Was ist Social Engineering?

Social Engineering bezieht sich auf eine Reihe von Techniken, mit denen Opfer dazu gebracht werden, vertrauliche Informationen preiszugeben oder die Wünsche des Betrügers zu erfüllen.

Social Engineering umfasst verschiedene Manipulationstechniken, um Nutzer auszutricksen und ihre persönlichen Informationen, Geld, Anmeldedaten und mehr zu stehlen. Mit einem guten Verständnis menschlicher Psychologie macht sich Social Engineering menschliche Schwächen und die guten Absichten von Personen zunutze.

Sowohl einzelne Nutzer als auch Organisationen sind beliebte Ziele für Social-Engineering-Angriffe. Oft werden Mitarbeiter großer Unternehmen ausgewählt, um Zugang zu vertraulichen Geschäftsinformationen und Computersystemen zu erlangen. Ein einziger Fehler kann das gesamte Unternehmen Angriffen aussetzen. Daher sind Mitarbeiterschulungen und eine gute Aufklärung über die Gefahren des Internets unabdingbar, um Unternehmen zu schützen.

Wie funktioniert ein Social-Engineering-Angriff?

Die meisten Social-Engineering-Angriffe laufen nach einem ähnlichen Muster ab:

Das Opfer wird ausgewählt und wichtige Informationen über die Person gesammelt.
Das Opfer wird unter Angabe einer falschen Identität und mit einer erfundenen Geschichte kontaktiert.
Nachdem das Vertrauen des Opfers gewonnen wurde, wird der Angriff durchgeführt.
Nach dem Angriff werden die Spuren beseitigt, damit der Angreifer nicht überführt werden kann.

Ziel von Social-Engineering-Angriffen ist es, Zugang zu vertraulichen Informationen zu erlangen, den Nutzer auf bösartige Websites zu leiten, das Opfer dazu zu bringen, einen Virus herunterzuladen oder dem Angreifer Geld zu überweisen. Damit dies gelingt, geben sich die sogenannten Social Engineers als jemand aus, dem das Opfer vertraut. Das kann der eigene Chef sein, eine offizielle Institution oder eine andere Person, die Sie persönlich kennen. Einige Social-Engineering-Angriffe werden durchgeführt, um Zugriff auf das physische Gerät oder die Räumlichkeiten eines Unternehmens zu bekommen.

Damit die Opfer keine Zeit zum Nachdenken haben, wird häufig ein Gefühl von Dringlichkeit kreiert. Alternativ bedrohen oder erpressen Cyber-Kriminelle ihre Opfer, damit diese die gewünschte Aktion durchführen. Angriffe können auch auf viele Opfer gleichzeitig abzielen.

Da alle Social-Engineering-Techniken auf vorhersehbarem menschlichen Verhalten beruhen, wird es auch als Human Hacking bezeichnet. Indem Cyber-Kriminelle die richtigen Fäden ziehen, bringen sie ihre Opfer dazu, Dinge zu tun, die die meisten Menschen für unwahrscheinlich halten — bis sie selbst zum Opfer werden.

Wie Sie Social-Engineering-Angriffe verhindern

Da Social Engineering mit menschlichem Versagen zusammenhängt, lassen sich Angriffe nicht allein durch die Behebung von Softwarefehlern verhindern. Glücklicherweise können Sie und Ihr Unternehmen dennoch einiges tun, um Social-Engineering-Angriffe zu vermeiden.

Schützen Sie Ihre Konten mit einer Multi-Faktor-Authentifizierung.
Klicken Sie nie auf verdächtige Links und laden Sie keine zwielichtigen Dateien herunter.
Überprüfen Sie die Identität des Empfängers, bevor Sie sensible Informationen preisgeben.
Teilen Sie anderen niemals Ihre Nutzerdaten wie Passwörter oder Verifizierungscodes mit.
Schließen Sie keine physischen Medien an Ihr Gerät an, wenn Sie nicht sicher sind, woher diese stammen.
Seien Sie unaufgeforderten Angeboten gegenüber misstrauisch, insbesondere wenn sie zu gut erscheinen, um wahr zu sein.
Wenn Kinder in Ihrem Haushalt leben, klären Sie diese über Cybersicherheit und eine sorgsame Nutzung des Internets auf.
Seien Sie vorsichtig, was Sie in den sozialen Medien preisgeben. Solche Informationen können dazu verwendet werden, um Sie zu manipulieren.
Schützen Sie Ihre Geräte mit einem zuverlässigen Online-Schutz.
Verwenden Sie ein sicheres VPN, wenn Sie öffentliches WLAN nutzen.
Begrenzen Sie die Administratorrechte Ihres Geräts. So verhindern Sie, dass andere Nutzer Änderungen an den Netzwerkeinstellungen vornehmen oder schädliche Software auf Ihrem Gerät installieren können.

Verschiedene Arten von Social-Engineering-Attacken

Die verwendeten Social-Engineering-Techniken variieren und sind auf das entsprechende Ziel des Angreifers zugeschnitten. Damit Sie kein Opfer von Social Engineering werden, sollten Sie die gängigsten Techniken kennen.

Phishing

Eine der häufigsten Arten von Social-Engineering-Angriffen ist Phishing. Hierzu werden E‑Mails versendet, die das Opfer dazu verleiten, persönliche oder finanzielle Informationen preiszugeben. Beliebt ist zudem, das Opfer dazu zu bringen, eine mit Malware infizierte Datei oder Software herunterzuladen. Neben E‑Mails gibt es weitere Varianten, um einen Phishing-Angriff durchzuführen.

Vishing: Der Begriff Vishing setzt sich aus den Wörtern Voice und Phishing zusammen und beschreibt einen Angriff über das Telefon. Typisches Beispiel sind Liebesbetrügereien. Der Betrüger verführt seine Zielperson am Telefon, nachdem er online Informationen über sie gefunden hat. In Wahrheit hat es der Angreifer jedoch auf das Geld des Opfers abgesehen, das dieses an seine vermeintlich neue Liebe schicken soll.
Smishing: Die betrügerische Nutzung von Textnachrichten und Instant-Messaging-Diensten wird als Smishing bezeichnet. Da die meisten Handys heutzutage über Internetzugang verfügen, können per SMS verschickte Nachrichten Links enthalten, die den Benutzer auf schädliche Websites leiten.
Spear-Phishing: Während normale Phishing-Nachrichten häufig an eine Vielzahl von Opfern gesendet werden, ist Spear-Phishing ein Cyberangriff, bei dem ein bestimmtes Opfer zur Zielscheibe wird. Die Nachrichten sind stark personalisiert und so schwieriger als Betrug zu identifizieren. Beliebt ist der CEO-Betrug: Der Angreifer gibt sich als CEO des Unternehmens aus, um dessen Mitarbeiter zu täuschen. Hier wird die Autorität einer vertrauenswürdigen Person genutzt, um das Vertrauen des Opfers zu gewinnen.

Pretexting

Pretexting ist eine kreative Variante von Social Engineering. Betrüger erfinden eine freie Geschichte oder einen Vorwand (den Pretext), um das Opfer zu verleiten, Informationen preiszugeben, auf einen Link zu klicken oder Geld zu senden. Hierzu geben sich die Angreifer als Autoritätsperson, Kollege des Opfers oder als jemand anderes aus, dem die Zielperson vertrauen würde. Entscheidend beim Pretexting ist, eine überzeugende Geschichte zu erfinden, um keinen Verdacht zu erregen.

Baiting

Unter Baiting versteht man zum einen unschlagbare Online-Angebote, die zu gut erscheinen, um wahr zu sein. Dies können Nachrichten sein wie Herzlichen Glückwunsch, Sie haben ein iPhone gewonnen. Klicken Sie auf diesen Link, um es zu erhalten. Zum anderen werden für Baiting physische Medien eingesetzt, die mit Malware infiziert sind. Hierbei kann es sich um USB-Sticks oder eine CD handeln, die die Betrüger an einem öffentlichen Ort oder in den Räumlichkeiten des Zielunternehmens hinterlassen. Mit ansprechenden Logos und Beschriftungen wird die Neugier der Menschen geweckt.

F‑Secure Total stärkt Ihren Online-Schutz

Selbst wenn Sie vorsichtig und gut auf verschiedene Social-Engineering-Techniken vorbereitet sind, stellen Malware und Hacker immer noch eine Gefahr für Sie und Ihre Geräte dar. F‑Secure Total liefert alles, was Sie brauchen, um online sicher unterwegs zu sein. Neben einem ausgeklügelten Virenschutz bietet Total ein zuverlässiges VPN, mit dem Sie öffentlich sicher surfen und Ihre Privatsphäre schützen können. Total enthält zudem praktische Tools für die Verwaltung Ihrer Passwörter und den Schutz Ihrer Identität im Internet.

Testen Sie F‑Secure Total kostenlos und schützen Sie sich vor allen Online-Bedrohungen.

Lesen Sie mehr und gratis testen