Was ist Social Engineering?

Social Engineering bezieht sich auf eine Reihe von Techniken, mit denen Opfer dazu gebracht werden, vertrauliche Informationen preis­zugeben oder die Wünsche des Betrügers zu erfüllen.

Social Engineering umfasst verschiedene Manipulations­techniken, um Nutzer auszutricksen und ihre persönlichen Informationen, Geld, Anmelde­daten und mehr zu stehlen. Mit einem guten Verständnis menschlicher Psychologie macht sich Social Engineering menschliche Schwächen und die guten Absichten von Personen zunutze.

Sowohl einzelne Nutzer als auch Organisationen sind beliebte Ziele für Social-Engineering-Angriffe. Oft werden Mit­arbeiter großer Unter­nehmen ausgewählt, um Zugang zu vertraulichen Geschäfts­informationen und Computer­systemen zu erlangen. Ein einziger Fehler kann das gesamte Unter­nehmen Angriffen aussetzen. Daher sind Mit­arbeiter­schulungen und eine gute Aufklärung über die Gefahren des Internets unabdingbar, um Unter­nehmen zu schützen.

Wie funktioniert ein Social-Engineering-Angriff?

Die meisten Social-Engineering-Angriffe laufen nach einem ähnlichen Muster ab:

  1. Das Opfer wird ausgewählt und wichtige Informationen über die Person gesammelt.
  2. Das Opfer wird unter Angabe einer falschen Identität und mit einer erfundenen Geschichte kontaktiert.
  3. Nachdem das Vertrauen des Opfers gewonnen wurde, wird der Angriff durch­geführt.
  4. Nach dem Angriff werden die Spuren beseitigt, damit der Angreifer nicht über­führt werden kann.

Ziel von Social-Engineering-Angriffen ist es, Zugang zu vertraulichen Informationen zu erlangen, den Nutzer auf bös­artige Web­sites zu leiten, das Opfer dazu zu bringen, einen Virus herunter­zuladen oder dem Angreifer Geld zu über­weisen. Damit dies gelingt, geben sich die sogenannten Social Engineers als jemand aus, dem das Opfer vertraut. Das kann der eigene Chef sein, eine offizielle Institution oder eine andere Person, die Sie persönlich kennen. Einige Social-Engineering-Angriffe werden durch­geführt, um Zugriff auf das physische Gerät oder die Räumlichkeiten eines Unter­nehmens zu bekommen.

Damit die Opfer keine Zeit zum Nach­denken haben, wird häufig ein Gefühl von Dring­lichkeit kreiert. Alternativ bedrohen oder erpressen Cyber-Kriminelle ihre Opfer, damit diese die gewünschte Aktion durchführen. Angriffe können auch auf viele Opfer gleich­zeitig abzielen.

Da alle Social-Engineering-Techniken auf vorher­sehbarem menschlichen Verhalten beruhen, wird es auch als Human Hacking bezeichnet. Indem Cyber-Kriminelle die richtigen Fäden ziehen, bringen sie ihre Opfer dazu, Dinge zu tun, die die meisten Menschen für unwahr­scheinlich halten — bis sie selbst zum Opfer werden.

Wie Sie Social-Engineering-Angriffe verhindern

Da Social Engineering mit menschlichem Versagen zusammen­hängt, lassen sich Angriffe nicht allein durch die Behebung von Software­fehlern verhindern. Glücklicher­weise können Sie und Ihr Unter­nehmen dennoch einiges tun, um Social-Engineering-Angriffe zu vermeiden.

  • Schützen Sie Ihre Konten mit einer Multi-Faktor-Authentifizierung.
  • Klicken Sie nie auf verdächtige Links und laden Sie keine zwielichtigen Dateien herunter.
  • Über­prüfen Sie die Identität des Empfängers, bevor Sie sensible Informationen preis­geben.
  • Teilen Sie anderen niemals Ihre Nutzer­daten wie Pass­wörter oder Verifizierungs­codes mit.
  • Schließen Sie keine physischen Medien an Ihr Gerät an, wenn Sie nicht sicher sind, woher diese stammen.
  • Seien Sie unaufgeforderten Angeboten gegen­über miss­trauisch, insbesondere wenn sie zu gut erscheinen, um wahr zu sein.
  • Wenn Kinder in Ihrem Haushalt leben, klären Sie diese über Cyber­sicherheit und eine sorgsame Nutzung des Internets auf.
  • Seien Sie vorsichtig, was Sie in den sozialen Medien preisgeben. Solche Informationen können dazu verwendet werden, um Sie zu manipulieren.
  • Schützen Sie Ihre Geräte mit einem zuverlässigen Online-Schutz.
  • Verwenden Sie ein sicheres VPN, wenn Sie öffentliches WLAN nutzen.
  • Begrenzen Sie die Administrator­rechte Ihres Geräts. So verhindern Sie, dass andere Nutzer Änderungen an den Netz­werke­instellungen vornehmen oder schädliche Software auf Ihrem Gerät installieren können.

Verschiedene Arten von Social-Engineering-Attacken

Die verwendeten Social-Engineering-Techniken variieren und sind auf das entsprechende Ziel des Angreifers zugeschnitten. Damit Sie kein Opfer von Social Engineering werden, sollten Sie die gängigsten Techniken kennen.

Phishing

Eine der häufigsten Arten von Social-Engineering-Angriffen ist Phishing. Hierzu werden E‑Mails versendet, die das Opfer dazu verleiten, persönliche oder finanzielle Informationen preis­zugeben. Beliebt ist zudem, das Opfer dazu zu bringen, eine mit Malware infizierte Datei oder Software herunter­zuladen. Neben E‑Mails gibt es weitere Varianten, um einen Phishing-Angriff durch­zuführen.

  • Vishing: Der Begriff Vishing setzt sich aus den Wörtern Voice und Phishing zusammen und beschreibt einen Angriff über das Telefon. Typisches Beispiel sind Liebes­betrügereien. Der Betrüger verführt seine Ziel­person am Telefon, nachdem er online Informationen über sie gefunden hat. In Wahrheit hat es der Angreifer jedoch auf das Geld des Opfers abgesehen, das dieses an seine vermeintlich neue Liebe schicken soll.
  • Smishing: Die betrügerische Nutzung von Text­nach­richten und Instant-Messaging-Diensten wird als Smishing bezeichnet. Da die meisten Handys heutzutage über Internet­zugang verfügen, können per SMS verschickte Nach­richten Links enthalten, die den Benutzer auf schädliche Web­sites leiten.
  • Spear-Phishing: Während normale Phishing-Nach­richten häufig an eine Viel­zahl von Opfern gesendet werden, ist Spear-Phishing ein Cyber­angriff, bei dem ein bestimmtes Opfer zur Ziel­scheibe wird. Die Nach­richten sind stark personalisiert und so schwieriger als Betrug zu identifizieren. Beliebt ist der CEO-Betrug: Der Angreifer gibt sich als CEO des Unter­nehmens aus, um dessen Mit­arbeiter zu täuschen. Hier wird die Autorität einer vertrauens­würdigen Person genutzt, um das Vertrauen des Opfers zu gewinnen.

Pretexting

Pretexting ist eine kreative Variante von Social Engineering. Betrüger erfinden eine freie Geschichte oder einen Vorwand (den Pretext), um das Opfer zu verleiten, Informationen preis­zugeben, auf einen Link zu klicken oder Geld zu senden. Hierzu geben sich die Angreifer als Autoritäts­person, Kollege des Opfers oder als jemand anderes aus, dem die Ziel­person vertrauen würde. Entscheidend beim Pre­texting ist, eine über­zeugende Geschichte zu erfinden, um keinen Verdacht zu erregen.

Baiting

Unter Baiting versteht man zum einen unschlagbare Online-Angebote, die zu gut erscheinen, um wahr zu sein. Dies können Nach­richten sein wie Herzlichen Glück­wunsch, Sie haben ein iPhone gewonnen. Klicken Sie auf diesen Link, um es zu erhalten. Zum anderen werden für Baiting physische Medien eingesetzt, die mit Malware infiziert sind. Hierbei kann es sich um USB-Sticks oder eine CD handeln, die die Betrüger an einem öffentlichen Ort oder in den Räumlichkeiten des Ziel­unter­nehmens hinter­lassen. Mit ansprechenden Logos und Beschriftungen wird die Neugier der Menschen geweckt.

F‑Secure TOTAL stärkt Ihren Online-Schutz

Selbst wenn Sie vorsichtig und gut auf verschiedene Social-Engineering-Techniken vorbereitet sind, stellen Malware und Hacker immer noch eine Gefahr für Sie und Ihre Geräte dar. F‑Secure TOTAL liefert alles, was Sie brauchen, um online sicher unter­wegs zu sein. Neben einem ausgeklügelten Viren­schutz bietet TOTAL ein zuverlässiges VPN, mit dem Sie öffentlich sicher surfen und Ihre Privat­sphäre schützen können. TOTAL enthält zudem praktische Tools für die Verwaltung Ihrer Pass­wörter und den Schutz Ihrer Identität im Internet.

Testen Sie F‑Secure TOTAL kosten­los und schützen Sie sich vor allen Online-Bedrohungen.

Lesen Sie mehr und gratis testen