Blog/Das ABC der Online-Sicherheit/

Social Engineering verstehen: eine Einführung

Cybersecurity Content Writer

Nicht alle ausgeklügelten Angriffe auf deine Cybersicherheit müssen über Malware ablaufen oder fordern von den Hackern umfangreiche Programmierkenntnisse. Manchmal genügt es, mit ganz alltäglichen menschlichen Emotionen wie Angst, Gier, Vertrauen oder einem Gefühl der Dringlichkeit zu spielen. Hier erfährst du, wie Hacker dich mithilfe von Social-Engineering-Techniken dazu verleiten, ihnen deine sensiblen Daten preiszugeben.

Was ist Social Engineering?

Zum Social Engineering zählen eine Reihe verschiedener Angriffsarten, welche auf psychologische Phänomene abzielen, um den Opfern sensible Daten zu entlocken. Derartige Angriffe spielen in der Regel mit den Emotionen des Opfers wie Angst, Vertrauen, Gier, Stress und einem Gefühl der Dringlichkeit. Starke Gefühle trüben das Urteilsvermögen, wodurch die Bereitschaft steigt, bestimmte Informationen preiszugeben, die man üblicherweise nicht kommunizieren würde.

Hacker können verschiedene Social-Engineering-Techniken nutzen, um sich personenbezogene Daten wie Anmeldeinformationen, Passwörter, Bankkontonummern oder Sozialversicherungsnummern usw. zu verschaffen. Mithilfe dieser Informationen können sie dann Zugang zu deinem Netzwerk erhalten sowie dein Geld oder gar deine Identität stehlen. Ebenso können diese Daten auch bei künftigen Angriffen genutzt werden.

Hacker lieben Social-Engineering-Angriffe, weil sie einfacher auszuführen sind als Malware-Attacken und noch dazu eine höhere Erfolgsquote aufweisen. Bei manchen Social-Engineering-Taktiken müssen Hacker nicht einmal programmieren können!

Arten von Social-Engineering-Angriffen

Phishing

Phishing ist wahrscheinlich die am weitesten verbreitete Social-Hacking-Technik. Auf vielen Plattformen kann es zu Phishing-Betrug kommen: in E-Mails, Chats, Internet-Werbung oder auf Websites. In den meisten Fällen verwenden Hacker jedoch Phishing-E-Mails, um dich dazu zu verleiten, Malware herunterzuladen oder auf einen bösartigen Link zu klicken, um anschließend an deine Daten zu gelangen. In manchen dieser E-Mails sollst du mit einem unwiderstehlichen Sonderangebot in Versuchung geführt werden. Andere möchten dir mit bedrohlichen Formulierungen zu deiner Sicherheit Angst einjagen, während wiederum andere versuchen, sich dein Vertrauen zu erschleichen.

Hier findest du typische Beispiele für Social Engineering:

  • Du erhältst eine E-Mail von einer Lotteriegesellschaft, in der steht, dass du eine Million Euro gewonnen hast. Nun wirst du gebeten, auf einen Link zu klicken, um deinen Gewinn zu erhalten.

  • Eine Bank kontaktiert dich wegen eines Darlehens, das du überhaupt nicht aufgenommen hast, und bittet dich, nun deine Zahlungsdaten zu bestätigen.

  • Eine Lieferfirma schickt dir eine Rechnung und bittet dich, sie unverzüglich zu begleichen.

Spear-Phishing

Spear-Phishing ähnelt Phishing, ist jedoch aufwendiger und weist daher eine höhere Erfolgsquote auf. Mit Phishing-E-Mails und derartigen Betrugsmaschen kann es ein Hacker auf Tausende von Menschen abgesehen haben, die er überhaupt nicht kennt. Beim Spear-Phishing sucht sich ein Hacker hingegen ein konkretes Ziel aus: eine bestimmte Person oder ein bestimmtes Unternehmen. Dann recherchiert er, um sein Opfer besser zu verstehen und darauf aufbauend eine idiotensichere Strategie zu entwickeln, um an seine Daten zu kommen.

In diesem Rahmen könnte beispielsweise ein kürzlich eingestellter Buchhalter eine E-Mail vom Geschäftsführer erhalten, der ihn dazu auffordert, eine stattliche Geldsumme auf das Konto eines Geschäftspartners in einem anderen Land zu überweisen. In der E-Mail steht dann, dass dies sofort ausgeführt werden müsse. Wenn der neue Mitarbeiter die üblichen betrieblichen Abläufe noch nicht kennt oder nicht weiß, welches Verhalten er von seinem Vorgesetzten zu erwarten hat, wird er das Geld wahrscheinlich an den Hacker überweisen.

Pretexting

Während Phishing hauptsächlich auf das menschliche Gefühl der Angst sowie das Gefühl der Dringlichkeit abzielt, ist pretexting als das Gegenteil davon zu verstehen – denn Pretexting zielt auf das menschliche Vertrauen ab. Wie der Name schon sagt, kommt beim Pretexting ein glaubwürdiger Vorwand oder eine Geschichte zum Einsatz, um damit eine Beziehung zum Opfer aufzubauen. Diese Geschichte soll keinen Platz für mögliche Zweifel lassen. Pretexting findet man sowohl online als auch offline. So kann sich dir ein Hacker beispielsweise als Buchprüfer vorstellen und dich somit überzeugen, ihm Zutritt zum Server-Raum zu gewähren. Oder er kann als dein Bankberater auftreten, der dich anruft, damit du ihm bestimmte Zahlungsdaten bestätigst.

Baiting

Beim Baiting verwenden Hacker ein Objekt oder ein Angebot, dem du nicht widerstehen kannst, um dein Gerät oder ein ganzes Netzwerk zu infizieren. In der guten alten Zeit hätten sie dazu einen USB-Stick mit der Aufschrift „Vorstandsgehälter Q4“ auf einem Parkplatzgelände deponiert, der dort so gut wie jedem aufgefallen wäre. Heutzutage begegnet man Baiting jedoch eher auf P2P-Plattformen. Möchtest du dir die neue Folge von Game of Thrones in guter Qualität herunterladen? Aber kannst du dir auch sicher sein, dass sich dahinter kein Trojaner verbirgt?

Quid Pro Quo

Bei einem Quid-Pro-Quo-Angriff teilt dir der Hacker ein verlockendes Angebot mit, bittet dich aber um eine Gegenleistung: meistens um die Mitteilung deiner personenbezogenen Daten. Dabei könnte es sich um deinen „Onkel“ handeln, von dem du noch nie gehört hast, der dir nun aber eine große Geldsumme überweisen möchte; dazu musst du ihm lediglich deine Bankverbindung mitteilen. Oder es könnte sich auch ein „IT-Spezialist“ an dich wenden, den du noch nie kontaktiert hast, der dir nun aber aus der Güte seines Herzens anbietet, deinen Laptop zu reparieren. Dazu benötigt er lediglich Fernzugriff auf dein Gerät.

Scareware

Wenn du Websites besuchst, die nicht sicher sind, bei denen in der URL-Leiste also HTTP anstatt HTTPS steht, stößt du vielleicht auf Werbung oder Pop-up-Banner, in denen du darüber informiert wirst, dass dein System mit Malware infiziert sei. Dabei handelt es sich jedoch nicht um ein Pop-up von deiner Antivirensoftware. Du wirst dort jedoch bedrängt, dir die einzige Software herunterzuladen, mit der du dieses fürchterliche Virus wieder loswerden kannst. Das Problem dabei: Die Software, zu deren Download du hierbei aufgefordert wirst, ist tatsächlich selbst Malware. Deshalb wird diese Masche auch Scareware genannt.

Tailgating

Die Tailgating-Methode weist gewisse Ähnlichkeiten zum Pretexting auf. Das Hauptziel von Tailgating besteht jedoch üblicherweise darin, sich Zugang zu einem gesicherten Gebäude zu verschaffen, und noch dazu ist diese Methode nicht mit allzu viel Rechercheaufwand verbunden. So kann ein Hacker gewissermaßen „Huckepack“ in ein Gebäude gelangen, indem er sich als Bote ausgibt. Dazu folgt er mitunter einfach einem Mitarbeiter, der die Gegenwart eines unbekannten Gesichts schlicht nicht infrage stellt.

Wie kannst du dich vor Social-Engineering-Angriffen schützen?

Es mag schwierig erscheinen, sich vor Social-Hackern zu schützen, denn letzten Endes kann jeder auf einen Betrugsversuch hereinfallen. Du kannst jedoch ein paar einfache Maßnahmen ergreifen, um solche Angriffe zu verhindern, zu erkennen und an Ort und Stelle zu stoppen.

  1. Verwende ein gutes Antivirenprogramm und halte es stets auf dem neuesten Stand.

  2. Bleib wachsam. Wenn ein Angebot zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch.

  3. Ãœberstürze nichts – recherchiere die Fakten, bevor du handelst. Wenn du dir nicht sicher bist, ob die Anfrage legitim ist oder sich dahinter eine Betrugsmasche verbirgt, kontaktiere das jeweilige Unternehmen oder deinen Vorgesetzten am besten direkt.

  4. Öffne keine verdächtigen E-Mails, klicke nicht auf verdächtige Links und lade keine verdächtigen Anhänge herunter.

  5. Mach dich mit den Datenschutz- und Sicherheitsrichtlinien deines Unternehmens vertraut. Lass Fremde nicht in sichere Bereiche vordringen – stelle ihnen entsprechende Fragen.

  6. Gib deinen Computer nicht an andere weiter und sperre ihn stets, wenn er gerade nicht verwendet wird.

  7. Stelle die Sensitivität deiner Spam-Filter auf hoch ein.

  8. Verwende Multi-Faktor-Authentifizierung. Selbst wenn Hacker deine Anmeldeinformationen herausbekommen sollten, können sie keinen Zugang zu deinen Konten erhalten, da sie dazu einen zusätzlichen Bestätigungsschritt durchlaufen müssen.

  9. Schule deine Mitarbeiter und Kollegen darin, wie sie Social-Engineering-Angriffe erkennen können.

  10. Teile personenbezogene Daten zu deiner Person wie die Namen deiner Kinder, deines Haustiers oder deinen Geburtsort und dein Geburtsdatum nicht im Internet.

  11. Sei vorsichtig bei Freundschaften, die sich allein im Internet abspielen.

  12. Verwende sichere, einzigartige Passwörter und einen Passwort-Manager, um sie zu schützen.

Erfahre mehr über Cybersicherheit und Möglichkeiten zum Schutz deiner Passwörter, indem du unten unseren kostenlosen monatlichen Newsletter abonnierst.

NordPass-News abonnieren

Erhalten Sie aktuelle Nachrichten und Tipps von NordPass direkt in Ihrem Posteingang.