Blog/Das ABC der Online-Sicherheit/

Social Engineering verstehen: eine Einführung

Lukas Grigas
Werbetexter für Cybersicherheit
social engineering

Nicht alle ausgeklügelten Angriffe auf Ihre Cybersicherheit müssen über Malware ablaufen oder fordern von den Hackern umfangreiche Programmierkenntnisse. Manchmal genügt es, mit ganz alltäglichen menschlichen Emotionen wie Angst, Gier, Vertrauen oder einem Gefühl der Dringlichkeit zu spielen. Hier erfahren Sie, wie Hacker Sie mithilfe von Social-Engineering-Techniken dazu verleiten, ihnen Ihre sensiblen Daten preiszugeben.

Inhalt:

Was ist Social Engineering?

Zum Social Engineering zählen eine Reihe verschiedener Angriffsarten, welche auf psychologische Phänomene abzielen, um den Opfern sensible Daten zu entlocken. Derartige Angriffe spielen in der Regel mit den Emotionen des Opfers wie Angst, Vertrauen, Gier, Stress und einem Gefühl der Dringlichkeit. Starke Gefühle trüben das Urteilsvermögen, wodurch die Bereitschaft steigt, bestimmte Informationen preiszugeben, die man üblicherweise nicht kommunizieren würde.

Hacker können verschiedene Social-Engineering-Techniken nutzen, um sich personenbezogene Daten wie Anmeldeinformationen, Passwörter, Bankkonto- oder Sozialversicherungsnummern usw. zu verschaffen. Mithilfe dieser Informationen können sie dann Zugriff auf Ihr Netzwerk erhalten sowie Ihr Geld oder gar Ihre Identität stehlen. Ebenso können diese Daten auch bei künftigen Angriffen genutzt werden.

Hacker lieben Social-Engineering-Angriffe, weil sie einfacher auszuführen sind als Malware-Attacken und noch dazu eine höhere Erfolgsquote aufweisen. Bei manchen Social-Engineering-Taktiken müssen Hacker nicht einmal programmieren können!

Arten von Social-Engineering-Angriffen

Phishing

Social Engineering

Phishing ist wahrscheinlich die am weitesten verbreitete Social-Hacking-Technik. Auf vielen Plattformen kann es zu Phishing-Betrug kommen: in E-Mails, Chats, Internet-Werbung oder auf Websites. In den meisten Fällen verwenden Hacker jedoch Phishing-E-Mails, um Sie dazu zu verleiten, Malware herunterzuladen oder auf einen bösartigen Link zu klicken, um anschließend an Ihre Daten zu gelangen. Andere möchten Ihnen mit bedrohlichen Formulierungen zu Ihrer Sicherheit Angst einjagen, während wiederum andere versuchen, sich Ihr Vertrauen zu erschleichen.

Hier finden Sie typische Beispiele für Social Engineering:

  • Sie erhalten eine E-Mail von einer Lotteriegesellschaft, in der steht, dass Sie eine Million Euro gewonnen haben. Nun werden Sie gebeten, auf einen Link zu klicken, um Ihren Gewinn zu erhalten.

  • Eine Bank kontaktiert Sie wegen eines Darlehens, das Sie überhaupt nicht aufgenommen haben, und bittet Sie, nun Ihre Zahlungsdaten zu bestätigen.

  • Eine Lieferfirma schickt Ihnen eine Rechnung und bittet Sie, sie unverzüglich zu begleichen.

Spear-Phishing

Spear-Phishing ähnelt Phishing, ist jedoch aufwändiger und weist daher eine höhere Erfolgsquote auf. Mit Phishing-E-Mails und derartigen Betrugsmaschen kann es ein Hacker auf Tausende von Menschen abgesehen haben, die er überhaupt nicht kennt. Beim Spear-Phishing sucht sich ein Hacker hingegen ein konkretes Ziel aus: eine bestimmte Person oder ein bestimmtes Unternehmen. Dann recherchiert er, um sein Opfer besser zu verstehen und darauf aufbauend eine idiotensichere Strategie zu entwickeln, um an seine Daten zu kommen.

In diesem Rahmen könnte beispielsweise ein kürzlich eingestellter Buchhalter eine E-Mail vom Geschäftsführer erhalten, der ihn dazu auffordert, eine stattliche Geldsumme auf das Konto eines Geschäftspartners in einem anderen Land zu überweisen. In der E-Mail steht dann, dass dies sofort ausgeführt werden müsse. Wenn der neue Mitarbeiter die üblichen betrieblichen Abläufe noch nicht kennt oder nicht weiß, welches Verhalten er von seinem Vorgesetzten zu erwarten hat, wird er das Geld wahrscheinlich an den Hacker überweisen.

Pretexting

Während Phishing hauptsächlich auf das menschliche Gefühl der Angst sowie das Gefühl der Dringlichkeit abzielt, ist Pretexting als das Gegenteil davon zu verstehen – denn Pretexting zielt auf das menschliche Vertrauen ab. Wie der Name schon sagt, kommt beim Pretexting ein glaubwürdiger Vorwand oder eine Geschichte zum Einsatz, um damit eine Beziehung zum Opfer aufzubauen. Diese Geschichte soll keinen Platz für mögliche Zweifel lassen. Pretexting findet man sowohl online als auch offline. So kann sich Ihnen ein Hacker beispielsweise als Buchprüfer vorstellen und Sie somit überzeugen, ihm Zutritt zum Server-Raum zu gewähren. Oder er kann als Ihr Bankberater auftreten, der Sie anruft, damit Sie ihm bestimmte Zahlungsdaten bestätigen.

Baiting

Social Engineering

Beim Baiting verwenden Hacker ein Objekt oder ein Angebot, dem Sie nicht widerstehen können, um Ihr Gerät oder ein ganzes Netzwerk zu infizieren. In der guten alten Zeit hätten sie dazu einen USB-Stick mit der Aufschrift „Vorstandsgehälter Q4“ auf einem Parkplatzgelände deponiert, der dort so gut wie jedem aufgefallen wäre. Heutzutage begegnet man Baiting jedoch eher auf P2P-Plattformen. Möchten Sie sich die neue Folge von Game of Thrones in guter Qualität herunterladen? Aber können Sie sich auch sicher sein, dass sich dahinter kein Trojaner verbirgt?

Quid Pro Quo

Bei einem Quid-Pro-Quo-Angriff teilt Ihnen der Hacker ein verlockendes Angebot mit, bittet Sie aber um eine Gegenleistung: meistens um die Mitteilung Ihrer personenbezogenen Daten. Dabei könnte es sich um Ihren „Onkel“ handeln, von dem Sie noch nie gehört haben, der Ihnen nun aber eine große Geldsumme überweisen möchte; dazu müssen Sie ihm lediglich Ihre Bankverbindung mitteilen. Oder es könnte sich auch ein „IT-Spezialist“ an Sie wenden, den Sie noch nie kontaktiert haben, der Ihnen nun aber aus der Güte seines Herzens anbietet, Ihren Laptop zu reparieren. Dazu benötigt er lediglich Fernzugriff auf Ihr Gerät.

Scareware

Wenn Sie Websites besuchen, die nicht sicher sind, bei denen in der URL-Leiste also HTTP anstatt HTTPS steht, stoßen Sie vielleicht auf Werbung oder Pop-up-Banner, in denen Sie darüber informiert werden, dass Ihr System mit Malware infiziert sei. Dabei handelt es sich jedoch nicht um ein Pop-up von Ihrer Antivirensoftware. Sie werden dort jedoch bedrängt, sich die einzige Software herunterzuladen, mit der Sie dieses fürchterliche Virus wieder loswerden können. Die Software, zu deren Download Sie hierbei aufgefordert werden, ist tatsächlich selbst Malware. Deshalb nennt man diese Masche auch Scareware.

Tailgating

Die Tailgating-Methode weist gewisse Ähnlichkeiten zum Pretexting auf. Das Hauptziel von Tailgating besteht jedoch üblicherweise darin, sich Zugang zu einem gesicherten Gebäude zu verschaffen, und noch dazu ist diese Methode nicht mit allzu viel Rechercheaufwand verbunden. So kann ein Hacker gewissermaßen „Huckepack“ in ein Gebäude gelangen, indem er sich als Bote ausgibt. Dazu folgt er mitunter einfach einem Mitarbeiter, der die Gegenwart eines unbekannten Gesichts schlicht nicht infrage stellt.

Wie können Sie sich vor Social-Engineering-Angriffen schützen?

Es mag schwierig erscheinen, sich vor Social-Hackern zu schützen, denn letzten Endes kann jeder auf einen Betrugsversuch hereinfallen. Sie können jedoch ein paar einfache Maßnahmen ergreifen, um solche Angriffe zu verhindern, zu erkennen und an Ort und Stelle zu stoppen.

  1. Verwenden Sie ein gutes Antivirenprogramm und halten Sie es stets auf dem neuesten Stand.

  2. Bleiben Sie wachsam. Wenn ein Angebot zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch.

  3. Überstürzen Sie nichts – recherchieren Sie die Fakten, bevor Sie handeln. Wenn Sie sich nicht sicher sind, ob die Anfrage legitim ist oder sich dahinter eine Betrugsmasche verbirgt, kontaktieren Sie das jeweilige Unternehmen oder Ihren Vorgesetzten am besten direkt.

  4. Öffnen Sie keine verdächtigen E-Mails, klicken Sie nicht auf verdächtige Links und laden Sie keine verdächtigen Anhänge herunter.

  5. Machen Sie sich mit den Datenschutz- und Sicherheitsrichtlinien Ihres Unternehmens vertraut. Lassen Sie Fremde nicht in sichere Bereiche vordringen – stellen Sie ihnen entsprechende Fragen.

  6. Geben Sie Ihren Computer nicht an andere weiter und sperren Sie ihn stets, wenn er gerade nicht verwendet wird.

  7. Stellen Sie die Sensitivität Ihrer Spam-Filter auf hoch ein.

  8. Verwenden Sie eine Multi-Faktor-Authentifizierung. Selbst wenn Hacker Ihre Anmeldeinformationen herausbekommen sollten, können sie keinen Zugriff auf Ihre Konten erhalten, da sie dazu einen zusätzlichen Bestätigungsschritt durchlaufen müssen.

  9. Schulen Sie Ihre Mitarbeiter und Kollegen darin, wie sie Social-Engineering-Angriffe erkennen können.

  10. Teilen Sie personenbezogene Daten zu Ihrer Person wie die Namen Ihrer Kinder, Ihres Haustiers oder Ihres Geburtsorts und Ihr Geburtsdatum nicht im Internet.

  11. Seien Sie vorsichtig bei Freundschaften, die sich allein im Internet abspielen.

  12. Verwenden Sie sichere, einzigartige Passwörter und einen Passwort-Manager, um sie zu schützen.

NordPass-News abonnieren

Erhalten Sie aktuelle Nachrichten und Tipps von NordPass direkt in Ihrem Posteingang.