Everything you need to know about social engineering attacks

Normalerweise würde man annehmen, dass ein Cyberkrimineller, der sich Zugang zu einem Computer verschaffen möchte, nach Sicherheitslücken in der Software sucht. Also müsste es doch reichen, wenn Sie Ihre Software auf dem neuesten Stand halten und eine leistungsstarke Antivirus-Lösung installieren, die Ihre digitalen Geräte vor Viren und Schadsoftware schützt, oder nicht? Leider ist es nicht so einfach. Es gibt noch eine weitere Art von Cyberbedrohung, die keine Firewall und kein Virenschutz abwehren kann: Social-Engineering-Angriffe.   

Trickbetrüger haben die Erfahrung gemacht, dass sie ihre Ziele oft am leichtesten erreichen, wenn sie nicht das Gerät, sondern den Nutzer ins Visier nehmen. Das bedeutet aber auch, dass Sie die gängigsten Online-Angriffe dieser Art leicht abwehren können, sobald Sie verstanden haben, was Social Engineering ist und wie diese Manipulationstechniken funktionieren. 

Was ist Social Engineering?

Social Engineering bezeichnet soziale Manipulationstechniken, die darauf abzielen, Nutzer zur Preisgabe vertraulicher Informationen zu bringen. Die Drahtzieher nutzen die Gefühlslage oder das natürliche Grundvertrauen ihrer Opfer aus, um sich sensible Daten wir Passwörter und Bankkontodetails zu erschleichen. Von Social Engineering spricht man auch, wenn Betrüger versuchen, ihre Zielpersonen dazu zu verleiten, auf Malware-verseuchte Anhänge zu klicken bzw. diese herunterzuladen. 

Gängige Social-Engineering-Techniken

Bei einem Social-Engineering-Angriff versuchen die Drahtzieher, möglichst viele Informationen über ihre Zielperson oder -firma zusammenzutragen (falls sie es auf vertrauliche Unternehmensdaten abgesehen haben). Je mehr Informationen sie in Erfahrung bringen, desto leichter fällt es ihnen, mit den Opfern in Kontakt zu treten und sich ihr Vertrauen zu erschleichen. Zur Informationssuche setzen sie verschiedene Methoden ein. Manchmal googeln sie die Zielperson oder stalken sie in sozialen Netzwerken.

Sobald die Betrüger wissen, welchen Facebook-Gruppen jemand beigetreten ist, welche Videos er sich auf YouTube anschaut, welche Fotos er auf Instagram verlinkt oder welche Pins er auf Pinterest sammelt, können sie eine glaubwürdige Geschichte konstruieren, um ihn hinters Licht zu führen.

Haben sie es auf Unternehmensdaten abgesehen, durchforsten sie möglicherweise die LinkedIn-Kontakte eines Mitarbeiters oder besuchen die Website des Unternehmens, um mehr über dessen Struktur zu erfahren. So können sie sich später auf glaubwürdige Weise als Mitarbeiter oder Geschäftskontakt ausgeben, um mit ihrer Zielperson in Kontakt zu kommen.

Die gängigsten Social-Engineering-Angriffe

Scams können sehr überzeugend sein. Um den Betrug zu durchschauen, ist es daher wichtig, Beispiele zu kennen. Hier finden Sie eine Liste der gängigsten Social-Engineering-Angriffe.

Phishing  

90 % aller Datenleaks sind auf Phishing-Angriffe zurückzuführen. Dabei gibt sich der Betrüger als reale Person oder Firma aus und legt in E-Mails, Chats, Online-Werbeanzeigen oder Websites einen Köder aus. Ein Beispiel sind gefälschte Websites, auf denen der Nutzer aufgefordert wird, sein Passwort zurückzusetzen oder sensible Daten wie seine Kreditkartennummer einzugeben. 

Spear Phishing  

Spear Phishing ist eine besonders ausgeklügelte Phishing-Variante, die gegen leitende Führungskräfte aus der Geschäftswelt eingesetzt wird. Sie dient dem Ziel, interne Informationen abzugreifen und die Unternehmenssysteme zu infiltrieren. Dabei suchen die Betrüger den direkten Kontakt zu ihrem Opfer. Manche geben sich in einer E-Mail als Systemadministrator aus, andere auf Facebook als Kollege. Gelegentlich kommt es sogar vor, dass ein Scammer persönlich anruft.

Baiting (Ködern) 

Baiting-Angriffe funktionieren so ähnlich wie Phishing-Scams. Mit dem Unterschied, dass die Betrüger der Zielperson in der Regel kein Problem vorgaukeln, sondern ein attraktives Ziel in Aussicht stellen, z. B. ein Preisgeld oder ein verlockendes Angebot – ein Vorwand, um den Betroffenen zur Angabe sensibler persönlicher Informationen zu bringen, die für die Scammer von Nutzen sind.   

Quid pro quo  

"Quid pro quo" ist lateinisch und bedeutet wortwörtlich "Dies für das". Diese Masche zeichnet sich dadurch aus, dass den Opfern eine Gegenleistung für die Preisgabe ihrer Informationen in Aussicht gestellt wird. Die Betrüger geben sich meistens als IT-Mitarbeiter aus. In dieser Verkleidung rufen sie beispielsweise alle Mitarbeiter eines Unternehmens an und versprechen eine schnelle, einfache Lösung für ein bestimmtes Problem. Dann weisen sie ihre nichtsahnenden Opfer an, ihr Antivirus-Programm zu deaktivieren, doch statt irgendein Problem zu lösen, installieren sie Malware auf deren Computern.  

Wie man sich vor Social-Engineering-Angriffen schützen kann 

Nicht Technologie, sondern Sie selbst sind der beste Schutz vor Social Engineering. Mit einer gesunden Portion Skepsis, gepaart mit umsichtigen Online-Verhalten, lassen sich viele Fehler vermeiden. Hier finden Sie einige Ratschläge zum Schutz vor Social-Engineering-Angriffen: 

• Öffnen Sie keine E-Mails, klicken Sie nicht auf Links und laden Sie keine Anhänge herunter, wenn Sie der Quelle nicht vertrauen. 
• Hinterfragen Sie allzu verlockende Angebote. Wenn ein Deal zu gut erscheint, um wahr zu sein, dann ist es wahrscheinlich auch so. 
• Verwenden Sie Multifaktor-Authentifizierung. Dieses Verfahren bietet zusätzlichen Schutz für Ihre Online-Konten, der starke, einmalige Passwörter nicht ersetzt, aber ergänzt.
• Installieren Sie Antivirus-Software und denken Sie daran, diese regelmäßig zu aktualisieren. Informieren Sie sich darüber, welche neue Arten von Malware gerade im Umlauf sind.
• Ignorieren Sie Aufforderungen zur Angabe persönlicher Daten oder Passwörter.
• Lehnen Sie unaufgeforderte Ratschläge oder Hilfsangebote ab. Trickbetrüger sind dafür bekannt, dass sie entweder Daten von ihren Opfern erfragen oder ihre Hilfe anbieten. Im zweiten Fall geben sie sich oft als technische Support-Mitarbeiter aus. 

Wie Sie sehen, lassen sich Online-Betrüger in vielen Fällen allein durch gesunden Menschenverstand entlarven. Aber bleiben Sie wachsam. Trickbetrügern fällt es leicht, andere zu manipulieren, denn der Schwindel ist ihr Handwerk.