Achten Sie auf rote Fahnen wie nicht übereinstimmende Absenderadressen, generische Anreden, ungewöhnliche URLs, schlechte Grammatik und Angebote, die zu gut aussehen, um wahr zu sein.
- Makros in Dokumenten deaktivieren: Deaktivieren Sie Makros in Ihrer Software. Seien Sie vorsichtig bei E-Mail-Anhängen, die Sie auffordern, Makros zu aktivieren, insbesondere bei unbekannten Quellen. Überprüfen Sie im Zweifelsfall die Legitimität des Anhangs beim Absender.
- Reagieren Sie nicht auf mutmaßliche Betrügereien: Reagieren Sie nicht auf potenzielle Betrugsversuche, sei es per E-Mail, SMS oder Telefonanruf. Eine Antwort bestätigt den Betrügern, dass Ihre Kontaktinformationen gültig sind, was zu weiteren Versuchen ermutigt. Leiten Sie verdächtige Texte an die Nummer 7726 (SPAM) weiter, damit Ihr Netzbetreiber Spam filtern kann.
Durch die Umsetzung dieser Strategien können Sie ein robustes Verteidigungssystem gegen Social-Engineering-Angriffe aufbauen, das sowohl Ihre persönlichen Daten als auch die vertraulichen Informationen Ihres Unternehmens schützt. Denken Sie daran: Informiert zu bleiben und vorsichtig zu sein, ist Ihre erste Verteidigungslinie in der sich ständig weiterentwickelnden Landschaft der Cybersicherheitsbedrohungen.
Arten von Social-Engineering-Angriffen
Social-Engineering-Angriffe erfolgen hauptsächlich durch verschiedene [Formen des Phishings]( https://www.malwarebytes.com/phishing). Diese Angriffe nutzen die menschliche Psychologie und das Vertrauen aus, anstatt sich auf technische Hacking-Methoden zu stützen. Die Effektivität und Verbreitung von Phishing machen es zu einem kritischen Problem für Einzelpersonen und Unternehmen. Hier ist eine detailliertere Aufschlüsselung der einzelnen Arten:
- E-Mail-Phishing: Angreifer geben sich in E-Mails als seriöse Unternehmen aus und bringen die Empfänger dazu, persönliche Daten oder Anmeldeinformationen preiszugeben. Diese E-Mails enthalten oft Links zu betrügerischen Websites oder bösartige Anhänge.
- Massenphishing: Bei dieser Methode wird dieselbe Phishing-E-Mail an Millionen von Personen gesendet. Die E-Mails scheinen von erkennbaren Organisationen zu stammen und fordern oft unter falschem Vorwand persönliche Informationen an.
- Speer-Phishing: Eine gezieltere Form des Phishings, bei der die Angreifer ihre Nachrichten anhand von Informationen aus sozialen Medien oder beruflichen Netzwerken auf bestimmte Personen zuschneiden.
- Walfisch-Phishing: Eine hochrangige Spear-Phishing-Taktik, die auf leitende Angestellte oder hochrangige Personen abzielt. Diese Angriffe sind stark personalisiert und beinhalten oft komplexe Täuschungen.
- Sprach-Phishing (Vishing): Bei dieser Technik werden Personen durch Telefonanrufe dazu verleitet, sensible Informationen preiszugeben. Die Angreifer können sich als legitime Organisationen oder Autoritätspersonen ausgeben.
- SMS-Phishing (Smishing): Eine Variante des Phishings, die über Textnachrichten erfolgt. Diese Nachrichten verleiten die Empfänger dazu, auf bösartige Links zu klicken oder sensible Informationen preiszugeben.
- Suchmaschinen-Phishing: Bei diesem Ansatz erstellen die Angreifer gefälschte Websites, die in den Suchmaschinenergebnissen weit oben erscheinen. Wenn Nutzer diese Websites besuchen, besteht die Gefahr des Informationsdiebstahls.
- Angler-Phishing: Diese Form nutzt Social-Media-Plattformen aus, auf denen Angreifer gefälschte Kundendienstkonten einrichten, um mit den Opfern zu interagieren und sie oft auf Phishing-Seiten zu führen.
Nach Phishing sind die anderen Social-Engineering-Methoden:
- Köder: Lockt die Opfer mit einem falschen Versprechen von Waren oder Dienstleistungen, um Informationen zu stehlen oder Malware zu installieren.
- Tailgating/Piggybacking: Unbefugter Zugang zu gesperrten Bereichen durch physisches Verfolgen einer autorisierten Person oder durch digitale Ausnutzung der aktiven Sitzung einer anderen Person.
- Vortäuschung: Angreifer fabrizieren Szenarien, um an sensible Informationen zu gelangen oder sich Zugang zu verschaffen, indem sie sich oft als jemand ausgeben, der über Autorität verfügt oder seine Identität überprüfen muss.
- Quid Pro Quo: Bietet eine Dienstleistung oder einen Vorteil im Austausch für sensible Informationen an und nutzt den Wunsch des Opfers nach einem guten Geschäft oder einer Belohnung aus.
- Scareware: Verwendet Angsttaktiken, um Opfer zur Installation von Malware oder zur Preisgabe vertraulicher Informationen zu verleiten.
- Watering Hole-Angriff: Zielt auf bestimmte Gruppen ab, indem Websites infiziert werden, die sie häufig besuchen, was zum Datendiebstahl oder zur Installation von Malware führt.
- Trojanische Angriffe: Als legitime Software getarnte Malware, die häufig über E-Mail-Anhänge aus scheinbar vertrauenswürdigen Quellen verbreitet wird.
- Technischer Support-Betrug: Sie gaukeln den Opfern vor, dass ihr Gerät gefährdet ist, und verlangen Geld für unnötige "Reparaturen".
- Betrugsanrufe: Betrügerische Telefonanrufe (einschließlich Robo-Anrufe), bei denen sich die Opfer oft als legitime Organisationen oder Behörden ausgeben.
Das Verständnis dieser Phishing-Methoden und anderer Social-Engineering-Taktiken ist entscheidend für den Schutz vor diesen weit verbreiteten und sich weiterentwickelnden Bedrohungen.
Beispiele für Social-Engineering-Angriffe
Hier sind einige Beispiele für Social Engineering aus der Praxis, über die wir auf Malwarebytes Labs berichtet haben. In jedem Beispiel suchen die Social-Engineering-Betrüger nach dem richtigen Ziel und dem richtigen emotionalen Auslöser. Manchmal kann die Kombination aus Ziel und Auslöser sehr spezifisch sein (wie bei einem Spear-Phishing-Angriff). In anderen Fällen haben es die Betrüger auf eine viel breitere Gruppe abgesehen.
Der Sextortion-Betrug: In diesem ersten Beispiel werfen die Betrüger ein weites Netz aus. Das Ziel? Jeder, der sich Pornos ansieht. Das Opfer wird per E-Mail benachrichtigt, dass seine Webcam angeblich gehackt und benutzt wurde, um es beim Ansehen von Pornovideos aufzuzeichnen. Der Betrüger behauptet auch, dass er das E-Mail-Konto des Empfängers gehackt hat, wobei er ein altes Passwort als Beweis verwendet. Wenn das Opfer nicht mit Bitcoin bezahlt, droht der Betrüger damit, das Video an alle Kontakte des Opfers weiterzugeben. In der Regel hat der Betrüger kein Video von Ihnen, und Ihr altes Passwort stammt von einer zuvor bekannt gewordenen Datenpanne.
Der Großeltern-Betrug: Diese Masche ist seit Jahren im Umlauf und richtet sich an alle, die noch Familie haben, in der Regel ältere Menschen. Eltern oder Großeltern erhalten einen Anruf oder eine Textnachricht von einem Betrüger, der sich als Anwalt oder Strafverfolgungsbehörde ausgibt. Der Betrüger behauptet, der Angehörige des Opfers sei verhaftet oder verletzt worden und brauche Geld für die Kaution, Anwalts- oder Krankenhauskosten. Bei der SMS-Variante des Betrugs kostet die bloße Beantwortung das Opfer am Ende Geld.
Der Betrug mit der Sozialversicherungsnummer Security : Bei dieser Betrugsmasche wird es eng, da sie nur für US-Bürger gilt. Das Opfer erhält einen aufgezeichneten Telefonanruf, der vorgibt, von der Social Security Administration zu kommen. In der Nachricht wird behauptet, dass die SSN des Opfers wegen "verdächtiger Spuren von Informationen" gesperrt worden sei. Ganz abgesehen davon, dass die SSN nicht gesperrt werden kann, wird das Opfer, wenn es auf die Masche hereinfällt und den Anruf erwidert, aufgefordert, eine Geldstrafe zu zahlen, um die Angelegenheit zu klären.
Der John Wick 3-Betrug: Dies ist ein gutes Beispiel für Spear-Phishing. In diesem Fall haben es die Betrüger auf ein ganz bestimmtes Ziel abgesehen: einen John Wick-Fan, der Comics mag, sie aber lieber auf Amazon Kindle liest. Bei der Suche nach John Wick-Comics wird der Zielperson eine kostenlose herunterladen für den dritten John Wick-Film angeboten - zum Zeitpunkt des Betrugs war der Film noch nicht in den Kinos angelaufen. Wenn das Opfer dem in der Filmbeschreibung eingebetteten Link folgt, landet es in einem Kaninchenbau mit illegalen Streaming-Seiten für Raubkopien.
Coronavirus-Betrügereien: Betrüger nutzten den Mangel an Informationen über das Virus, insbesondere in den ersten Tagen und Monaten der Epidemie. Während die Gesundheitsbehörden darum kämpften, das Virus und seine Ausbreitung von Mensch zu Mensch in den Griff zu bekommen, füllten Betrüger die Lücken mit gefälschten Websites und Spam-E-Mails.
Wir berichteten über Spam-E-Mails, die sich als Vireninformationen der Weltgesundheitsorganisation ausgaben. Die E-Mails enthielten in Wirklichkeit mit Malware gefüllte Anhänge. In einem anderen Beispiel berichtete Labs über eine COVID-19-Tracking-Site, die Infektionen auf der ganzen Welt in Echtzeit anzeigte. Hinter den Kulissen lud die Website einen Trojaner, der Informationen stahl, auf die Computer der Opfer.
Verwandte Artikel
FAQs
Was ist der Unterschied zwischen Social Engineering und Reverse Social Engineering?
Beim Social Engineering gehen die Angreifer auf die Zielpersonen zu, um sie zur Weitergabe von Informationen zu verleiten. Beim Reverse Social Engineering nehmen die Opfer unwissentlich Kontakt mit betrügerischen Angreifern auf.