Social Engineering-Angriffe: Wie man sie erkennt und vermeidet?

Wenn Sie wie die meisten Menschen sind, wissen Sie wahrscheinlich nicht viel über Social Engineering-Angriffe. Oder glauben Sie, dass er nur darauf abzielt, ahnungslose Opfer zu täuschen und ihnen Geld zu stehlen?

Ihnen ist vielleicht nicht bewusst, dass Social Engineering-Techniken viele Formen annehmen können. Und jeder kann einem solchen zum Opfer fallen – sogar Sie.

In diesem Leitfaden erfahren Sie alles, was Sie über Social-Engineering-Angriffe wissen müssen, einschließlich:

• was ein Social Engineering Angriff ist;
• die verschiedenen Formen, die ein Social Engineering-Angriff annehmen kann;
• wie Sie einen Social Engineering-Angriff schnell erkennen können;
• und vor allem, wie Sie vermeiden können, einem solchen zum Opfer zu fallen!

Lassen Sie uns also ohne Umschweife auf Entdeckungsreise gehen!

Was ist Social Engineering?

Das Wichtigste zuerst. Was ist Social Engineering?

Social Engineering umfasst viele Techniken, die unsere menschliche Natur ausnutzen, um Verhaltensweisen und Fehler hervorzurufen, die zu einer Schwächung der Sicherheit führen.

Damit können Cyberkriminelle auf Informationen oder Geld zugreifen oder kontrollieren, wonach sie suchen. Es handelt sich dabei nicht um einen einzelnen Angriff, sondern um eine Gruppe von verschiedenen Betrügereien, die einige Gemeinsamkeiten aufweisen:

• Die Betrüger versuchen, an sensible Informationen oder Geld zu gelangen;
• Sie nutzen das Vertrauen und das menschliche Verhalten aus, um ihre Opfer zu manipulieren und ihre Ziele zu erreichen;
• Sie nutzen die Unwissenheit ihrer Opfer und deren Unfähigkeit, Sicherheitsmaßnahmen zu ergreifen, um sich zu schützen;
• Oftmals verwenden sie persönliche Informationen (Identitätsdiebstahl), um authentischer zu erscheinen.

Erinnern Sie sich an das „geschenkte“ Pferd der alten Griechen an die Stadt Troja? Ein hervorragendes Beispiel aus der Praxis.

Das Herzstück eines jeden Social Engineering-Angriffs ist die Manipulation.

Vergessen Sie die Taktik der rohen Gewalt. Beim Social Engineering verwenden Angreifer manipulative Taktiken, um ihre Opfer dazu zu bringen, sich selbst oder die Sicherheitsmaßnahmen, auf die sie sich verlassen, zu gefährden. Betrüger nehmen Kontakt zu ihren Opfern auf, um Vertrauen zu erwecken und ihre Handlungen zu beeinflussen.

Je besser die Angreifer die Motivationen ihrer Ziele kennen, desto besser können sie sie mit überzeugenden Taktiken zu einem potenziell destruktiven Verhalten verleiten.

Und es funktioniert: Viele Vorfälle im Bereich der Cybersicherheit sind erfolgreiche Social-Engineering-Methoden, die von externen Angreifern durchgeführt werden. Sie spielen mit menschlicher Schwäche, um ihre Opfer unwissentlich dazu zu bringen, Zugang zu sensiblen Informationen oder Geld zu gewähren.

Wie funktionieren Social Engineering-Angriffe?

Wie wir bereits erwähnt haben, beruht Social Engineering auf Manipulation. Sie kann verschiedene Formen annehmen (wie wir später noch untersuchen werden).

Jeder Social Engineering-Angriff nutzt jedoch eine der folgenden menschlichen Eigenschaften aus.

Vertrauen Sie

Der Hacker sendet eine Nachricht , die die Kommunikationscodes eines Unternehmens nachahmt, z. B. das Logo und andere Markenmerkmale (Schriftarten, Schreibstil usw.).

Sie wollen das Opfer dazu verleiten, Dinge zu tun, die es bei dieser speziellen Organisation routinemäßig tun würde (auf einen Link klicken, eine Datei herunterladen usw.), weil es ihr vertraut und die Herkunft der Nachricht nicht hinterfragt.

Einhaltung der Vorschriften der Behörde

Gehorsam gegenüber Autoritäten ist eine weitere menschliche Eigenschaft, die sich Social Engineering-Taktiken zunutze machen können.

Piraten geben sich als hochrangige Personen oder Regierungsbehörden aus, um ihr gehorsames Ziel zu etwas zu bewegen.

Gefühl der Dringlichkeit und/oder Angst

Menschen handeln oft ohne nachzudenken, wenn sie plötzlich ein Gefühl der Panik verspüren.

Sie sind anfällig für Social-Engineering-Betrügereien, die solche Gefühle ausnutzen. Diese Täuschungsmanöver setzen Angst und Dringlichkeit auf verschiedene Weise ein:

• falsche Kreditkartenwarnungen;
• Virenwarnungen;
• Ausnutzung der FOMO (Angst, etwas zu verpassen).

Das in Panik geratene Opfer wird zum Handeln verleitet, ohne sich die Zeit zu nehmen, die Folgen seines Handelns zu bedenken. Oft vergessen sie unter Stress, die Legitimität der Anfrage zu überprüfen.

Gier

Sie würden doch ein Geschenk nicht ablehnen, oder? Betrüger verstehen das.

Deshalb nutzen viele Betrüger unsere Gier aus, um uns mit Geldprämien, kostenlosen iPhones und anderen Preisen zu locken.

Haben Sie schon einmal von dem Betrug der „unerwarteten Erbschaft“ gehört? Dies ist ein klassischer Phishing-Angriff, bei dem Ihnen eine große Geldsumme von einem entfernten Verwandten oder einem wohlhabenden Wohltäter versprochen wird. Das Geld ist angeblich aus irgendeinem unerfindlichen Grund gesperrt… Alles, was Sie tun müssen, ist, die Verwaltungsgebühren zu bezahlen, um das Geld zu erhalten.

Klingt zu schön, um wahr zu sein? Das ist so, weil es so ist! Dies ist ein perfektes Beispiel für einen Betrug, der unsere Anziehungskraft auf Geld, Geschenke oder einfache Belohnungen ausnutzt.

Großzügigkeit

Und schließlich wird unsere Großzügigkeit oft für Social Engineering-Angriffe ausgenutzt.

Angreifer nutzen die Großzügigkeit aus, indem sie in den sozialen Medien recherchieren, was Ihnen wichtig ist, und sich als Organisationen ausgeben, die mit Ihren Anliegen verbunden sind. Sie könnten sich zum Beispiel als eine von Ihnen unterstützte Wohltätigkeitsorganisation ausgeben, um um Spenden zu bitten.

Social Engineering Angriffe: Wie sehen sie aus?

Es gibt viele Arten von Social Engineering-Angriffen mit subtilen Varianten. Hier sind einige der häufigsten.

Phishing-Betrügereien sind die häufigsten Social-Engineering-Angriffe, die heutzutage eingesetzt werden. Phishing-Betrügereien beruhen auf E-Mails, um eine Verbindung mit dem Ziel herzustellen. Es gibt noch weitere spezielle Arten von Phishing-Angriffen, wie zum Beispiel:

• smishing, ein Phishing-Angriff, der auf SMS basiert;
• Vishing, das sich auf tatsächliche Telefongespräche stützt;
• Speer-Phishing, bei dem bestimmte Personen mit persönlichen Informationen angesprochen werden, um den Anschein der Seriosität zu erwecken;
• Whaling-Angriffe, d.h. Phishing-Angriffe, die auf hochrangige Führungskräfte abzielen.

Pretexting ist eine weitere Form des Social Engineering, bei der sich Angreifer darauf konzentrieren, einen plausiblen Vorwand oder ein erfundenes Szenario zu schaffen, um die persönlichen Daten ihrer Opfer zu stehlen.

Köder sind in vielerlei Hinsicht mit Phishing-Angriffen vergleichbar. Was sie jedoch von anderen Arten des Social Engineering unterscheidet, ist das Versprechen eines Gegenstands oder einer Ware, mit dem die Hacker ihre Opfer anlocken, genau wie beim Trojanischen Pferd.

In ähnlicher Weise versprechen Quid-Pro-Quo-Angriffe einen Vorteil im Gegenzug für Informationen. Dieser Nutzen wird in der Regel in Form einer Dienstleistung erbracht, während Köder häufig in Form einer Ware angeboten werden.

Scareware will ihren Opfern vorgaukeln, dass ihr Gerät mit einem Virus infiziert ist und sie eine bestimmte Software kaufen oder herunterladen müssen, um das Problem zu beheben.

Watering Hole-Angriffe finden statt, wenn Angreifer eine Website kompromittieren, die von einer bestimmten Gruppe von Nutzern besucht wird. Wenn diese Benutzer die Website besuchen, werden ihre Geräte mit Malware infiziert.

Bei einer Honigfalle erstellen Angreifer gefälschte Social-Media-Profile, um sich mit den Zielpersonen anzufreunden und durch trügerische Beziehungen vertrauliche Informationen zu erhalten.

Reverse Social Engineering schließlich schafft eine Situation, in der das Opfer um Hilfe bittet, was es dem Angreifer ermöglicht, sich als Helfer auszugeben und sensible Informationen zu erlangen.

Physische Phishing-Angriffe

Phishing-Angriffe können auch in der „echten“, physischen Welt stattfinden.

Die häufigste Form ist das sogenannte„Schulter-Surfen„. Dies ist der Fall, wenn Ihnen jemand direkt über die Schulter schaut, um an Informationen wie Passwörter oder PINs zu gelangen, nachdem er Sie zu einer Aktion gelockt hat, für die Anmeldedaten erforderlich sind.

Ein weiterer Social-Engineering-Angriff ist das sogenannte “ Tailgating“, bei dem jemand versucht, physisch in einen Bereich einzudringen, in dem er sich nicht aufhalten darf.

Gemeinsame Merkmale von Social Engineering-Angriffen

Die meisten dieser Social-Engineering-Angriffe weisen die folgenden Merkmale auf:

• Persönliche Informationen: Angreifer suchen nach Informationen wie Namen, Adressen und Sozialversicherungsnummern.
  
• Link-Verkürzer oder eingebettete Links: Diese Links leiten den Benutzer tatsächlich auf verdächtige Websites in URLs um, die legitim erscheinen.
  
• Malware: Social Engineering kann auch dazu verwendet werden, Malware einzuschleusen, entweder zusätzlich zum Diebstahl der Anmeldedaten des Opfers oder mit dem alleinigen Ziel, das Gerät des Opfers zu kompromittieren.
  

Social Engineering Angriffe in der realen Welt

Nachdem wir uns nun mit der Theorie befasst haben, lassen Sie uns ein paar reale Beispiele für Social Engineering-Betrügereien betrachten.

Der „Fake CEO“-Betrug

Im Jahr 2016 hat das österreichische Luft- und Raumfahrtunternehmen FACC rund 50 Millionen Euro durch einen Social-Engineering-Betrug erhalten, der als „CEO-Fraud“ bekannt ist.

Die Cyberkriminellen gaben sich als CEO des Unternehmens aus und schickten eine E-Mail an die Finanzabteilung mit der Bitte um eine dringende Überweisung.

Die E-Mail erschien legitim und enthielt den typischen Schreibstil des CEOs und sogar eine gefälschte E-Mail-Signatur. Ohne die Anfrage zu überprüfen, überwies ein Mitarbeiter die Gelder auf ein von den Angreifern kontrolliertes Offshore-Konto.

Dieser Fall verdeutlicht, wie wichtig es ist, Finanztransaktionen über sekundäre Kommunikationskanäle zu überprüfen, bevor sie ausgeführt werden. Er unterstreicht auch den Wert der Verwendung digitaler Signaturen. Mit Mailfence können Sie Ihre E-Mails mit einer Verschlüsselung digital signieren, die unwiderlegbar beweist, dass Sie tatsächlich der Verfasser dieser E-Mail sind.

Der Twitter-Bitcoin-Betrug

In einem viel beachteten Social-Engineering-Angriff verschafften sich Cyberkriminelle Zugang zu den internen Tools von Twitter, indem sie sich als IT-Support-Mitarbeiter ausgaben.

Sie manipulierten Mitarbeiter, damit sie ihre Anmeldedaten preisgeben und so die Kontrolle über mehrere hochrangige Konten übernehmen konnten, darunter die von Elon Musk, Bill Gates und Barack Obama.

Die Angreifer nutzten diese Konten, um betrügerische Bitcoin-Werbegeschenke zu posten und die Follower dazu zu verleiten, Kryptowährung zu senden. Dieser Angriff zeigt, wie gefährlich es ist, sich zu sehr auf interne Anmeldedaten zu verlassen, und unterstreicht die Bedeutung von Multi-Faktor-Authentifizierung und Mitarbeiterschulungen zu Social Engineering-Taktiken.

Möchten Sie mehr erfahren? Sehen Sie sich diesen Bericht von Verizon an, in dem die Kosten von Datenschutzverletzungen in der Geschäftswelt untersucht werden.

Die Rolle der Sozialen Medien bei Social Engineering Angriffen

Mit dem Aufkommen von Social-Media-Plattformen haben Betrüger einen noch nie dagewesenen Zugang zu Ihren persönlichen Informationen. Sie müssen nicht mehr Ihr E-Mail-Konto hacken – auf Instagram, TikTok und X! ist alles öffentlich.

Diese Praxis wird als „Social Media Reconnaissance“ bezeichnet. Durch die Analyse von öffentlich zugänglichen Beiträgen können Angreifer:

• Identifizieren Sie den Arbeitsplatz, die berufliche Rolle und die beruflichen Kontakte einer Person.
• Extrahieren Sie persönliche Daten wie Geburtsdaten, Haustiernamen oder Lieblingsorte, die zum Erraten von Passwörtern verwendet werden könnten.
• Informieren Sie sich über bevorstehende Reisepläne, um einen Angriff zu planen, wenn das Opfer weniger wachsam ist.

Mit all diesen Informationen können die Angreifer ihre Phishing-Versuche sehr individuell gestalten. Dies erhöht die Erfolgswahrscheinlichkeit erheblich.

Häufige Angriffe über soziale Medien

Mit einer Fülle von Informationen über Sie können Angreifer leicht einen Spear-Phishing-Angriff durchführen. Über DMs auf Instagram oder X können sie den Anschein erwecken, von einer vertrauenswürdigen Quelle zu stammen, und die Opfer dazu verleiten, auf bösartige Links zu klicken oder Malware herunterzuladen.

Angreifer wissen dank LinkedIn auch, wo Sie arbeiten, seit wann, wo Sie vorher gearbeitet haben usw.

Mit diesen Informationen können sich die Angreifer auf LinkedIn als Führungskräfte des Unternehmens ausgeben und versuchen, betrügerische Transaktionen zu initiieren. Sie können sich auch als Personalvermittler ausgeben und gefälschte Stellenangebote versenden, um persönliche Informationen von Arbeitssuchenden zu erhalten.

Um sich zu schützen, sollten Sie einige Schritte befolgen:

1. Legen Sie strenge Datenschutzeinstellungen für private und berufliche Konten fest.
2. Vermeiden Sie es, zu viele persönliche und arbeitsbezogene Details preiszugeben. Dazu gehören Orte, die Sie besucht haben oder zu besuchen planen, Namen von Verwandten usw.
3. Überprüfen und entfernen Sie regelmäßig Verbindungen mit unbekannten oder verdächtigen Konten.
4. Löschen Sie alle Konten in sozialen Medien, die Sie nicht mehr nutzen. Stellen Sie sicher, dass alle Ihre Informationen gelöscht werden (was Ihr gutes Recht ist).

Social Engineering Angriffe: Wie bleiben Sie sicher?

Nun, da wir die verschiedenen Formen des Social Engineering und ihre Merkmale identifiziert haben, lassen Sie uns darüber sprechen, wie Sie sie vermeiden können!

Im Folgenden finden Sie verschiedene Schritte, die Sie unternehmen sollten, um Social-Engineering-Angriffe zu erkennen und sich vor zukünftigen Angriffen zu schützen.

#1: Nehmen Sie sich Zeit, die Situation zu bewerten

Nehmen Sie sich die Zeit, die ganze Situation zu betrachten und die Nachricht sorgfältig zu prüfen, auch wenn sie recht beunruhigend ist.

• Ist diese Nachricht unerwartet?
• Kommt es von dort, wo es herkommen soll?
• Stellen Sie sicher, dass Sie mit vertrauenswürdigen Kontakten interagieren, indem Sie deren Identität bestätigen. Wenden Sie sich nach Möglichkeit direkt an den Absender, um sich zu vergewissern, dass er gesendet hat, was er erhalten hat.
• Achten Sie auch auf Rechtschreibfehler, Unregelmäßigkeiten im Logo oder andere aufschlussreiche Details. Kommuniziert diese Organisation normalerweise auf diese Weise?
• Auch hier gilt: Nehmen Sie im Zweifelsfall Ihr Telefon und rufen Sie die offizielle Nummer an oder die Nummer, die Sie gewohnt sind anzurufen (und nicht die angegebene Nummer), um weitere Informationen zu erhalten. Dies ist ein wichtiger Schritt bei finanziellen Transaktionen!

#Nr. 2: Überprüfen Sie die URL oder Datei, bevor Sie klicken.

Klicken Sie niemals auf einen Anhang oder einen Link in einer E-Mail, ohne sich vorher zu vergewissern.

In jedem Anhang einer Nachricht kann sich ein Virus oder eine andere Art von Malware, wie z.B. Ransomware, verbergen.

Ein Link in einer Nachricht kann Sie auf eine inszenierte Website führen, die darauf abzielt, Ihre Daten zu stehlen oder Ihr Gerät mit Malware zu infizieren.

Bevor Sie sie anklicken, prüfen Sie sie sorgfältig:

• Gibt es eine Meldung oder eine Eingabeaufforderung, die anzeigt, dass die angehängte Datei Makros enthält? Wenn ja, vergewissern Sie sich, dass Sie keine Makros zum Anzeigen der Datei aktivieren.
• Hatten Sie diese Datei oder diesen Link erwartet?
• Im Zweifelsfall zögern Sie nicht, den Absender direkt zu fragen, ob die Nachricht von ihm stammt (kontaktieren Sie ihn über Ihre üblichen Kontaktmöglichkeiten).
• Wenn Sie Zweifel haben, klicken Sie NICHT! Fragen Sie einen Kollegen, Freund oder ein Familienmitglied, wenn Sie unsicher sind. Oder wenden Sie sich an einen IT-Experten, wenn Sie sich bei der Beurteilung der Situation nicht sicher sind.

#Nr. 3: Achten Sie auf Ihre Wertsachen

Auch wenn Sie kein Millionär sind, besitzen Sie viele Dinge, die die Gier von Cyberkriminellen wecken könnten:

• Ihre Daten (die im dunklen Netz verkauft werden können);
• Software-Zugang, den Sie in dem Unternehmen haben, für das Sie arbeiten;
• detaillierte Konten in sozialen Netzwerken mit zahlreichen Bildern und Kommentaren, die zeigen, was Sie mögen, was Sie unterstützen usw. Das bedeutet, dass es einfach sein wird, ein Profil von Ihnen zu erstellen und die passende Strategie für Sie zu bestimmen. Seien Sie daher vorsichtig mit dem, was Sie in den sozialen Medien teilen.

Nehmen Sie sich die Zeit, Ihre Privilegien und Ihre Kommunikation im Netz zu überprüfen und versuchen Sie zu verstehen, welches Potenzial Sie für jeden Betrüger bieten. Wenn Sie sich dessen bewusst sind, können Sie Social Engineering-Angriffe besser erkennen.

#Nr. 4: Lernen Sie über Social Engineering Betrug

Herzlichen Glückwunsch! Allein durch die Lektüre dieses Leitfadens haben Sie sich bereits weniger anfällig für Social Engineering-Angriffe gemacht.

Aufklärung ist der Schlüssel zur Vermeidung von Social Engineering-Angriffen.

Als Einzelpersonen sind wir in den meisten Fällen aufgrund unseres mangelnden Bewusstseins und Wissens die Ursache für einen möglichen Angriff.

Wenn Sie noch mehr erfahren möchten, können Sie sich diesen Leitfaden über die 7 größten E-Mail-Sicherheitsfehler ansehen, die Sie vermeiden sollten. Sie können auch diesen Leitfaden mit Tipps zum Schutz Ihres Computers lesen oder unseren kostenlosen Kurs zum Thema E-Mail-Sicherheit und Datenschutz besuchen.

#Nr. 5: Verwenden Sie Sicherheitssoftware, um Spam- und Phishing-E-Mails zu vermeiden

Um Ihr Gerät und Ihre Daten vor Cyber-Bedrohungen und Einbruchsversuchen zu schützen, müssen Sie ein Antivirenprogramm verwenden und regelmäßig Backups erstellen.

Aber Sie müssen auch eine sichere E-Mail-Lösung verwenden, um sicherzustellen, dass Nachrichten, die in Ihrem Posteingang eingehen, keine Malware oder bösartige Teile enthalten, und um sie zu blockieren, wenn dies der Fall ist.

E-Mails sind eines der häufigsten Einfallstore für Hacker. Stellen Sie also sicher, dass Sie MFA aktiviert haben, und gewöhnen Sie sich daran, verschlüsselte und digital signierte E-Mails zu versenden.

#Nr. 6: Vermeiden Sie einzelne Fehlerquellen

Ein „Single Point of Failure “ ist ein gängiger Begriff, der beschreibt, dass Sie alles auf eine Karte setzen. Wenn dieser Punkt durchbrochen wird, sind alle Ihre Daten gefährdet. Deshalb sollten Sie es vermeiden, alle Ihre Konten mit Facebook oder Gmail zu verbinden.

Je stärker Ihre Konten miteinander verflochten und voneinander abhängig sind, desto mehr Schaden kann Ihnen eine Sicherheitsverletzung zufügen.

#Nr. 7: Eindeutige Logins und sichere Passwörter

Verwenden Sie in Verbindung mit Nr. 6 verschiedene Logins für jeden Dienst und starke, eindeutige Passwörter. Erwägen Sie die Verwendung von E-Mail-Aliasnamen und Passwortmanagern zur Verwaltung Ihrer Anmeldedaten.

#Nr. 8: Werden Sie kreativ mit Sicherheitsfragen

Dieser Punkt mag trivial klingen. Aber die zusätzlichen Sicherheitsfragen, die Websites Ihnen stellen, dienen in der Regel dazu, eine 2-Schritt-Verifizierung (2SV) einzurichten.

Seien Sie also kreativ und vermeiden Sie leicht zu erratende Antworten wie Ihr Geburtsdatum oder Ihren Geburtsort. Ein Hacker wird diese in wenigen Minuten finden. Verwechseln Sie 2SV auch nicht mit der Multi-Faktor-Authentifizierung (MFA) oder TFA, die wir Ihnen ohnehin dringend empfehlen, einzurichten.

#Nr. 9: Verwenden Sie Kreditkarten mit Bedacht

Wenn Sie eine Debitkarte verwenden und ein Hacker sich Zugang zu der Nummer verschafft, könnte Ihr gesamtes Bankkonto leergeräumt werden. Sie können Ihre Kreditkarte noch besser schützen, indem Sie keine Kartennummern auf Websites speichern oder Wegwerf- oder virtuelle Kartennummern verwenden (angeboten von Citibank, Bank of America und Discover).

#Nr. 10: Überwachen Sie häufig Ihre Konten

Seien Sie auf der Hut vor Identitätsdiebstahl und Kreditkartenbetrug. Überprüfen Sie regelmäßig Ihre Kontostände und Ihre Kreditwürdigkeit.

Letztes Wort zu Social-Engineering-Angriffen

Damit ist unser Leitfaden über Social-Engineering-Angriffe abgeschlossen. Hoffentlich wissen Sie jetzt besser, was Social Engineering ist und wie Sie es erkennen können.

Schicken Sie diesen Leitfaden auch an Ihre Freunde und Familie! Je mehr Menschen sich der Social-Engineering-Taktiken bewusst sind, desto weniger Opfer wird es geben. Wenn Sie noch Fragen haben, können Sie sich gerne an uns wenden: support@mailfence.com

Möchten Sie tiefer eintauchen? Lesen Sie diesen Bericht von IBM, der zeigt, wie Cyberkriminelle die Identität von Menschen für ihre Angriffe ausnutzen.

Social Engineering: FAQs