Was ist Social Engineering?

Lerne effektive Strategien zum Schutz deiner persönlichen Daten und zur Abwehr von Social Engineering, eine raffinierte Taktik von Cyberkriminellen, um Menschen zu manipulieren.

KOSTENLOSE ANTIVIREN- UND VIRUS-SCANS HERUNTERLADEN

Was sind Social Engineering Angriffe?

Sozial-Engineering-Angriffe in der Informatik sind raffinierte Methoden, die von Cyberkriminellen genutzt werden, um Einzelpersonen zu manipulieren und deren Sicherheit zu gefährden. Oft führen diese Angriffe dazu, dass Opfer unwissentlich Geld senden, sensible persönliche oder organisatorische Informationen preisgeben oder Sicherheitsprotokolle verletzen.

Die Wirksamkeit von Social Engineering liegt in der Fähigkeit, menschliche Emotionen wie Angst, Neugier oder Mitgefühl auszunutzen, um Menschen dazu zu bringen, impulsiv gegen ihr besseres Urteilsvermögen zu handeln. Angreifer nutzen diese emotionalen Trigger, um Opfer dazu zu bringen, Entscheidungen zu treffen, die im Nachhinein irrational erscheinen, wie das Herunterladen schädlicher Software, der Besuch unsicherer Websites oder das Teilen vertraulicher Daten.

Wie funktioniert Social Engineering?

Social Engineering beinhaltet psychologische Taktiken, um Menschen dazu zu bewegen, sensible Informationen preiszugeben, die entscheidend für den Systemzugang oder Identitätsdiebstahl sind. Es nutzt menschliche Fehler aus, oft durch Täuschung oder Nachahmung, was zu Sicherheitsverletzungen und Datenkompromittierungen führt, ohne auf technische Hacking-Methoden angewiesen zu sein.

Sozial-Engineering-Angriffe sind in der Regel mehrstufige Prozesse. Zunächst recherchiert der Angreifer das Ziel, um genügend Informationen und wesentliche Hintergrunddetails zu sammeln und Schwachstellen sowie schwache Sicherheitsmaßnahmen zu identifizieren, die für den Erfolg des Angriffs entscheidend sind. Anschließend wendet der Angreifer Taktiken wie Pretexting oder das Nachahmen von Autoritätspersonen an, um das Vertrauen des Opfers zu gewinnen. Diese Manipulation zielt darauf ab, Handlungen zu fördern, die die Sicherheit untergraben, wie das Offenlegen vertraulicher Informationen oder den Zugang zu wichtigen Systemen zu gewähren.

Social Engineering Angriffe manipulieren menschliche Psychologie, um technische Sicherheitsmaßnahmen zu umgehen. Sie wählen ihre beabsichtigten Opfer sorgfältig nach verschiedenen Faktoren aus. Zu den wichtigsten Taktiken zählen:

  1. Nachahmung: Angreifer geben sich oft als renommierte Unternehmen, Regierungsbehörden oder Autoritätspersonen aus, um Vertrauen zu gewinnen. Zum Beispiel können sie betrügerische Websites erstellen, die große Marken nachahmen, um Benutzer zu täuschen und sensible Informationen zu enthüllen.
  2. Emotionen Ausnutzen: Diese Angriffe nutzen häufig Emotionen wie Angst, Dringlichkeit oder Gier. Betrüger könnten alarmierende Nachrichten über ein kompromittiertes Bankkonto senden oder Opfer mit betrügerischen Versprechen finanzieller Gewinne locken, wie beim berüchtigten 'Nigerianischen Prinzen'-E-Mail-Betrug.
  3. Ausnutzen von Hilfsbereitschaft oder Neugier: Social Engineers nutzen auch die natürliche Neigung einer Person zu helfen oder ihre Neugier. Sie könnten E-Mails senden, die von Freunden oder sozialen Netzwerken zu kommen scheinen und um Kontaktinformationen oder Unterstützung bitten oder Benutzer dazu verleiten, auf einen schädlichen Link zu klicken, unter dem Vorwand einer interessanten Geschichte oder hilfreichen Ressource.

Diese Taktiken zu verstehen ist entscheidend, um Social Engineering Angriffe zu erkennen und abzuwehren. Sie zielen auf die menschliche Natur ab, anstatt auf technologische Schwachstellen, was Bewusstsein und Wachsamkeit zu den wichtigsten Abwehrmaßnahmen gegen solche Bedrohungen macht.

Wie schützt man sich vor Social Engineering Angriffen?

Social Engineering Angriffe können viele Formen annehmen, von Phishing-E-Mails bis hin zu Manipulationen über Telefonanrufe oder Textnachrichten. Da sie hauptsächlich menschliche Schwachstellen und nicht technologische Fehler ins Visier nehmen, erfordert die Abwehr ihrer Kombination aus Bewusstsein, Wachsamkeit und technischen Schutzmaßnahmen.

Die folgenden Schritte bieten einen umfassenden Ansatz zur Verbesserung Ihrer Abwehr gegen diese zunehmend verbreiteten und ausgeklügelten Angriffe:

  1. Verwenden Sie Multi-Faktor-Authentifizierung: Die Implementierung von Zwei-Faktor- oder Multi-Faktor-Authentifizierung ist entscheidend. Es fügt eine zusätzliche Sicherheitsebene hinzu, die sicherstellt, dass selbst wenn Anmeldedaten kompromittiert werden, unbefugter Zugriff weiterhin verhindert wird.
  2. Sicherheitsbewusstsein-Schulung: Regelmäßige Schulungen für alle Mitarbeiter sind entscheidend, um Social Engineering Angriffe zu erkennen und darauf zu reagieren. Diese Schulungen sollten das Erkennen verdächtiger Aktivitäten und die Wichtigkeit des Nichtteilens sensibler Informationen abdecken.
  3. Installieren Sie ein starkes Cybersicherheitsprogramm: Verwenden Sie umfassende Cybersicherheitssoftware, wie Malwarebytes, die Bedrohungen erkennen und neutralisieren kann, einschließlich bösartiger Websites, Werbemalware, Malware, Viren und Ransomware.
  4. Implementieren Sie Zugangskontrollrichtlinien und Cybersicherheitstechnologien: Erzwingen Sie strikte Zugangskontrollrichtlinien, einschließlich adaptiver Authentifizierung und einem Zero-Trust-Sicherheitsansatz. Nutzen Sie Technologien wie Spamfilter, sichere E-Mail-Gateways, Firewalls, Antivirensoftware und halten Sie Systeme mit den neuesten Patches aktualisiert.
  5. Schalten Sie Spam-Filter ein: Aktivieren Sie Spam-Filter, um Phishing-E-Mails und andere Formen von Spam zu blockieren. Während einige legitime E-Mails herausgefiltert werden könnten, können Sie dem entgegenwirken, indem Sie sie als "kein Spam" markieren und legitime Absender zu Ihrer Kontaktliste hinzufügen.
  6. Wie man Phishing-E-Mails erkennt: Bilden Sie sich und andere aus, um Phishing-Versuche zu erkennen. Achten Sie auf Warnsignale wie nicht übereinstimmende Absenderadressen, generische Anreden, ungewöhnliche URLs, schlechte Grammatik und Angebote, die zu gut erscheinen, um wahr zu sein.
  7. Deaktivieren Sie Makros in Dokumenten: Schalten Sie Makros in Ihrer Software ab. Seien Sie vorsichtig bei E-Mail-Anhängen, die Sie zur Aktivierung von Makros auffordern, insbesondere von unbekannten Quellen. Im Zweifelsfall überprüfen Sie die Legitimität des Anhangs beim Absender.
  8. Nicht auf vermutete Betrugsversuche reagieren: Vermeiden Sie es, auf potenzielle Betrugsversuche zu reagieren, sei es per E-Mail, SMS oder Anrufe. Durch das Antworten bestätigen Sie Betrügern, dass Ihre Kontaktdaten gültig sind, was mehr Versuche ermutigt. Verdächtige Texte an 7726 (SPAM) weiterleiten, um Ihrem Anbieter zu helfen, Spam zu filtern.

Durch die Umsetzung dieser Strategien können Sie ein robustes Verteidigungssystem gegen Social Engineering Angriffe schaffen, das sowohl Ihre persönlichen Daten als auch die sensiblen Informationen Ihres Unternehmens schützt. Denken Sie daran, informiert und vorsichtig zu bleiben ist Ihre erste Verteidigungslinie in der sich ständig weiterentwickelnden Welt der Cybersecurity-Bedrohungen.

Arten von Social Engineering Angriffen

Social-Engineering-Angriffe treten überwiegend durch verschiedene [Phishing-Formen]( https://www.malwarebytes.com/phishing) auf. Diese Angriffe nutzen menschliche Psychologie und Vertrauen aus, anstatt sich auf technische Hackmethoden zu verlassen. Die Effektivität und Häufigkeit von Phishing machen es zu einem kritischen Problem für sowohl Einzelpersonen als auch Organisationen. Hier ist eine detailliertere Aufschlüsselung jeder Art:

  1. E-Mail-Phishing: Angreifer imitieren legitime Unternehmen durch E-Mails und täuschen Empfänger, persönliche Daten oder Anmeldeinformationen preiszugeben. Diese E-Mails enthalten oft Links zu betrügerischen Websites oder bösartige Anhänge.
  2. Massenphishing: Bei dieser Methode wird die gleiche Phishing-E-Mail an Millionen von Menschen gesendet. Die E-Mails scheinen von erkennbaren Organisationen zu kommen und fordern oft unter falschen Vorwänden persönliche Informationen an.
  3. Spear Phishing: Eine gezieltere Form des Phishings, bei der Angreifer ihre Nachrichten an bestimmte Personen anpassen, indem sie Informationen aus sozialen Medien oder beruflichen Netzwerken verwenden.
  4. Whale Phishing: Eine hochrangige Spear-Phishing-Taktik, die auf Führungskräfte oder hochrangige Persönlichkeiten abzielt. Diese Angriffe sind stark personalisiert und beinhalten oft komplexe Täuschungen.
  5. Voice-Phishing (Vishing): Diese Technik verwendet Telefonanrufe, um Menschen zur Preisgabe sensibler Informationen zu täuschen. Angreifer können sich als legitime Organisationen oder Autoritätspersonen ausgeben.
  6. SMS-Phishing (Smishing): Eine Variante des Phishings, die über Textnachrichten durchgeführt wird. Diese Nachrichten locken Empfänger dazu, auf bösartige Links zu klicken oder sensible Informationen preiszugeben.
  7. Suchmaschinen-Phishing: Bei diesem Ansatz erstellen Angreifer gefälschte Websites, die in den Suchergebnissen hoch erscheinen. Wenn Nutzer diese Seiten besuchen, besteht das Risiko von Informationsdiebstahl.
  8. Angler Phishing: Diese Form nutzt soziale Medien aus, bei der Angreifer gefälschte Kundenservice-Konten erstellen, um mit Opfern zu interagieren, was sie oft zu Phishing-Seiten führt.

Nach Phishing sind die anderen Social Engineering Methoden:

  1. Baiting: Verführt Opfer mit einem falschen Versprechen von Waren oder Dienstleistungen, um Informationen zu stehlen oder Malware zu installieren.
  2. Tailgating/Piggybacking: Beinhaltet den unautorisierten Zugang zu eingeschränkten Bereichen, indem man einer autorisierten Person körperlich folgt oder digital die aktive Sitzung einer anderen Person ausnutzt.
  3. Pretexting: Angreifer erfinden Szenarien, um sensible Informationen zu extrahieren oder Zugang zu erhalten, oft indem sie sich als jemand mit Autorität oder als jemand mit einer Notwendigkeit zur Identitätsüberprüfung ausgeben.
  4. Quid Pro Quo: Bietet einen Service oder Nutzen im Austausch für sensible Informationen, und nutzt das Bedürfnis des Opfers nach einem guten Geschäft oder Belohnung aus.
  5. Scareware: Verwendet Angsttaktiken, um die Opfer zur Installation von Malware oder zur Preisgabe vertraulicher Informationen zu verleiten.
  6. Watering Hole Angriff: Zielt auf spezifische Gruppen, indem die Webseiten, die sie häufig besuchen, infiziert werden, was zu Datenraub oder Malware-Installation führt.
  7. Trojaner Angriffe: Malware, die als legitime Software getarnt ist und oft durch E-Mail-Anhänge von scheinbar vertrauenswürdigen Quellen verbreitet wird.
  8. Tech-Support-Betrügereien: Täuschen Opfer, sie glauben ihre Geräte seien kompromittiert, und verlangen Geld für unnötige "Reparaturen".
  9. Betrugsanrufe: Beinhaltet die Verwendung von Telefonanrufen (einschließlich Robocalls), um Opfer zu betrügen, häufig indem sie sich als legitime Organisationen oder Autoritäten ausgeben.

Diese Phishing-Methoden und andere Social Engineering Taktiken zu verstehen, ist entscheidend, um sich gegen diese verbreiteten und sich weiterentwickelnden Bedrohungen zu schützen.

Beispiele für Social Engineering Angriffe

Hier sind einige Beispiele aus der realen Welt von Social Engineering, über die wir bei Malwarebytes Labs berichtet haben. In jedem Beispiel suchen die Social-Engineering-Betrüger nach dem richtigen Ziel und dem richtigen emotionalen Auslöser. Manchmal kann die Kombination aus Ziel und Auslöser hyper-spezifisch sein (ähnlich wie bei einem Spear-Phishing-Angriff). Andere Male könnten Betrüger eine viel breitere Gruppe anvisieren.

Der Sextortion-Betrug: In diesem ersten Beispiel werfen die Betrüger ein weites Netz aus. Das Ziel? Jeder, der Pornos schaut. Das Opfer wird per E-Mail darüber informiert, dass seine Webcam angeblich gehackt und benutzt wurde, um es beim Anschauen von Erwachsenenvideos aufzunehmen. Der Betrüger behauptet auch, das E-Mail-Konto des Empfängers gehackt zu haben und verwendet ein altes Passwort als Beweis. Wenn das Opfer nicht mit Bitcoin bezahlt, droht der Betrüger das Video an alle Kontakte des Opfers zu senden. Im Allgemeinen hat der Betrüger jedoch kein Video von Ihnen und Ihr altes Passwort stammt aus einem früheren bekannt gewordenen Datenleck.

Der Enkeltrick-Betrug: Dieser Betrug kursiert seit Jahren und zielt auf jeden ab, der noch lebende Familienangehörige hat, meist die Älteren. Eltern oder Großeltern erhalten einen Anruf oder eine SMS vom Betrüger, der sich als Anwalt oder Strafverfolgungsbehörde ausgibt. Der Betrüger behauptet, dass der Angehörige des Opfers festgenommen oder verletzt wurde und Geld für Kaution, Anwaltskosten oder Krankenhausrechnungen benötigt. Im Fall der SMS-Version dieses Betrugs kostet allein schon das Antworten den Opfern Geld.

Der Social Security Number-Betrug: Bei diesem Trick wird die Zielgruppe eingegrenzt, da er nur US-Bürger betrifft. Das Opfer erhält einen vorab aufgenommenen Roboteranruf, der angeblich von der Sozialversicherungsbehörde stammt. Die Nachricht behauptet, dass die SSN des Opfers wegen „verdächtiger Informationsstränge“ „ausgesetzt“ wurde. Abgesehen von der Tatsache, dass Ihre SSN nicht ausgesetzt werden kann, wenn das Opfer auf diese Masche hereinfällt und zurückruft, wird es aufgefordert, eine Geldstrafe zu zahlen, um alles zu klären.

Der John Wick 3-Betrug: Hier ist ein gutes Beispiel für Spear Phishing. In diesem Fall haben es die Betrüger auf eine sehr spezifische Zielgruppe abgesehen: einen John Wick-Fan, der Comics mag, aber es vorzieht, sie auf Amazon Kindle zu lesen. Während der Suche nach John Wick-Comics wird dem Ziel ein kostenloser Download für den dritten John Wick-Film angeboten—zu der Zeit des Betrugs war der Film noch nicht in den Kinos erschienen. Der Link, der in der Beschreibung des Films eingebettet ist, führt das Opfer in ein Dilemma illegaler Streaming-Seiten für Raubkopien.

Coronavirus-Betrügereien: Betrüger bemerkten den Mangel an Informationen über das Virus, insbesondere in den frühen Tagen und Monaten der Epidemie. Während offizielle Stellen darum kämpften, das Virus und seine Ausbreitung von Mensch zu Mensch in den Griff zu bekommen, füllten Betrüger die Lücken mit gefälschten Webseiten und Spam-E-Mails.

Wir berichteten über Spam-E-Mails, die sich als Virusinformationen der Weltgesundheitsorganisation ausgaben. Die E-Mails enthielten tatsächlich mit Malware gefüllte Anhänge. In einem anderen Beispiel berichteten die Labs über eine COVID-19-Tracking-Seite, die weltweite Infektionen in Echtzeit zeigte. Im Hintergrund lud die Seite jedoch einen Info-Stealer-Trojaner auf die Computer der Opfer.

Was ist Phishing?

Was ist Spear Phishing?

Was ist ein Vishing-Angriff?

Was ist Catfishing?

Was ist Identitätsdiebstahl?

FAQs

Was ist der Unterschied zwischen Social Engineering und Reverse Social Engineering?

Beim Social Engineering nähern sich Angreifer den Zielen, um sie zur Preisgabe von Informationen zu manipulieren. Beim Reverse Social Engineering initiieren Opfer unwissentlich den Kontakt mit hinterlistigen Angreifern.