Social-Engineering-Attacke – so erkennen und vermeiden Sie sie

Wenn Sie wie die meisten Menschen sind, wissen Sie wahrscheinlich nicht viel darüber, was eine Social-Engineering-Attacke ist. Oder glauben Sie vielleicht, dass sie nur darauf abzielt, ahnungslose Opfer zu täuschen und ihnen Geld zu stehlen?

Möglicherweise ist Ihnen nicht bewusst, dass Social-Engineering-Techniken viele Formen annehmen können. Und jeder kann einer Social-Engineering-Attacke zum Opfer fallen – auch Sie.

In diesem Leitfaden erfahren Sie alles, was Sie über Social-Engineering-Angriffe wissen müssen, unter anderem dieses:

• was eine Social-Engineering-Attacke ist
• welche verschiedenen Formen ein Social-Engineering-Angriff annehmen kann
• wie Sie eine Social-Engineering-Attacke schnell erkennen können
• und vor allem, wie Sie vermeiden können, einer solchen zum Opfer zu fallen!

Lassen Sie uns direkt einsteigen!

Was ist Social Engineering?

Das Wichtigste zuerst. Was ist Social Engineering?

Social Engineering umfasst viele Techniken, um unsere menschliche Natur auszunutzen und Verhaltensweisen und Fehler hervorzurufen, die zu einer Schwächung der Sicherheit führen.

Damit können Cyberkriminelle auf Informationen oder Geld zugreifen oder Kontrolle erlangen. Es handelt sich dabei nicht um eine einzelne Angriffsart, sondern um verschiedenen Betrügereien, die Gemeinsamkeiten aufweisen:

• Die Betrüger*innen versuchen, an sensible Informationen oder Geld zu gelangen.
• Sie nutzen das Vertrauen und das menschliche Verhalten aus, um ihre Opfer zu manipulieren und ihre Ziele zu erreichen.
• Sie nutzen die Unwissenheit ihrer Opfer und deren Unfähigkeit zur Ergreifung von Sicherheitsmaßnahmen, um sich zu schützen, aus.
• Für ihre Masche verwenden sie häufig personenbezogene Informationen (Identitätsdiebstahl), um authentischer zu wirken.

Erinnern Sie sich an das „geschenkte“ Pferd der alten Griechen an die Stadt Troja? Ein hervorragendes Beispiel aus der Praxis.

Im Kern einer jeden Social-Engineering-Attacke steht die Manipulation.

Vergessen Sie Brute-Force-Taktiken. Beim Social Engineering setzen Angreifende manipulative Taktiken ein, um ihre Opfer dazu zu bringen, sich selbst oder die Sicherheitsmaßnahmen, auf die sie sich verlassen, zu gefährden. Die Schurken nehmen Kontakt zu ihren Opfern auf, um Vertrauen zu erwecken und ihre Handlungen zu beeinflussen.

Je besser die Angreifenden die Motivationen ihrer Ziele kennen, desto besser können sie sie mit überzeugenden Taktiken zu einem potenziell destruktiven Verhalten verleiten.

Und es funktioniert: Viele Vorfälle im Bereich der Cybersicherheit sind erfolgreiche Social-Engineering-Maschen, die von externen Angreifenden durchgeführt werden. Sie spielen mit menschlicher Schwäche, um ihre Opfer unwissentlich dazu zu bringen, Zugang zu sensiblen Informationen oder Geld zu gewähren.

Wie funktioniert eine Social-Engineering-Attacke?

Wie wir bereits erwähnt haben, beruht Social Engineering auf Manipulation. Diese kann verschiedene Formen annehmen (wie wir uns später noch genauer anschauen werden).

Jede Social-Engineering-Attacke nutzt jedoch eine der folgenden menschlichen Eigenschaften aus.

Vertrauen

Der*Die Hacker*in sendet eine Nachricht, in der die Kommunikationsmerkmale eines Unternehmens nachgeahmt werden, zum Beispiel das Logo und andere Elemente der Marke (Schriftarten, Schreibstil etc.).

Auf diese Weise wollen die Angreifenden das Opfer dazu verleiten, Dinge zu tun, die es bei dieser jeweiligen Organisation routinemäßig tun würde (auf einen Link klicken, eine Datei herunterladen etc.), weil es ihr vertraut und die Herkunft der Nachricht einfach nicht in Frage stellt.

Einhaltung der Vorschriften von Behörden

Gehorsam gegenüber Autoritäten ist eine weitere menschliche Eigenschaft, die Social-Engineering-Taktiken ausnutzen können.

Moderne Pirat*innen geben sich als hochrangige Personen oder Regierungsbehörden aus, um ihr gehorsames Ziel zu einer Handlung zu bewegen.

Gefühl der Dringlichkeit und/oder Angst

Menschen handeln oft, ohne nachzudenken, wenn sie plötzlich ein Gefühl der Panik verspüren.

Sie sind anfällig für Social-Engineering-Betrügereien, die es auf solche Gefühle abgesehen haben. Diese Täuschungsmanöver setzen Angst und Dringlichkeit auf verschiedene Weise ein:

• falsche Kreditkartenwarnungen
• Virenwarnungen
• Ausnutzung der FOMO (Fear Of Missing Out, also die Angst, etwas zu verpassen).

Die in Panik geratenen Opfer werden zum Handeln verleitet, ohne sich die Zeit zu nehmen, die Folgen ihres Handelns zu überdenken. Oft vergessen sie unter Stress, die Legitimität der Anfrage zu überprüfen.

Gier

Sie würden doch ein Geschenk nicht ablehnen, oder? Betrüger*innen wissen das.

Deshalb nutzen viele Gauner unsere Gier aus, um uns mit Geldprämien, kostenlosen iPhones und anderen Preisen zu locken.

Haben Sie schon einmal von der Betrugsmasche mit einer „unerwarteten Erbschaft“ gehört? Dies ist ein klassischer Phishing-Angriff, bei dem Ihnen eine große Geldsumme von einem*einer entfernten Verwandten oder einem*einer wohlhabenden Wohltäter*in versprochen wird. Das Geld ist angeblich aus irgendeinem undurchsichtigen Grund gesperrt … Um es zu erhalten, müssen Sie lediglich die Verwaltungsgebühren bezahlen.

Klingt zu schön, um wahr zu sein? Weil es das ist! Dies ist ein perfektes Beispiel für einen Betrugsversuch, der die Anziehungskraft ausnutzt, die Geld, Geschenke oder einfache Belohnungen auf uns haben.

Großzügigkeit

Und schließlich wird unsere Großzügigkeit oft für Social-Engineering-Angriffe ausgenutzt.

Angreifende nutzen die Großzügigkeit aus, indem sie in den sozialen Medien recherchieren, was Ihnen wichtig ist, und sich als Organisationen ausgeben, die mit Ihren Anliegen verbunden sind. Sie könnten sich zum Beispiel als eine von Ihnen unterstützte Wohltätigkeitsorganisation ausgeben, um um Spenden zu bitten.

Wie sieht eine Social-Engineering-Attacke aus?

Eine Social-Engineering-Attacke kann viele Formen annehmen, und es gibt subtile Varianten. Die folgenden gehören zu den häufigsten.

Phishing-Scams sind heutzutage die häufigste Art einer Social-Engineering-Attacke. Sie stützen sich auf E-Mails, um eine Verbindung mit dem Ziel herzustellen. Es gibt spezielle Arten von Phishing-Angriffen, zum Beispiel diese:

• Smishing: ein Phishing-Angriff, der auf SMS basiert.
• Vishing: stützt sich auf tatsächliche Telefongespräche.
• Spear-Phishing: dies zielt auf bestimmte Personen ab, die mit personenbezogenen Informationen angesprochen werden – damit soll der Anschein erweckt werden, als handle es ich um eine legitime Anfrage.
• Whaling-Angriffe: dies sind Phishing-Angriffe, die auf hochrangige Führungskräfte abzielen.

Pretexting ist eine weitere Form des Social Engineering, bei der sich Angreifende darauf konzentrieren, einen plausiblen Vorwand oder ein erfundenes Szenario zu schaffen, mit dessen Hilfe sie die persönlichen Daten ihrer Opfer abgreifen können.

Baiting ist in vielerlei Hinsicht mit Phishing-Angriffen vergleichbar. Was sie jedoch von anderen Arten des Social Engineering unterscheidet, ist das Versprechen eines Gegenstands oder einer Ware, mit dem die Hacker*innen ihre Opfer verlocken, genau wie beim Trojanischen Pferd.

In ähnlicher Weise versprechen Quid-Pro-Quo-Angriffe einen Vorteil im Gegenzug für Informationen. Dieser Nutzen wird in der Regel in Form einer Dienstleistung erbracht, während Baiting häufig in Form einer Ware angeboten wird.

Scareware will ihren Opfern vorgaukeln, dass ein Virus ihr Gerät infiziert habe und sie eine bestimmte Software kaufen oder herunterladen müssen, um das Problem zu beheben.

Um einen Watering-Hole-Angriff handelt es sich, wenn Angreifende eine Website kompromittieren, die von einer bestimmten Gruppe von Nutzer*innen besucht wird. Wenn diese Nutzer*innen die Website besuchen, werden ihre Geräte mit Malware infiziert.

Bei einer Honey Trap (Honigfalle) erstellen Angreifende gefälschte Social-Media-Profile, um sich mit den Zielpersonen anzufreunden und durch trügerische Beziehungen vertrauliche Informationen zu erhalten.

Reverse Social Engineering schließlich schafft eine Situation, in der das Opfer Hilfe sucht, was es dem*der Angreifenden ermöglicht, sich als Helfer*in auszugeben und an sensible Informationen zu gelangen.

Physische Phishing-Angriffe

Phishing-Angriffe können auch in der „echten“, physischen Welt vorkommen.

Die häufigste Form ist das sogenannte Shoulder Surfing. Hierbei schaut Ihnen jemand direkt über die Schulter, um an Informationen wie Passwörter oder PINs zu gelangen, nachdem er Sie zu einer Aktion gelockt hat, für die Anmeldedaten erforderlich sind.

Eine weitere Form der Social-Engineering-Attacke ist das sogenannte Tailgating, bei dem jemand versucht, physisch in einen eingeschränkten Bereich einzudringen, in dem er sich nicht aufhalten darf.

Gemeinsame Merkmale von Social-Engineering-Attacken

Die meisten dieser Social-Engineering-Angriffe haben die folgenden Merkmale gemein:

• Personenbezogene Informationen: Angreifende sind auf Informationen wie Namen, Adressen und Sozialversicherungsnummern aus.
  
• Link-Verkürzer oder eingebettete Links: Diese Links leiten Nutzer*innen mit legitim erscheinenden URLs auf suspekte Websites um.
  
• Malware: Social Engineering kann auch eingesetzt werden, um Malware einzuschleusen, entweder zusätzlich zum Diebstahl der Anmeldedaten des Opfers oder mit dem alleinigen Ziel, das Gerät des Opfers zu kompromittieren.
  

Wie wahren Sie bei einer Social-Engineering-Attacke Ihre Sicherheit?

Nachdem wir jetzt die verschiedenen Formen des Social Engineering und ihre Eigenschaften identifiziert haben, lassen Sie uns darüber sprechen, wie Sie ihnen aus dem Weg gehen können!

Nachfolgend haben wir einige Schritte für Sie zusammengestellt, die Sie ergreifen sollten, um eine Social-Engineering-Attacke zu erkennen und sich vor zukünftigen Angriffen zu schützen.

1: Nehmen Sie sich Zeit, die Situation zu bewerten

Nehmen Sie sich die Zeit, die ganze Situation zu betrachten und die Nachricht sorgfältig zu prüfen, auch wenn sie recht beunruhigend ist.

• Ist diese Nachricht unerwartet?
• Kommt sie von dort, wo sie herkommen soll?
• Vergewissern Sie sich, dass Sie mit vertrauenswürdigen Kontakten interagieren, indem Sie deren Identität überprüfen. Wenden Sie sich nach Möglichkeit direkt an den*die Absender*in, um sich zu vergewissern, dass er*sie das, was Sie erhalten haben, gesendet hat.
• Achten Sie auch auf Rechtschreibfehler, Eigentümlichkeiten im Logo oder andere aufschlussreiche Details. Kommuniziert diese Organisation normalerweise auf diese Weise?
• Auch hier gilt: Nehmen Sie im Zweifelsfall Ihr Telefon in die Hand und rufen Sie die offizielle oder die Nummer an, die Sie gewohnt sind anzurufen (und nicht die angegebene Nummer), um weitere Informationen zu erhalten.

2: Überprüfen Sie die URL oder Datei, bevor Sie daraufklicken

Klicken Sie niemals auf einen Anhang oder einen Link in einer E-Mail, ohne diesen vorher zu überprüfen.

In jedem Anhang einer Nachricht kann sich ein Virus oder eine andere Art von Malware, wie zum Beispiel Ransomware, verbergen.

Ein Link in einer Nachricht kann Sie auf eine inszenierte Website führen, die darauf abzielt, Ihre Daten zu stehlen oder Ihr Gerät mit Malware zu infizieren.

Bevor Sie etwas anklicken, prüfen Sie sie sorgfältig:

• Gibt es eine Meldung oder einen Hinweis, dass die angehängte Datei Makros enthält? Wenn ja, vergewissern Sie sich, dass Sie zum Anzeigen der Datei keine Makros aktivieren.
• Haben Sie diese Datei oder diesen Link erwartet?
• Zögern Sie im Zweifelsfall nicht, den*die Absender*in direkt zu fragen, ob die Nachricht von ihm*ihr stammt (kontaktieren Sie ihn*sie über Ihre übliche Kontaktweise).
• Wenn Sie Zweifel haben, klicken Sie NICHT! Fragen Sie eine*n Kolleg*in, Freund*in oder ein Familienmitglied, wenn Sie sich nicht sicher sind. Oder wenden Sie sich an eine*n IT-Expert*in, wenn Sie sich mit der Einschätzung der Situation selbst nicht wohlfühlen.

3: Achten Sie auf Ihre Kostbarkeiten

Auch, wenn Sie kein*e Millionär*in sind, besitzen Sie viele Dinge, die die Gier von Cyberkriminellen wecken könnten:

• Ihre Daten (die im Darknet verkauft werden können)
• Software-Zugang, den Sie in dem Unternehmen haben, für das Sie arbeiten
• detaillierte Konten in sozialen Netzwerken mit zahlreichen Bildern und Kommentaren, die enthüllen, was Sie mögen, was Sie unterstützen etc. Das bedeutet, dass es einfach sein wird, ein Profil von Ihnen zu erstellen und die passende Strategie zu bestimmen, um Sie ins Visier zu nehmen. Seien Sie daher vorsichtig mit dem, was Sie auf Social Media teilen.

Nehmen Sie sich die Zeit, einmal einen Blick auf Ihre Berechtigungen und Ihre Kommunikation im Netz zu werfen, und versuchen Sie zu verstehen, welches Potenzial Sie für Betrüger*innen bieten. Wenn Sie sich dessen besser bewusst sind, kann dies dazu beitragen, dass Sie Social-Engineering-Angriffe besser erkennen können.

4: Informieren Sie sich über Social-Engineering-Betrugsmaschen

Herzlichen Glückwunsch! Allein durch die Lektüre dieses Leitfadens haben Sie bereits dazu beigetragen, dass Sie weniger anfällig für eine Social-Engineering-Attacke sind.

Aufklärung ist der Schlüssel zur Vermeidung von Social-Engineering-Angriffen.

Als Menschen sind wir in den meisten Fällen aufgrund unseres mangelnden Bewusstseins und Wissens der Ausgangspunkt für einen möglichen Angriff.

Wenn Sie noch mehr erfahren möchten, werfen Sie gerne einen Blick in diesen Leitfaden über die 7 größten E-Mail-Sicherheitsfehler, die Sie vermeiden sollten. Sie können auch diesen Leitfaden mit Tipps zum Schutz Ihres Computers lesen oder unseren kostenlosen Kurs zum Thema E-Mail-Sicherheit und Datenschutz machen.

5: Verwenden Sie eine Sicherheitssoftware, um Spam- und Phishing-E-Mails zu vermeiden

Um Ihr Gerät und Ihre Daten vor Cyberbedrohungen und digitalen Einbruchsversuchen zu schützen, müssen Sie ein Antivirenprogramm verwenden und regelmäßige Backups erstellen.

Aber Sie müssen auch eine sichere E-Mail-Lösung verwenden, um sicherzustellen, dass Nachrichten, die in Ihrem Posteingang eingehen, keine Malware und keine schädlichen Bestandteile enthalten – und um sie zu blockieren, wenn dies doch der Fall ist.

E-Mails sind eines der häufigsten Einfallstore für Hacker*innen. Stellen Sie also sicher, dass Sie MFA aktiviert haben, und gewöhnen Sie sich daran, verschlüsselte und digital signierte E-Mails zu versenden.

6: Vermeiden Sie einzelne Ausfallpunkte

Ein einzelner Ausfallspunkt, oder ein Single Point of Failure, ist ein gängiger Begriff, der beschreibt, dass Sie alles auf ein Pferd setzen. Wenn dieser Punkt durchbrochen wird, sind alle Ihre Daten gefährdet. Deshalb sollten Sie es vermeiden, alle Ihre Konten mit Facebook oder Gmail zu verknüpfen.

Je mehr Ihre Konten miteinander verflochten und voneinander abhängig sind, desto mehr Schaden kann Ihnen eine Sicherheitsverletzung zufügen.

7: Einzigartige Logins und sichere Passwörter

Verwenden Sie, auch in Verbindung mit Punkt 6 in dieser Liste, verschiedene Logins für jeden Dienst und starke, einzigartige Passwörter. Erwägen Sie die Verwendung von E-Mail-Aliasnamen und Passwort-Managern zur Verwaltung Ihrer Anmeldedaten.

8: Werden Sie bei den Sicherheitsfragen kreativ

Dieser Punkt mag trivial klingen. Aber die zusätzlichen Sicherheitsfragen, die Websites Ihnen stellen, dienen in der Regel dazu, eine zusätzliche Schutzmaßnahme in Form einer 2-Schritte-Verifizierung (2SV) einzurichten.

Seien Sie also kreativ und vermeiden Sie leicht zu erratende Antworten wie Ihr Geburtsdatum oder Ihren Geburtsort. Ein*e Hacker*in wird dies in wenigen Minuten herausfinden. Verwechseln Sie 2SV auch nicht mit der Multi- oder Zwei-Faktor-Authentifizierung (MFA beziehungsweise 2FA), deren Einrichtung wir Ihnen ohnehin dringend nahelegen.

9: Verwenden Sie Kreditkarten mit Bedacht

Wenn Sie eine Kreditkarte verwenden und ein*e Hacker*in sich Zugang zu der Nummer verschafft, könnte Ihr gesamtes Bankkonto leergeräumt werden. Sie können Ihre Kreditkarte noch besser schützen, indem Sie keine Kartennummern auf Websites speichern oder Einmal- oder virtuelle Kartennummern verwenden, was mittlerweile von vielen Banken angeboten wird.

10: Überwachen Sie häufig Ihre Konten

Seien Sie auf der Hut, sowohl vor Identitätsdiebstahl als auch vor Kreditkartenbetrug. Überprüfen Sie regelmäßig Ihre Kontostände und Ihre Kreditwürdigkeit.

Abschließende Worte zum Thema Social-Engineering-Attacke

An dieser Stelle sind wir am Ende unseres ist Leitfadens über Social-Engineering-Angriffe angekommen. Hoffentlich haben Sie jetzt ein besseres Verständnis davon, was Social Engineering ist und wie Sie es erkennen können.

Senden Sie diesen Leitfaden gerne auch an Ihre Freund*innen und Ihre Familie! Je mehr Menschen sich der Social-Engineering-Taktiken bewusst sind, desto weniger Opfer wird es geben. Wenn Sie noch Fragen haben, können Sie sich gerne an uns wenden: support@mailfence.com.