Was ist Social Engineering und wie man sich dagegen wappnet

Definition von Social Engineering

Im Bereich der Cybersicherheit bezeichnet Social Engineering die Manipulation von Personen, um sensible Informationen zu erlangen – meist, indem menschliche Fehler ausgenutzt oder Vertrauen in digitale Kommunikation gezielt missbraucht wird

Wie Social Engineering funktioniert

Social Engineering funktioniert, indem falsches Vertrauen aufgebaut, menschliche Fehler ausgenutzt und Überzeugungstaktiken eingesetzt werden, um Zugang zu sensiblen oder vertraulichen Informationen zu erhalten. Wie bei den meisten Cyber-Bedrohungen können Social-Engineering-Maschen in vielen Formen auftreten, aber sie funktionieren im Großen und Ganzen auf die gleiche Weise.

Es gibt vier grundlegende Schritte zu einem erfolgreichen Social-Engineering-Angriff:

1. Vorbereitung: Der Social Engineer sammelt Informationen über seine Opfer, einschließlich wo er sie kontaktieren kann, wie z. B. in sozialen Medien, per E-Mail, über Textnachrichtenplattformen usw.
2. Infiltration: Der Social Engineer kontaktiert seine Opfer, oft indem er sich als vertrauenswürdige Quelle ausgibt und die über seine Opfer gesammelten Informationen nutzt, um Vertrauen zu gewinnen.
3. Ausnutzung: Der Social Engineer nutzt Überzeugungstaktiken, um Informationen von seinen Opfern anzufordern, wie z. B. Kontaktinformationen oder sogar Anmeldedaten, die er für betrügerische Zwecke verwenden kann.
4. Abbruch: Nach erfolgtem Angriff bricht der Social Engineer abrupt die Kommunikation mit seinen Opfern ab.

Je nach Art des Social-Engineering-Angriffs können diese Schritte über wenige Stunden bis hin zu mehreren Monaten erstrecken. Doch unabhängig vom Zeitrahmen kann das Wissen um die Anzeichen eines Social-Engineering-Angriffs Ihnen helfen, ihn zu stoppen.

Wie man einen Social-Engineering-Angriff erkennt

Wenn Sie eine Nachricht von einem Fremden erhalten, die sich willkürlich, zu persönlich oder zu gut anfühlt, um wahr zu sein, ist dies wahrscheinlich der Auftakt zu einem Social-Engineering-Angriff. Im Gegensatz zu herkömmlichen Cyberangriffen, bei denen Cyberkriminelle gerne unbemerkt bleiben, kommunizieren Social Engineers oft direkt und offen mit ihren Opfern.

Hier sind einige gängige Social-Engineering-Methoden, bei denen Sie misstrauisch werden sollten:

• Seltsame Nachrichten: Social Engineers können sich als vertrauenswürdige Personen ausgeben, als Freund oder Freundin, als Kollege oder Kollegin oder auch als Ihre Bank. Sie kennen Ihre Freundinnen und Freunde am besten. Wenn Ihnen eine Nachricht seltsam vorkommt, fragen Sie lieber kurz nach. Nutzen Sie im Zweifel einen anderen Kommunikationsweg, falls das Konto kompromittiert wurde.
• Emotionale Manipulation: Social Engineers verstehen es, gezielt Emotionen wie Angst, Neugier oder Mitleid zu wecken. Bedenken Sie also die Ursache dieser emotionalen Auslöser, bevor Sie darauf reagieren. Wenn Ihnen ein völlig Fremder eine rührselige Geschichte schreibt, handelt es sich wahrscheinlich um eine Social-Engineering-Masche.
• Dringliche Anfragen: Social Engineers wollen Ihnen keine Zeit lassen, um nachzudenken. Aus diesem Grund beinhalten viele Social-Engineering-Angriffe eine Art Dringlichkeit, wie z. B. ein Gewinnspiel, an dem Sie sofort teilnehmen müssen, oder Cybersicherheitssoftware, die Sie schnellstens herunterladen müssen, um einen angeblichen Virus von Ihrem Computer zu entfernen.
• Angebote, die zu gut klingen, um wahr zu sein: Es ist verlockend, im Lotto zu gewinnen oder eine kostenlose Kreuzfahrt zu machen. Aber die Chancen stehen gut, dass, wenn das Angebot zu gut klingt, um wahr zu sein, es auch so ist – mit großer Wahrscheinlichkeit ist es ein Social-Engineering-Angriff.
• Unerbetene Hilfe: Social Engineers könnten sich melden und vorgeben, von einem Unternehmen zu sein, das Hilfe für ein Problem anbietet, das Sie nicht haben, wie bei einem Tech-Support-Scam. Lassen Sie sich nicht dazu verleiten, unaufgefordert Fernzugriff auf Ihren Computer zu gewähren.
• Falsche oder unbewiesene Identität: Werden Sie misstrauisch bei einem potenziellen Social Engineer? Will dieser seine Identität nicht nachweisen – etwa indem er einen Videoanruf verweigert? Dann lügt er höchstwahrscheinlich über seine wahre Identität und seine wirklichen Absichten.

8 Arten von Social-Engineering-Angriffen + Beispiele

Fast alle Cyberangriffe beinhalten irgendeine Form von Social Engineering. Und viele Social-Engineering-Techniken setzen auch auf Malware – Schadsoftware, die Geräte beschädigt und Ihre Aktivitäten im Hintergrund überwachen kann.

Hier sind einige gängige Formen von Social Engineering und Beispiele, von persönlicher Manipulation bis hin zu nervigen Spam-SMS:

1. Scareware

Wie der Name verrät, will Scareware – eine Form von Malware – Sie durch Angst zu schnellen Reaktionen verleiten. Sie tritt oft in Form von Pop-ups oder E-Mails auf, die Sie auffordern, sofort zu handeln, um angebliche Viren oder Malware von Ihrem Gerät zu entfernen. Tatsächlich laden Sie damit möglicherweise einen Computervirus oder Malware herunter.

Beispiel für Scareware – Stellen Sie sich folgendes Szenario vor: Sie scrollen durch Ihr Telefon. Plötzlich erhalten Sie eine Nachricht, angeblich von einer beliebten Messaging-App. Die Nachricht warnt Sie, dass Ihre Softwareversion veraltet sei und betont die Gefahren, wenn Sie Ihre Apps nicht aktualisieren. Also klicken Sie auf den bereitgestellten Link. Aber anstatt dass die App aktualisiert wird, wird Ihr Gerät mit Malware infiziert.

2. E-Mail-Hacking und Kontakt-Spamming

Es liegt in unserer Natur, jenen Nachrichten besondere Beachtung zu schenken, die wir von Bekannten erhalten. Und Social Engineers wissen das nur zu gut, indem sie E-Mail-Konten kapern und Kontaktlisten mit allen Arten von Social-Engineering-Bedrohungen vollspammen.

Beispiel für E-Mail-Hacking und Kontakt-Spamming – Ihr Freund sendet Ihnen eine E-Mail mit dem Betreff „Schau dir diese Seite an!“ und Sie zögern keinen Moment, sie zu öffnen. Durch das Hacken eines E-Mail-Kontos kann ein Social Engineer Kontakte glauben machen, dass sie E-Mails von jemandem erhalten, den sie kennen. Der Zweck besteht meist darin, Malware zu verbreiten oder Menschen dazu zu bringen, ihre persönlichen Daten preiszugeben.

3. Phishing

Phishing ist eine der häufigsten Arten von Social Engineering und beinhaltet in der Regel, dass ein Cyberkrimineller eine E-Mail oder eine Textnachricht sendet, in der er nach privaten Informationen fragt oder Sie dazu auffordert, auf einen infizierten Link zu klicken. Verschiedene Arten von Phishing-Betrug kommen häufig zusammen oder in Kombination mit anderen Social-Engineering-Methoden zum Einsatz, um raffiniertere Social-Engineering-Angriffe zu entwickeln.

Phishing-Betrug kann verschiedene Formen annehmen:

• E-Mail-Phishing ist eine der traditionellsten Phishing-Methoden und wird oft als Spam an viele Personen gleichzeitig gesendet.
• Von Vishing (Voice-Phishing) spricht man, wenn ein Betrüger anruft oder eine Voicemail hinterlässt und vorgibt, von einer vertrauenswürdigen Institution zu sein, in der Hoffnung, an private Informationen heranzukommen.
• Smishing (SMS-Phishing) bezeichnet das Senden von SMS, die bösartige Links enthalten oder nach persönlichen Informationen fragen.
• Beim URL-Phishing sendet ein Phisher einen Link zu einer gefälschten Website, die für das Opfer legitim aussieht. Wenn das Opfer auf den Link klickt, wird es aufgefordert, private Details anzugeben, die vom Angreifer gesammelt werden können.
• In-Session-Phishing tritt auf, wenn ein Opfer aktiv in einem Konto oder einer Plattform angemeldet ist und ein gefälschtes Pop-up erscheint, das es auffordert, sich erneut anzumelden oder andere vertrauliche Informationen bereitzustellen. Es tritt normalerweise auf Websites auf, die keine HTTPS-Verschlüsselung verwenden.

Beispiel für Phishing – Stellen Sie sich vor, Sie arbeiten für ein großes Unternehmen und erhalten eine E-Mail, die offenbar von der IT-Abteilung stammt. Die E-Mail fordert Sie auf, Ihr Anmeldepasswort sofort zu ändern. Doch wenn Sie auf den bereitgestellten Link klicken, werden Sie zu einer gefälschten Website weitergeleitet, die Ihre neuen Anmeldeinformationen sammelt.

4. DNS-Spoofing

Beim DNS-Spoofing oder Cache-Poisoning manipulieren Kriminelle den Browser gezielt, sodass Nutzer unbewusst auf gefährliche Websites gelangen, die sensible Informationen abgreifen wollen. DNS-Spoofing liegt vor, wenn Ihr Cache mit diesen bösartigen Weiterleitungen vergiftet wird.

Beispiel für DNS-Spoofing – Ein Cyberkrimineller erstellt eine überzeugende Nachahmer-Website eines Online-Marktplatzes. Wenn Benutzer sich anmelden, werden sie auf die gefälschte Website umgeleitet und geben ihre Anmeldedaten ein. Damit haben sie unwissentlich ihr Passwort und ihren Benutzernamen mit dem Cyberkriminellen geteilt.

5. Baiting (Ködern)

Baiting ist eine Social-Engineering-Technik, bei der einem Opfer etwas Wünschenswertes vorgegaukelt wird, in der Hoffnung, dass es den Köder schluckt – wie Zugang zu einer vertraulichen Datei. Dies geschieht am häufigsten auf Peer-to-Peer-Websites wie sozialen Medien, wo Sie jemand dazu anregen könnte, ein Video oder Musik herunterzuladen, das aber in Wirklichkeit Malware ist.

Beispiel für Baiting – Ein Social Engineer lässt einen USB-Stick, der mit Malware geladen ist, an einem öffentlichen Ort liegen. Der USB-Stick ist wahrscheinlich auf eine überzeugende Weise beschriftet – wie „vertraulich“ oder „Boni“. Jemand nimmt den Stick an sich und steckt ihn in seinen Computer, um zu sehen, was darauf ist – und schon wird die Malware geladen.

6. Pretexting (Vorspiegelung falscher Tatsachen)

Pretexting ist die Verwendung eines interessanten Vorwands oder einer List, um jemandes Aufmerksamkeit zu erregen. Sobald die Geschichte die Person fesselt, versucht der Social Engineer, das potenzielle Opfer dazu zu bringen, etwas Wertvolles preiszugeben. Oftmals gibt sich der Social Engineer als legitime Quelle aus.

Beispiel für Pretexting – Nehmen wir an, Sie erhalten eine E-Mail, die Sie als Erben eines Testaments benennt. Die E-Mail bittet um Ihre personenbezogenen Daten, um nachzuweisen, dass Sie tatsächlich der Begünstigte sind und um die Übertragung Ihres Erbes zu beschleunigen. Stattdessen riskieren Sie, dass ein Betrüger Zugriff auf Ihr Geld erhält und es abhebt.

7. Watering Hole-Angriffe

Ein Watering-Hole-Angriff ist ein Social-Engineering-Angriff, der eine einzelne Website mit Malware infiziert. Die Website ist fast immer eine sehr beliebte – ein virtuelles Wasserloch, wenn Sie so wollen –, um sicherzustellen, dass die Malware möglichst viele Opfer erreicht.

Beispiel für einen Watering-Hole-Angriff – Im Jahr 2017 wurde die polnische Finanzaufsichtsbehörde Opfer eines Watering-Hole-Angriffs. Bei diesem Social-Engineering-Angriff wurden Benutzer aus bestimmten IP-Regionen, die die Website besuchten, zu einem Exploit-Kit weitergeleitet, das dann Malware auf den Geräten der Besucher installierte.

8. Quid pro quo

Quid pro quo bedeutet ein Gefallen für einen Gefallen, also „Ich gebe dir das, und du gibst mir dafür das.“ Bei dieser Art von Social-Engineering-Angriff gibt das Opfer sensible Informationen wie Kontozugangsdaten oder Finanzdetails preis, und der Social Engineer hält seinen Teil der Abmachung nicht ein.

Beispiel für Quid pro quo – Stellen Sie sich vor, Sie sind in einem Gaming-Forum und suchen nach einem Cheat-Code, um ein schwieriges Level zu bestehen. Sie überweisen Geld an jemanden, der den Code verkauft, aber Sie hören nie wieder von ihm und erhalten Ihren Code nicht – Sie sind Opfer eines Quid-pro-quo-Social-Engineering-Angriffs geworden.

So schützen Sie sich vor Social-Engineering-Angriffen: 15 Tipps

1. Vermeiden Sie verdächtige Links und Anhänge.
   Klicken Sie nicht auf Links und öffnen Sie keine Anhänge, die Sie nicht erwarten – sie könnten mit Malware infiziert sein oder Sie auf schädliche Websites führen.
2. Geben Sie online nicht zu viel preis.
3. Social Engineers wissen sehr genau, worauf sie bei der Recherche ihrer Opfer achten müssen. Der Schutz Ihrer Privatsphäre online ist der erste Schritt, um Social-Engineering-Angriffe zu vermeiden.
4. Seien Sie vorsichtig bei reinen Online-Freundschaften.
   Wenn ein Online-Freund Sie um Gefälligkeiten und persönliche Informationen bittet, aber nicht bereit ist, seine Identität zu überprüfen – seien Sie vorsichtig. Es könnte ein Social Engineer sein.
5. Lernen Sie, wie man Social-Engineering-Methoden erkennt.
   Denken Sie an die Anzeichen von Social Engineering und die verschiedenen Arten, wie Social-Engineering-Angriffe Sie beeinflussen können.
6. Seien Sie skeptisch.
   Wenn ein Versprechen, ein Angebot oder ein Deal zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch. Großartige Versprechungen sind eine gängige Methode des Social Engineering.
7. Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA).
   Die Aktivierung von 2FA für Ihre Online-Konten kann dazu beitragen, Ihre Online-Daten privat und aus den Händen von Social Engineers zu halten.
8. Praktizieren Sie gute Passworthygiene.
   Erstellen Sie starke, einzigartige Passwörter und ändern Sie sie regelmäßig. Verwenden Sie niemals dasselbe Passwort zweimal und verwenden Sie keine gängigen Phrasen oder persönlichen Informationen.
9. Verwenden Sie einen Passwort-Manager.
   Erwägen Sie die Verwendung eines sicheren Passwort-Managers, um schwer zu knackende Passwörter zu erstellen und sie alle an einem Ort zu verwalten.
10. Stellen Sie strenge Spam-Filter ein.
    Aktivieren Sie E-Mail- und SMS-Spam-Filter, um potenzielle Phishing-Nachrichten abzufangen. Social Engineers lieben es, Spam-Nachrichten zu verwenden, um viele Opfer auf einmal zu täuschen.
11. Halten Sie Ihr WLAN-Netzwerk privat.
    Erlauben Sie Fremden nicht, auf Ihr WLAN-Netzwerk zuzugreifen – Sie wissen nicht, was sie vorhaben und welche Informationen sie sammeln.
12. Verbinden Sie sich mit einem VPN.
    Verwenden Sie ein VPN (virtuelles privates Netzwerk), wenn Sie sich mit dem WLAN verbinden, denn verschlüsselte Daten sind private Daten und können Sie potenziell vor Social-Engineering-Angriffen schützen.
13. Überwachen Sie Ihre Kontoaktivitäten genau.
    Wenn Sie ungewöhnliche Belastungen auf Ihren Konten, seltsame E-Mails von Ihrer Adresse oder andere merkwürdige Aktivitäten bemerken, ändern Sie sofort Ihre Passwörter.
14. Lassen Sie Geräte nicht unbeaufsichtigt.
    Abgesehen von der Vermeidung von Diebstahl hilft Ihnen die Überwachung Ihrer Geräte, private Daten zu schützen, die auf Ihren Geräten gespeichert sind, wie z. B. Kontozugangsdaten. Und es hilft auch, physische Sicherheitsverletzungen zu verhindern, wie zum Beispiel die Installation eines Keyloggers ohne Ihr Wissen.
15. Halten Sie Ihre Software stets auf dem neuesten Stand.
    Die Verwendung der besten und sichersten Software auf dem Markt bedeutet nicht viel, wenn Sie sie nicht auf dem neuesten Stand halten, um Sicherheitslücken zu vermeiden, die Hacker gerne ausnutzen.
16. Verwenden Sie Cybersicherheitssoftware.
    Bei Social-Engineering-Angriffen kann Cybersicherheitssoftware Ihnen helfen, sich davor zu schützen, Opfer von Cyberangriffen zu werden.

Manipulation ist eine gängige Taktik, mit der Kriminelle ihre Ziele erreichen wollen. Zum Glück lassen sich Social-Engineering-Angriffe vereiteln. Aber dazu müssen Sie die Anzeichen erkennen und wissen, was zu tun ist. Aber Wissen ist nicht der einzige Weg, um sich vor Social-Engineering-Angriffen zu schützen. Norton 360 Deluxe ist eine All-in-One-Cybersicherheitslösung, die Ihnen hilft, Ihre Geräte, Ihre Daten und sich selbst davor zu schützen, zum Opfer zu werden.