Norton Blog

« Zurück zum Norton Blog

Was ist Social Engineering?

by Norton_Team

Wir reden viel über Sicherheitslücken in Software. Deren menschliche Variante sind unsere Gefühle. Wenn Menschen sich beängstigenden Situationen gegenübersehen, besteht ihr erster Impuls darin, zu handeln und erst später nachzudenken. 

Genau dies ist die „Sicherheitslücke“, auf die Social Engineers bauen, um erfolgreich anzugreifen. 

Arten von Social Engineering-Angriffen

Beim Social Engineering missbrauchen Cyberkriminelle zwischenmenschliche Interaktionen, um den Nutzer zur Preisgabe sensibler Informationen zu bewegen. Da Social Engineering auf der menschlichen Natur und gefühlsmäßigen Reaktionen basiert, gibt es zahlreiche Möglichkeiten, mit denen Angreifer Sie hereinlegen können  – online und offline.

 

Arten von Social Engineering-Angriffen

Beim Social Engineering missbrauchen Cyberkriminelle zwischenmenschliche Interaktionen, um den Nutzer zur Preisgabe sensibler Informationen zu bewegen. Da Social Engineering auf der menschlichen Natur und gefühlsmäßigen Reaktionen basiert, gibt es zahlreiche Möglichkeiten, mit denen Angreifer Sie hereinlegen können  – online und offline.

Baiting (Ködern)

Menschen sind neugierige Wesen. Diese Tatsache spielt in diesem Szenario eine entscheidende Rolle. Der Cyberkriminelle lässt ein Gerät wie z. B. einen USB-Stick, der mit Schadsoftware infiziert ist, irgendwo an einem öffentlichen Ort liegen. Irgendjemand wird das Gerät auflesen und es in seinen Computer einstecken, um zu sehen, was darauf gespeichert ist. Und schon überträgt sich die Schadsoftware auf den Computer.

Phishing

Phishing ist der älteste Trick im großen Buch des Cyber-Betrugs, aber immer noch einer der erfolgreichsten. Cyberkriminelle probieren eine ganze Reihe von Methoden aus, um Ihnen Informationen abzuluchsen. Angstmacherei scheint bei Kriminellen eine besonders beliebte Taktik zu sein, denn sie gaukelt dem Nutzer eine dringende Situation vor – üblicherweise unter Einbeziehung von Online-Banking oder einem anderen Online-Account. Hierbei wird darauf gebaut, das Nutzer angstbasierte Entscheidungen treffen – direkt aus dem Bauch heraus, anstatt einen Augenblick nachzudenken. Andere Varianten solcher E-Mails stammen scheinbar von einer Autoritätsperson – etwa einem Vorgesetzten in Ihrer Firma, der Ihren Nutzernamen und Ihr Passwort verlangt, um sich in ein System einzuloggen.

Menschen neigen von Natur aus dazu, der Bitte eines Arbeitskollegen nachzukommen, erst recht, wenn dieser einen höheren Rang bekleidet. Handlungsdruck ist ebenfalls eine beliebte Taktik beim Phishing. Sicherlich haben Sie schon E-Mails gesehen, in denen für begrenzt verfügbare Produkte mit enormem Preisnachlass geworben wird. Das klingt wie ein tolles Schnäppchen und gibt dem Nutzer das Gefühl, ganz schnell zuschlagen zu müssen. Damit entscheidet er aus einem fast unkontrollierten Impuls heraus.

E-Mail-Hacking und Kontakt-Spamming

Es liegt in unserer Natur, den Nachrichten Beachtung zu schenken, die wir von Bekannten erhalten. Angenommen, meine Schwester würde mir eine E-Mail mit dem Betreff „Sieh dir mal diese Website an, die finde ich absolut cool“ schicken – dann würde ich die Mail öffnen, ohne groß nachzudenken. Und genauso fangen es diese Kriminellen an, wenn sie E-Mail-Adressen und Passwörter abfischen wollen. Sobald der Kriminelle diese Zugangsdaten hat, kann er die Kontrolle über das Konto übernehmen und Spam-Mails an sämtliche Kontakte im Adressbuch des Nutzers verschicken. Das Hauptziel besteht darin, Schadsoftware zu verbreiten, um Menschen ihre persönlichen Daten und mehr zu entlocken.

Pretexting (Vorspiegelung falscher Tatsachen)

Beim Pretexting erfindet der Cyberkriminelle eine ausgefeilte Geschichte, um ein Szenario zu schaffen, mit dem er sich sein Opfer „krallen“ kann. Manchmal ist es eine rührselige Story darüber, dass man mittellos im Ausland festsitzt. Oder jemand gibt vor, irgendein Prinz eines völlig unbekannten Landes zu sein, dessen Vater gerade verstorben ist und der 500 Dollar braucht, um König zu werden. Solche Szenarien spielen mit der Neigung von Menschen, anderen in Notsituationen beizustehen. Pretexting wird oft gemeinsam mit anderen Methoden eingesetzt, denn die meisten dieser Szenarien brauchen irgendeine Story, um die Aufmerksamkeit der Zielperson zu erregen. Oder der Angreifer gibt sich am Telefon für jemand anderen aus.

Eine Hand wäscht die andere

Ich gebe dir etwas, du gibst mir etwas. Diese Betrugsart bietet dem Nutzer „etwas“ an, indem sie ihn mit dem Gewinn eines Preises oder einem Rabatt auf teure Produkte lockt. Dazu muss aber zunächst ein Formular ausgefüllt werden, in dem Sie einen Großteil Ihrer persönlichen Informationen preisgeben sollen. Anschließend werden die gesammelten Daten zum Identitätsdiebstahl benutzt.

Spear Phishing

Spear Phishing ist eine komplexere Variante von Phishing, bei der es sich eher um eine Kampagne handelt, die auf Mitarbeiter eines bestimmten Unternehmens abzielt, aus dem der Cyberkriminelle Daten zu stehlen versucht. Der Kriminelle wählt eine Zielperson innerhalb des Unternehmens und recherchiert sein Opfer dann über Internetsuchen und Social-Media-Profile, um persönliche Informationen und Interessen herauszubekommen. Sobald der Angreifer ein Gespür für diese Person hat, beginnt er mit dem Versand von E-Mails, die für das Opfer scheinbar persönlich relevant sind, um es zum Klicken auf einen schädlichen Link, hinter dem sich Schadsoftware verbirgt, oder zum Download einer bösartigen Datei zu verleiten.

Natürlich schauen wir alle unsere privaten E-Mails und sozialen Medien auch über das Netzwerk unseres Arbeitgebers an. Und genau darauf verlässt sich der Cyberkriminelle. Sobald der Nutzer erfolgreich ausgetrickst wurde, installiert sich das heruntergeladene Schadprogramm auf dem betroffenen Computer. Von dort aus kann es sich mühelos auf andere Computer im Unternehmensnetzwerk ausbreiten.

Vishing

Vishing umfasst die meiste zwischenmenschliche Interaktion unter all diesen Methoden. Der Kriminelle ruft einen Mitarbeiter eines Unternehmens an und gibt sich als eine Vertrauensperson aus, oder er stellt sich als Vertreter Ihrer Bank oder einer anderen Firma vor, mit der Sie Geschäftsbeziehungen pflegen. Dann versucht er, Informationen von seinen Opfern abzufischen, indem er sich als Kollege ausgibt, der sein Passwort verloren hat und um Ihres bittet, oder er stellt eine Reihe von Fragen, um Ihre Identität zu bestätigen.


Social Engineering kann auf zwei Arten durchgeführt werden: als Einzelangriff wie bei einer Phishing-E-Mail oder mit komplexeren Methoden, die üblicherweise auf Organisationen abzielen. Diese zwei Methoden nennt man Hunting und Farming.

Hunting

Hunting ist die Kurzform solcher Angriffe. Üblicherweise nutzen Cyberkriminelle Phishing, Baiting und E-Mail-Hacking mit dem Ziel, dem Opfer so viele Daten wie möglich zu entlocken, und das mit möglichst wenig Interaktion.

Farming

Bei dieser über einen längeren Zeitraum durchgeführten Trickgaunerei sucht der Cyberkriminelle nach einem Weg, eine Beziehung zu seiner Zielperson aufzubauen. Üblicherweise sehen sie sich deren Profile in sozialen Medien an und versuchen, auf der Grundlage der so herausgefundenen Informationen eine Beziehung zu ihr aufzubauen. Diese Art von Angriff verlässt sich ebenfalls stark auf die Vorspiegelung falscher Tatsachen, denn der Angreifer zielt darauf ab, sein Opfer so lange wie möglich hinzuhalten, um ihm möglichst viele Daten zu entlocken.

Social Engineering gibt es überall, online und offline. Es ist so extrem erfolgreich, weil sein entscheidendes Element darin besteht, dass wir Sicherheitssoftware nicht in Menschen installieren können. Ihre beste Verteidigung gegen diese Angriffsarten besteht darin, sich zu informieren und zu wissen, wovor Sie auf der Hut sein müssen.

 

Wenn es darum geht, Ihr digitales Leben zu schützen, empfehlen wir Norton Security, die Sicherheitssoftware mit einem Virenschutzversprechen: In dem eher unwahrscheinlichen Fall, dass Ihr Computer mit einem Virus infiziert wird, versucht einer unserer Experten, diesen zu entfernen, oder wir erstatten Ihnen das Geld.* Hier erfahren Sie mehr

* Um Anspruch auf das Virenschutzversprechen zu haben, müssen Sie Ihr Norton-Abonnement direkt bei Symantec kaufen oder verlängern bzw. im Einzelhandel kaufen und online den automatischen Verlängerungsservice von Norton abonnieren. In dem eher unwahrscheinlichen Fall, dass Symantec nicht in der Lage sein sollte, alle Viren von Ihrem Gerät zu entfernen, können Sie den vollen Kaufpreis, den Sie für das Norton-Abonnement bezahlt haben (einschließlich aller Rabatte oder erhaltenen Rückerstattungen und abzüglich der Versand- und Bearbeitungskosten mit Ausnahme in denjenigen Ländern, in denen Versand- und Bearbeitungskosten gesetzlich zwingend erstattet werden müssen), rückerstattet bekommen. Die Rückerstattung erfolgt nur für die aktuell gültige gebührenpflichtige Abonnementlaufzeit für dieses Produkt oder Kombipaket Symantecs. Norton Security muss auf Ihrem Gerät vor dem Zeitpunkt, an dem Ihr Gerät mit einem Virus infiziert wurde, installiert oder aktiviert sein. Das Geld-zurück-Versprechen gilt NICHT für Schäden, die als Folge einer Vireninfektion entstanden sind. Weitere Einzelheiten finden Sie hier: Norton.com/guarantee

Dieser Beitrag wurde veröffentlich am Di Dez 15, 2015 unter online safety tips , online security und online threats

SIE MÖCHTEN MEHR ERFAHREN?

Folgen Sie uns, um aktuelle Neuigkeiten, Tipps und Updates zu erhalten.