Social Engineering verstehen und vermeiden
Was ist Social Engineering?
Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität gezielt ausgenutzt, um Personen geschickt zu manipulieren. Das Ziel der Angreifenden ist es, sie dazu zu verleiten, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen zu umgehen oder Schadsoftware auf Ihrem privaten Gerät oder im Firmennetzwerk zu installieren. Das grundlegende Vorgehen ist dabei immer ähnlich. Angreifende Personen nutzen öffentlich zugängliche persönliche und berufliche Daten für die spätere Kontaktaufnahme, beispielsweise per E-Mail oder Telefon, und erstellen unter Umständen auch Fake-Profile. Es ist oft einfacher, Menschen auszunutzen, als eine Netzwerk- oder Softwareschwachstelle zu finden.
So funktioniert Social Engineering: Gängige Betrugsmaschen
Social Engineering kennt viele Angriffswege. Folgend einige der häufigsten Betrugsmaschen und wie sie funktionieren:
- Phishing: Dabei handelt es sich um betrügerische E-Mails, die als seriöse Nachrichten von vertrauenswürdigen Quellen getarnt sind, um den Empfänger dazu zu verleiten, persönliche oder finanzielle Informationen preiszugeben oder auf schädliche Links zu klicken, die Malware installieren. Etwa 90 % aller Phishing-Angriffe basieren auf Social-Engineering-Taktiken.
- Spear-Phishing: Gezieltes Phishing, bei der die E-Mails nach vorheriger Recherche speziell auf kleine Gruppen oder einzelne Personen zugeschnitten werden, um die Erfolgschancen zu erhöhen.
- Social Media Betrug: Durch das Sammeln von öffentlich zugänglichen Informationen in sozialen Netzwerken erstellen Kriminelle glaubwürdige Betrugsszenarien, die auf die persönlichen Vorlieben und Kontakte des Opfers zugeschnitten sind.
- CEO-Fraud (BEC – Business Email Compromise): Hierbei manipulieren Kriminelle Mitarbeiter, um vermeintlich im Auftrag der Unternehmensführung hohe Geldbeträge zu überweisen.
- Vishing (Telefon-Phishing): Angreifende nutzen das Telefon, um Vertrauen oder Autorität vorzutäuschen und so an Informationen wie Passwörter zu gelangen oder Zugang zu Computern zu erhalten. Beispielsweise ruft ein angeblicher Systemadministrator an und fordert Zugangsdaten zur Behebung eines Softwarefehlers.
- Baiting (Ködern): Ein Angreifer hinterlässt absichtlich ein mit Malware infiziertes physisches Gerät, wie einen USB-Stick, an einem Ort, wo es gefunden wird, in der Hoffnung, dass das Opfer es aus Neugier in seinen Computer steckt und die Schadsoftware installiert.
- Pretexting (Vorspiegelung falscher Tatsachen): Der Angreifer erfindet eine glaubwürdige Geschichte, um sich als vertrauenswürdige Person auszugeben und an privilegierte Daten zu gelangen, zum Beispiel indem er vorgibt, persönliche Daten zur Identitätsbestätigung zu benötigen.
- Scareware: Hier wird dem Opfer vorgespiegelt, dass sein Computer infiziert sei oder illegale Inhalte heruntergeladen wurden, woraufhin der Angreifer eine gefälschte Lösung anbietet, die in Wirklichkeit Malware installiert.
Woran erkenne ich Social Engineering?
Das zentrale Merkmal von Social Engineering-Angriffen ist die Täuschung über die Identität und die Absicht der Täter. Angreifende geben sich oft als Techniker, Kollegen oder Mitarbeiter bekannter Firmen aus. Sie versuchen, Ihnen ein Gefühl der Dringlichkeit zu vermitteln oder appellieren an Ihre Emotionen wie Angst oder Neugier, um Sie zu schnellen, unüberlegten Handlungen zu bewegen. Ein weiteres Anzeichen ist, wenn Sie aufgefordert werden, vertrauliche Informationen preiszugeben oder Links zu klicken, die Ihnen ungewöhnlich vorkommen. Seien Sie auch bei scheinbar zu guten Angeboten oder unerwarteten Kontaktaufnahmen wachsam. Fragen Sie sich immer: Ist der Absender bekannt? Ist der Betreff sinnvoll? Wird ein Anhang von diesem Absender erwartet?
Der wirksamste Schutz vor Social Engineering ist der Einsatz des gesunden Menschenverstands und ein fortlaufendes Bewusstsein für diese Art von Bedrohungen. Bleiben Sie informiert.
Obwohl Social Engineering-Angriffe sehr raffiniert sein können, können Sie sich durch sicherheitsbewusstes Verhalten schützen.
5 wichtige Tipps zum Schutz vor Social Engineering
- Seien Sie bei unerwarteten Anfragen oder Angeboten, insbesondere wenn sie drängen oder zu gut erscheinen, immer wachsam und skeptisch.
- Verifizieren Sie die Identität des Anfragenden über einen unabhängigen und Ihnen bekannten Kanal (z.B. einen direkten Telefonanruf über eine offizielle Nummer, nicht die in der Anfrage oder bspw. in der E-Mail angegebene), wenn Sie aufgefordert werden, sensible Informationen preiszugeben oder eine Aktion - wie eine Überweisung oder Zahlung einer Rechnung, Installation von Software – auszuführen.
- Geben Sie niemals sensible Daten preis! Seriöse Unternehmen oder Banken fordern Sie niemals per E-Mail oder Telefon zur Preisgabe von Passwörtern, Zugangsdaten oder Kontoinformationen auf.
- Überlegen Sie genau, welche persönlichen und berufsbezogenen Informationen Sie in sozialen Medien veröffentlichen. Diese können von Kriminellen gesammelt und genutzt werden, um glaubwürdige Betrugsgeschichten zu konstruieren (Spear-Phishing).
- Lassen Sie sich nicht unter Druck setzen und nehmen Sie sich Zeit für Entscheidungen. Falls Sie unsicher sind, unterbrechen Sie das Telefonat oder die E-Mail-Konversation und holen Sie eine Zweitmeinung ein oder kontaktieren Sie Ihre Sicherheitsbeauftragten oder die IT-Abteilung.
Mehr zu den einzelnen Themen finden Sie auf folgenden Seiten:
Mitarbeiter im Visier von Phishing-Mails
Laden Sie sich auch unser passendes kostenloses Social Media Paket zum Thema herunter: