Social-Engineering-Angriffe: Wie Sie sie erkennen und vermeiden

Wenn es Ihnen geht wie den meisten Menschen, wissen Sie wahrscheinlich nicht viel über Social-Engineering-Angriffe. Oder glauben Sie, dass sie nur darauf abzielen, ahnungslose Opfer hereinzulegen und ihnen Geld zu stehlen?

Vielleicht ist Ihnen nicht bewusst, dass Social-Engineering-Techniken viele Formen annehmen können. Und jeder kann ihnen zum Opfer fallen – sogar Sie.

In diesem Leitfaden erfahren Sie alles, was Sie über Social-Engineering-Angriffe wissen müssen. Unter anderem beantworten wir diese Fragen:

• Was ist ein Social-Engineering-Angriff?
• Welche verschiedenen Formen können Social-Engineering-Angriffe annehmen?
• Wie kann ich Social-Engineering-Angriffe schnell erkennen?
• Und vor allem: Wie kann ich vermeiden, einer Social-Engineering-Attacke zum Opfer zu fallen?

Lassen Sie uns direkt loslegen!

Was ist Social Engineering?

Lassen Sie uns mit den Grundlagen beginnen: Was ist Social Engineering?

Social Engineering umfasst viele Techniken, die unsere menschliche Natur ausnutzen, um Verhaltensweisen und Fehler hervorzurufen, die zu einer Schwächung der Sicherheit führen.

Diese Techniken ermöglichen es Cyberkriminellen, auf Informationen oder Geld zuzugreifen oder zu kontrollieren, wonach sie suchen. Es handelt sich dabei nicht um einen einzelnen Angriff, sondern eher um eine Gruppe verschiedener Betrugsmaschen, die mehrere Gemeinsamkeiten aufweisen:

• Die Betrüger*innen versuchen, an sensible Informationen oder Geld zu gelangen.
• Sie nutzen das Vertrauen und das menschliche Verhalten aus, um ihre Opfer zu manipulieren und ihre Ziele zu erreichen.
• Sie nutzen die Unwissenheit ihrer Opfer und deren Unfähigkeit aus, Sicherheitsmaßnahmen zu ergreifen, um sich zu schützen.
• Oftmals verwenden sie persönliche Informationen (Identitätsdiebstahl), um authentischer zu erscheinen.

Erinnern Sie sich an das „geschenkte“ Pferd der alten Griechen an die Stadt Troja? Ein hervorragendes Beispiel aus der Praxis.

Der Kern eines jeden Social-Engineering-Angriffs ist Manipulation.

Vergessen Sie Brute-Force-Taktiken. Beim Social Engineering bringen Angreifer*innen mithilfe manipulativer Taktiken ihre Opfer dazu, sich selbst oder die Sicherheitsmaßnahmen, auf die sie sich verlassen, zu kompromittieren. Betrüger*innen nehmen Kontakt zu ihren Opfern auf, um Vertrauen zu erwecken und ihre Handlungen zu beeinflussen.

Während die Angreifenden die Beweggründe ihrer Angriffsziele besser kennenlernen, können sie überzeugende Taktiken entwickeln, um sie zu einem potenziell destruktiven Verhalten zu verleiten.

Und es funktioniert: Viele Vorfälle im Bereich der Cybersicherheit sind erfolgreiche und ausgeklügelte Social-Engineering-Methoden, die von externen Angreifer*innen durchgeführt werden. Sie spielen mit menschlicher Schwäche, um ihre Opfer unwissentlich dazu zu bringen, Zugang zu sensiblen Informationen oder Geld zu gewähren.

Wie funktionieren Social-Engineering-Angriffe?

Wie wir bereits erwähnt haben, beruht Social Engineering auf Manipulation. Diese kann verschiedene Formen annehmen (wie wir später noch beleuchten werden).

Jeder Social-Engineering-Angriff nutzt jedoch eine der folgenden menschlichen Eigenschaften aus.

Vertrauen

Der*Die Hacker*in sendet eine Nachricht, die die Kommunikationscodes eines Unternehmens vortäuscht, zum Beispiel sein Logo und andere Markenmerkmale (Schriftarten, Schreibstil etc.).

Die Hacker*innen wollen das Opfer durch diese Täuschung dazu verleiten, Dinge zu tun, die es bei der jeweiligen Organisation üblicherweise tun würde (auf einen Link klicken, eine Datei herunterladen etc.), weil es ihr vertraut und die Herkunft der Nachricht einfach nicht hinterfragt.

Einhaltung der Vorschriften von Behörden

Gehorsam gegenüber Autoritäten ist eine weitere menschliche Eigenschaft, die sich Social-Engineering-Taktiken zunutze machen können.

Die Social-Engineering-Pirat*innen geben sich als hochrangige Personen oder Regierungsbehörden aus, um ihr gehorsames Ziel zu einer Handlung zu verleiten.

Gefühl der Dringlichkeit und/oder Angst

Menschen handeln oft, ohne nachzudenken, wenn sie ein plötzliches Gefühl der Panik verspüren.

Sie sind anfällig für Social-Engineering-Betrugsmaschen, die solche Gefühle ausnutzen. Diese Täuschungsmanöver setzen Angst und Dringlichkeit auf verschiedene Weise ein:

• falsche Kreditkartenwarnungen
• Virenwarnungen
• Ausnutzung der FOMO (Angst, etwas zu verpassen)

Das in Panik geratene Opfer wird zum Handeln verleitet, ohne sich die Zeit zu nehmen, die Folgen seines Handelns zu bedenken. Oft vergisst es unter Stress, die Legitimität der Anfrage zu überprüfen.

Gier

Sie würden doch ein Geschenk nicht ablehnen, oder? Betrüger*innen verstehen das.

Deshalb nutzen viele Betrugsmaschen unsere Gier aus, um uns mit Geldprämien, kostenlosen iPhones und anderen Preisen zu locken.

Haben Sie schon einmal von dem Betrug der „unerwarteten Erbschaft“ gehört? Dies ist ein klassischer Phishing-Angriff, bei dem Ihnen eine große Geldsumme von einem*einer entfernten Verwandten oder einem*einer wohlhabenden Wohltäter*in versprochen wird. Das Geld ist angeblich aus irgendeinem unerfindlichen Grund gesperrt … Doch Sie müssen lediglich die Verwaltungsgebühren bezahlen, um das Geld zu erhalten.

Klingt zu schön, um wahr zu sein? Weil es das ist! Dies ist ein perfektes Beispiel für eine Betrugsmasche, die ausnutzt, welche Anziehungskraft Geld, Geschenke oder einfach zu erhaltende Belohnungen auf uns ausüben.

Großzügigkeit

Und schließlich wird auch unsere Großzügigkeit häufig für Social-Engineering-Angriffe ausgenutzt.

Angreifer*innen schlagen Kapital aus Ihrer Großzügigkeit, indem sie in den sozialen Medien recherchieren, was Ihnen wichtig ist, und sich dann als Organisationen ausgeben, die mit Ihren Anliegen verbunden sind. Zum Beispiel könnten sie sich als eine von Ihnen unterstützte Wohltätigkeitsorganisation ausgeben, um zu Spenden aufzurufen.

Wie sehen Social-Engineering-Angriffe aus?

Es gibt viele Arten von Social-Engineering-Angriffen, die leichte Abweichungen aufweisen. Dies sind einige der häufigsten.

Phishing-Betrugsmaschen sind die häufigsten Arten von Social-Engineering-Angriffen, die heutzutage eingesetzt werden. Bei dieser Variante wird per E-Mail Kontakt mit dem Ziel hergestellt. Es gibt noch weitere spezifische Arten von Phishing-Angriffen, zum Beispiel diese:

• Smishing, Phishing-Angriffe, die per SMS stattfinden
• Vishing über Telefongespräche
• Spear Phishing, bei dem bestimmte Personen mit persönlichen Informationen ins Visier genommen werden, damit es legitimer wirkt
• Whaling-Angriffe, das heißt Phishing-Angriffe, die auf hochrangige Führungskräfte abzielen

Pretexting ist eine weitere Form des Social Engineering, bei der sich die Angreifenden darauf konzentrieren, einen plausiblen Vorwand oder ein erfundenes Szenario zu schaffen, mit dem sie die persönlichen Daten ihrer Opfer stehlen können.

Baiting ist in vielerlei Hinsicht mit Phishing-Angriffen vergleichbar. Was diese Angriffe jedoch von anderen Arten des Social Engineering unterscheidet, ist das Versprechen eines Gegenstands oder einer Ware, mit dem die Hacker*innen ihre Opfer anlocken, genau wie beim Trojanischen Pferd.

In ähnlicher Weise versprechen Quid-pro-quo-Angriffe einen Vorteil im Austausch für Informationen. Dieser Nutzen wird in der Regel in Form einer Dienstleistung erbracht, während Baiting häufig in Form einer Ware angeboten wird.

Scareware will ihren Opfern vorgaukeln, dass ihr Gerät mit einem Virus infiziert ist und sie eine bestimmte Software kaufen oder herunterladen müssen, um das Problem zu beheben.

Watering-Hole-Angriffe finden statt, wenn Angreifer*innen eine Website kompromittieren, die von einer bestimmten Gruppe von Nutzer*innen besucht wird. Wenn diese Nutzer*innen die Website besuchen, werden ihre Geräte mit Malware infiziert.

Bei einer Honey Trap erstellen Angreifer*innen gefälschte Social-Media-Profile, um sich mit den Zielpersonen anzufreunden und durch trügerische Beziehungen an vertrauliche Informationen zu gelangen.

Reverse Social Engineering schließlich schafft eine Situation, in der das Opfer Hilfe sucht, was es Angreifer*innen ermöglicht, sich als Helfer*in auszugeben und sensible Informationen zu erlangen.

Physische Phishing-Angriffe

Phishing-Angriffe können auch in der „echten“, physischen Welt stattfinden.

Die häufigste Form ist das sogenannte „Shoulder Surfing“. Dies ist der Fall, wenn Ihnen jemand direkt über die Schulter schaut, um an Informationen wie Passwörter oder PINs zu gelangen, nachdem er Sie zu einer Aktion gelockt hat, für die Anmeldedaten erforderlich sind.

Ein weiterer Social-Engineering-Angriff ist das sogenannte „Tailgating“, bei dem jemand versucht, physisch in einen Bereich einzudringen, in dem er sich nicht aufhalten darf.

Übliche Merkmale von Social-Engineering-Angriffen

Die meisten dieser Social-Engineering-Angriffe haben folgende Merkmale gemein:

• Persönliche Informationen: Angreifende suchen nach Informationen wie Namen, Adressen und Sozialversicherungsnummern.
  
• Link-Verkürzer oder eingebettete Links: Diese Links leiten die Nutzer*innen auf verdächtige Websites um, wenn sie auf legitim erscheinende URLs klicken.
  
• Malware: Social Engineering kann auch zur Einrichtung von Malware verwendet werden, sei es zusätzlich zum Diebstahl der Anmeldedaten des Opfers oder mit dem alleinigen Ziel, das Gerät des Opfers zu kompromittieren.
  

Social-Engineering-Angriffe in der realen Welt

Nachdem wir uns nun mit der Theorie befasst haben, lassen Sie uns jetzt einen Blick auf einige Social-Engineering-Betrugsmaschen aus dem echten Leben werfen.

Der „Fake CEO“-Betrug

Im Jahr 2016 hat das österreichische Luft- und Raumfahrtunternehmen FACC rund 50 Millionen Euro durch einen Social-Engineering-Betrug erhalten, der als „CEO-Fraud“ bekannt ist.

Die Cyberkriminellen gaben sich als CEO des Unternehmens aus und schickten eine E-Mail an die Finanzabteilung mit der Bitte um eine dringende Überweisung.

Die E-Mail erschien legitim und enthielt den typischen Schreibstil des CEOs und sogar eine gefälschte E-Mail-Signatur. Ohne die Anfrage zu überprüfen, überwies ein Mitarbeiter die Gelder auf ein von den Angreifern kontrolliertes Offshore-Konto.

Dieser Fall verdeutlicht, wie wichtig es ist, Finanztransaktionen über sekundäre Kommunikationskanäle zu überprüfen, bevor sie ausgeführt werden. Er unterstreicht auch den Wert der Verwendung digitaler Signaturen. Mit Mailfence können Sie Ihre E-Mails mit einer Verschlüsselung digital signieren, die unwiderlegbar beweist, dass Sie tatsächlich der Verfasser dieser E-Mail sind.

Der Twitter-Bitcoin-Betrug

In einem viel beachteten Social-Engineering-Angriff verschafften sich Cyberkriminelle Zugang zu den internen Tools von Twitter, indem sie sich als IT-Support-Mitarbeiter ausgaben.

Sie manipulierten Mitarbeiter, damit sie ihre Anmeldedaten preisgeben und so die Kontrolle über mehrere hochrangige Konten übernehmen konnten, darunter die von Elon Musk, Bill Gates und Barack Obama.

Die Angreifer nutzten diese Konten, um betrügerische Bitcoin-Werbegeschenke zu posten und die Follower dazu zu verleiten, Kryptowährung zu senden. Dieser Angriff zeigt, wie gefährlich es ist, sich zu sehr auf interne Anmeldedaten zu verlassen, und unterstreicht die Bedeutung von Multi-Faktor-Authentifizierung und Mitarbeiterschulungen zu Social Engineering-Taktiken.

Möchten Sie mehr erfahren? Sehen Sie sich diesen Bericht von Verizon an, in dem die Kosten von Datenschutzverletzungen in der Geschäftswelt untersucht werden.

Die Rolle der Sozialen Medien bei Social Engineering Angriffen

Mit dem Aufkommen von Social-Media-Plattformen haben Betrüger einen noch nie dagewesenen Zugang zu Ihren persönlichen Informationen. Sie müssen nicht mehr Ihr E-Mail-Konto hacken – auf Instagram, TikTok und X! ist alles öffentlich.

Diese Praxis wird als „Social Media Reconnaissance“ bezeichnet. Durch die Analyse von öffentlich zugänglichen Beiträgen können Angreifer:

• Identifizieren Sie den Arbeitsplatz, die berufliche Rolle und die beruflichen Kontakte einer Person.
• Extrahieren Sie persönliche Daten wie Geburtsdaten, Haustiernamen oder Lieblingsorte, die zum Erraten von Passwörtern verwendet werden könnten.
• Informieren Sie sich über bevorstehende Reisepläne, um einen Angriff zu planen, wenn das Opfer weniger wachsam ist.

Mit all diesen Informationen können die Angreifer ihre Phishing-Versuche sehr individuell gestalten. Dies erhöht die Erfolgswahrscheinlichkeit erheblich.

Häufige Angriffe über soziale Medien

Mit einer Fülle von Informationen über Sie können Angreifer leicht einen Spear-Phishing-Angriff durchführen. Über DMs auf Instagram oder X können sie den Anschein erwecken, von einer vertrauenswürdigen Quelle zu stammen, und die Opfer dazu verleiten, auf bösartige Links zu klicken oder Malware herunterzuladen.

Angreifer wissen dank LinkedIn auch, wo Sie arbeiten, seit wann, wo Sie vorher gearbeitet haben usw.

Mit diesen Informationen können sich die Angreifer auf LinkedIn als Führungskräfte des Unternehmens ausgeben und versuchen, betrügerische Transaktionen zu initiieren. Sie können sich auch als Personalvermittler ausgeben und gefälschte Stellenangebote versenden, um persönliche Informationen von Arbeitssuchenden zu erhalten.

Um sich zu schützen, sollten Sie einige Schritte befolgen:

1. Legen Sie strenge Datenschutzeinstellungen für private und berufliche Konten fest.
2. Vermeiden Sie es, zu viele persönliche und arbeitsbezogene Details preiszugeben. Dazu gehören Orte, die Sie besucht haben oder zu besuchen planen, Namen von Verwandten usw.
3. Überprüfen und entfernen Sie regelmäßig Verbindungen mit unbekannten oder verdächtigen Konten.
4. Löschen Sie alle Konten in sozialen Medien, die Sie nicht mehr nutzen. Stellen Sie sicher, dass alle Ihre Informationen gelöscht werden (was Ihr gutes Recht ist).

Social Engineering Angriffe: Wie bleiben Sie sicher?

Nun, da wir die verschiedenen Formen des Social Engineering und ihre Merkmale identifiziert haben, lassen Sie uns darüber sprechen, wie Sie sie vermeiden können!

Im Folgenden finden Sie verschiedene Schritte, die Sie unternehmen sollten, um Social-Engineering-Angriffe zu erkennen und sich vor zukünftigen Angriffen zu schützen.

#1: Nehmen Sie sich Zeit, die Situation zu bewerten

Nehmen Sie sich die Zeit, die ganze Situation zu betrachten und die Nachricht sorgfältig zu prüfen, auch wenn sie recht beunruhigend ist.

• Ist diese Nachricht unerwartet?
• Kommt es von dort, wo es herkommen soll?
• Stellen Sie sicher, dass Sie mit vertrauenswürdigen Kontakten interagieren, indem Sie deren Identität bestätigen. Wenden Sie sich nach Möglichkeit direkt an den Absender, um sich zu vergewissern, dass er gesendet hat, was er erhalten hat.
• Achten Sie auch auf Rechtschreibfehler, Unregelmäßigkeiten im Logo oder andere aufschlussreiche Details. Kommuniziert diese Organisation normalerweise auf diese Weise?
• Auch hier gilt: Nehmen Sie im Zweifelsfall Ihr Telefon und rufen Sie die offizielle Nummer an oder die Nummer, die Sie gewohnt sind anzurufen (und nicht die angegebene Nummer), um weitere Informationen zu erhalten. Dies ist ein wichtiger Schritt bei finanziellen Transaktionen!

#Nr. 2: Überprüfen Sie die URL oder Datei, bevor Sie klicken.

Klicken Sie niemals auf einen Anhang oder einen Link in einer E-Mail, ohne sich vorher zu vergewissern.

In jedem Anhang einer Nachricht kann sich ein Virus oder eine andere Art von Malware, wie z.B. Ransomware, verbergen.

Ein Link in einer Nachricht kann Sie auf eine inszenierte Website führen, die darauf abzielt, Ihre Daten zu stehlen oder Ihr Gerät mit Malware zu infizieren.

Bevor Sie sie anklicken, prüfen Sie sie sorgfältig:

• Gibt es eine Meldung oder eine Eingabeaufforderung, die anzeigt, dass die angehängte Datei Makros enthält? Wenn ja, vergewissern Sie sich, dass Sie keine Makros zum Anzeigen der Datei aktivieren.
• Hatten Sie diese Datei oder diesen Link erwartet?
• Im Zweifelsfall zögern Sie nicht, den Absender direkt zu fragen, ob die Nachricht von ihm stammt (kontaktieren Sie ihn über Ihre üblichen Kontaktmöglichkeiten).
• Wenn Sie Zweifel haben, klicken Sie NICHT! Fragen Sie einen Kollegen, Freund oder ein Familienmitglied, wenn Sie unsicher sind. Oder wenden Sie sich an einen IT-Experten, wenn Sie sich bei der Beurteilung der Situation nicht sicher sind.

#Nr. 3: Achten Sie auf Ihre Wertsachen

Auch wenn Sie kein Millionär sind, besitzen Sie viele Dinge, die die Gier von Cyberkriminellen wecken könnten:

• Ihre Daten (die im dunklen Netz verkauft werden können);
• Software-Zugang, den Sie in dem Unternehmen haben, für das Sie arbeiten;
• detaillierte Konten in sozialen Netzwerken mit zahlreichen Bildern und Kommentaren, die zeigen, was Sie mögen, was Sie unterstützen usw. Das bedeutet, dass es einfach sein wird, ein Profil von Ihnen zu erstellen und die passende Strategie für Sie zu bestimmen. Seien Sie daher vorsichtig mit dem, was Sie in den sozialen Medien teilen.

Nehmen Sie sich die Zeit, Ihre Privilegien und Ihre Kommunikation im Netz zu überprüfen und versuchen Sie zu verstehen, welches Potenzial Sie für jeden Betrüger bieten. Wenn Sie sich dessen bewusst sind, können Sie Social Engineering-Angriffe besser erkennen.

#Nr. 4: Lernen Sie über Social Engineering Betrug

Herzlichen Glückwunsch! Allein durch die Lektüre dieses Leitfadens haben Sie sich bereits weniger anfällig für Social Engineering-Angriffe gemacht.

Aufklärung ist der Schlüssel zur Vermeidung von Social Engineering-Angriffen.

Als Einzelpersonen sind wir in den meisten Fällen aufgrund unseres mangelnden Bewusstseins und Wissens die Ursache für einen möglichen Angriff.

Wenn Sie noch mehr erfahren möchten, können Sie sich diesen Leitfaden über die 7 größten E-Mail-Sicherheitsfehler ansehen, die Sie vermeiden sollten. Sie können auch diesen Leitfaden mit Tipps zum Schutz Ihres Computers lesen oder unseren kostenlosen Kurs zum Thema E-Mail-Sicherheit und Datenschutz besuchen.

#Nr. 5: Verwenden Sie Sicherheitssoftware, um Spam- und Phishing-E-Mails zu vermeiden

Um Ihr Gerät und Ihre Daten vor Cyber-Bedrohungen und Einbruchsversuchen zu schützen, müssen Sie ein Antivirenprogramm verwenden und regelmäßig Backups erstellen.

Aber Sie müssen auch eine sichere E-Mail-Lösung verwenden, um sicherzustellen, dass Nachrichten, die in Ihrem Posteingang eingehen, keine Malware oder bösartige Teile enthalten, und um sie zu blockieren, wenn dies der Fall ist.

E-Mails sind eines der häufigsten Einfallstore für Hacker. Stellen Sie also sicher, dass Sie MFA aktiviert haben, und gewöhnen Sie sich daran, verschlüsselte und digital signierte E-Mails zu versenden.

#Nr. 6: Vermeiden Sie einzelne Fehlerquellen

Ein „Single Point of Failure“ ist ein gängiger Begriff, der beschreibt, dass Sie alles auf eine Karte setzen. Wenn dieser Punkt durchbrochen wird, sind alle Ihre Daten gefährdet. Deshalb sollten Sie es vermeiden, alle Ihre Konten mit Facebook oder Gmail zu verbinden.

Je stärker Ihre Konten miteinander verflochten und voneinander abhängig sind, desto mehr Schaden kann Ihnen eine Sicherheitsverletzung zufügen.

#Nr. 7: Eindeutige Logins und sichere Passwörter

Verwenden Sie in Verbindung mit Nr. 6 verschiedene Logins für jeden Dienst und starke, eindeutige Passwörter. Erwägen Sie die Verwendung von E-Mail-Aliasnamen und Passwortmanagern zur Verwaltung Ihrer Anmeldedaten.

#Nr. 8: Werden Sie kreativ mit Sicherheitsfragen

Dieser Punkt mag trivial klingen. Aber die zusätzlichen Sicherheitsfragen, die Websites Ihnen stellen, dienen in der Regel dazu, eine 2-Schritt-Verifizierung (2SV) einzurichten.

Seien Sie also kreativ und vermeiden Sie leicht zu erratende Antworten wie Ihr Geburtsdatum oder Ihren Geburtsort. Ein Hacker wird diese in wenigen Minuten finden. Verwechseln Sie 2SV auch nicht mit der Multi-Faktor-Authentifizierung (MFA) oder TFA, die wir Ihnen ohnehin dringend empfehlen, einzurichten.

#Nr. 9: Verwenden Sie Kreditkarten mit Bedacht

Wenn Sie eine Debitkarte verwenden und ein Hacker sich Zugang zu der Nummer verschafft, könnte Ihr gesamtes Bankkonto leergeräumt werden. Sie können Ihre Kreditkarte noch besser schützen, indem Sie keine Kartennummern auf Websites speichern oder Wegwerf- oder virtuelle Kartennummern verwenden (angeboten von Citibank, Bank of America und Discover).

#Nr. 10: Überwachen Sie häufig Ihre Konten

Seien Sie auf der Hut vor Identitätsdiebstahl und Kreditkartenbetrug. Überprüfen Sie regelmäßig Ihre Kontostände und Ihre Kreditwürdigkeit.

Letztes Wort zu Social-Engineering-Angriffen

Damit ist unser Leitfaden über Social-Engineering-Angriffe abgeschlossen. Hoffentlich wissen Sie jetzt besser, was Social Engineering ist und wie Sie es erkennen können.

Schicken Sie diesen Leitfaden auch an Ihre Freunde und Familie! Je mehr Menschen sich der Social-Engineering-Taktiken bewusst sind, desto weniger Opfer wird es geben. Wenn Sie noch Fragen haben, können Sie sich gerne an uns wenden: support@mailfence.com

Möchten Sie tiefer eintauchen? Lesen Sie diesen Bericht von IBM, der zeigt, wie Cyberkriminelle die Identität von Menschen für ihre Angriffe ausnutzen.

FAQ zu Social Engineering