Social Engineering

Social Engineering ist der Einsatz von Täuschung, um Personen dazu zu bringen, vertrauliche oder persönliche Angaben preiszugeben, die für betrügerische Zwecke genutzt werden können. Diese Art von Cyberangriff kommt schockierend häufig vor, und jeder könnte ein Ziel sein. Tatsache ist: 98 % der Cyberangriffe sind in irgendeiner Form mit Social Engineering verbunden,¹und die Durchschnittsorganisation ist jedes Jahr Ziel von über 700 Social-Engineering-Angriffen².

Nur sehr wenig von dem, was ins Internet gestellt wird, ist privat. „Das Internet ist ewig“, und fast alles, was auf einer Website hochgeladen oder per E-Mail versandt wird, ist abrufbar, sofern es nicht richtig verschlüsselt oder geschützt ist.

Soziale Medien sind die beste Möglichkeit, wie Angreifer Informationen über Sie, Ihre Freunde, Ihre Familie und Ihr Unternehmen sammeln können. Scheinbar harmlose Angaben – zum Beispiel Ihr Bildungsweg, Namen Ihrer Haustiere und Ihr Lieblingsessen – sind oft die Antworten auf Sicherheitsfragen, und Angreifer können diese Informationen verwenden, um Ihre sicheren Accounts zu hacken. Sie können Ihre Angaben auch nutzen, um sich als Sie auszugeben und Phishing-Angriffe gegen andere zu tätigen, oder sie können diese Angaben in künftigen Social-Engineering-Angriffen gegen Sie verwenden.

Dieses Video zeigt, wie gerissen Cyberkriminelle sein können:

Einen Social-Engineering-Angriff erkennen

Es kann schwierig sein, einen Social-Engineering-Angriff zu erkennen, da sich Menschen oft als Amtsträger in einer Position tarnen, in der sie Wissen oder Macht haben. Es gibt einige gängige Methoden von Social-Engineering-Angriffen, die untersucht und dokumentiert wurden: IT-Support, außerplanmäßige Inspektionen, dringende Anfragen und Bedrohungen/Einschüchterungen.

IT-Support

Wenn Sie einen unerwarteten Anruf von der IT-Abteilung erhalten, handelt es sich wahrscheinlich um einen Social-Engineering-Angriff. Der technische Support hat normalerweise so viel zu tun, dass er nicht nach Problemen sucht, die es zu lösen gilt – die Probleme kommen zu ihm. Wenn Sie einen unerwarteten Anruf vom IT-Support erhalten, suchen Sie den Anrufer im Firmenverzeichnis und bitten ihn, zu Ihrem Schreibtisch zu kommen. Sie können ihm auch sagen, dass Sie ihn zurückrufen, und dann direkt den IT-Support anrufen.

Dringende Anfragen

Cyberkriminelle und Betrüger versuchen oft, den Eindruck zu erwecken, dass Eile geboten ist, um andere dazu zu bringen, dass sie handeln, ohne nachzudenken. Treffen Sie nie schnell Entscheidungen und fühlen Sie sich nie unter Druck gesetzt, zu handeln, ohne über die Situation nachzudenken. Wenn Sie kontaktiert werden, antworten Sie, dass Sie sich später mit dem Betreffenden in Verbindung setzen, damit Sie seine Aussage und seine Angaben überprüfen können. Rufen Sie direkt die richtige Website auf und verwenden Sie die korrekten Kontaktangaben. Nehmen Sie sich Zeit und seien Sie versichert, dass seriöse Unternehmen Ihnen Zeit geben, ein legitimes Problem zu untersuchen und sicher zu lösen.

Außerplanmäßige Inspektionen

Ein weiterer Trick von Cyberkriminellen besteht darin, sich als jemand aus der IT-Branche auszugeben. Die Angreifer tragen Klemmbretter bei sich und tragen Uniformen, um glaubwürdiger zu erscheinen. Ihr Ziel besteht darin, in Bereiche mit beschränktem Zugang einzudringen, um Informationen zu erhalten oder Malware zu installieren.

Wenden Sie sich an ihre Vorgesetzten, um die Identität zu überprüfen, und scheuen Sie sich nicht, die Sicherheitsabteilung zu kontaktieren.

Drohung oder Einschüchterung

„Helfen Sie mir, sonst wird der Chef sauer.“

Angreifer machen Ihnen Angst, um Sie zu manipulieren. Sie könnten versuchen, Sie davon zu überzeugen, dass Sie in Schwierigkeiten geraten, wenn Sie ihnen nicht die gewünschten Informationen geben.

Weitere Formen des Social Engineering

• Phishing: Phishing ist eine Social-Engineering-Methode, die darauf abzielt, Personen dazu zu verleiten, auf einen Link zu klicken, einen Anhang zu öffnen oder vertrauliche Informationen wie persönliche Angaben, Angaben zu Bank- oder Kreditkarten oder Passwörter preiszugeben.
• Vishing und Smishing: Vishing (Voice-Phishing) und Smishing (SMS-Phishing) sind Phishing-Angriffe, bei denen Telefonanrufe und Textnachrichten verwendet werden, um Sie dazu zu bringen, persönliche Angaben preiszugeben.
• Ködern: Ködern ist eine spezielle Form des Phishing, bei der der Angreifer etwas als Gegenleistung für eine geringe Zahlung verspricht. Die Gegenleistung ist in der Regel zu schön, um wahr zu sein, und dient dazu, Ihre finanziellen und persönlichen Angaben zu erhalten.
• Tailgating oder Piggybacking: Diese Social-Engineering-Strategien werden verwendet, um unbefugten Zugang zu Bereichen mit Zugangsbeschränkungen zu erhalten. Tailgating bedeutet, dass ein Angreifer einer autorisierten Person ohne deren Wissen dicht hinterherläuft und durch einen Eingang oder eine Tür geht, ohne seine Zugangsberechtigung nachzuweisen. Beim Piggybacking verhält es sich ähnlich, aber hier lässt jemand den Angreifer wissentlich eintreten, weil er ihn für einen Besucher oder Angestellten hält.
• Quishing: Bei dieser Form des Phishing (QR-Phishing) werden QR-Codes verwendet, um Personen dazu zu verleiten, vertrauliche Informationen preiszugeben oder schädliche Software auf ihre Geräte herunterzuladen. Quishing wird von Kriminellen durchgeführt, die an einem gewöhnlichen Ort, z. B. auf einer Speisekarte, einer Werbetafel, einem Plakat oder einer Werbung, einen betrügerischen QR-Code hinzufügen. Der QR-Code wird dann gescannt und leitet Benutzer zu einer schädlichen Website weiter, die darauf abzielt, Zugangsdaten zu stehlen oder Accounts und Geräte zu kompromittieren.

Social-Engineering-Angriffe vermeiden

Vergewissern Sie sich, dass Ihre Datenschutzeinstellungen aktiviert sind, und überprüfen Sie sie oft, um Cyberkriminelle und Angreifer daran zu hindern, Sie anzugreifen. Firmen wie Facebook aktualisieren ihre Datenschutzrichtlinien oft, wodurch Ihre Datenschutzeinstellungen zu den Standardeinstellungen zurückgesetzt werden. Sehen Sie sich Ihre Datenschutzeinstellungen regelmäßig an, um sicherzustellen, dass sie noch Ihren Wünschen entsprechen. Stellen Sie außerdem sicher, dass Ihre Angaben verborgen oder nur für die gewünschte Zielgruppe sichtbar sind (vorzugsweise nur für Ihre Freunde und nicht für Freunde von Freunden).

Ändern Sie nicht nur Ihre Datenschutzeinstellungen, sondern auch Ihr Passwort regelmäßig und aktivieren Sie die mehrstufige Authentifizierung, sofern verfügbar. Vergewissern Sie sich, dass Ihre Passwörter für Ihre Accounts in sozialen Medien genauso sicher sind wie Ihre Passwörter für Ihre anderen persönlichen oder geschäftlichen Accounts. Wie bei Phishing-Angriffen per E-Mail können Angreifer Ihre Zugangsdaten auch über soziale Medien stehlen.

Ihren Instinkten vertrauen

Vertrauen Sie stets Ihren Instinkten und seien Sie wachsam. Wenn etwas nicht richtig scheint, ist es das wahrscheinlich auch nicht. Wenn es darum geht, was normal ist und was nicht, sind Sie die beste Wissensquelle.

Wenn Ihnen etwas Ungewöhnliches auffällt (unerwartete IT-Anrufe, ungewöhnliche Inspektionen, in Ihrem Webbrowser öffnet sich plötzlich eine neue Seite), befolgen Sie die folgenden Richtlinie

• Recherchieren Sie, bevor Sie antworten. Untersuchen Sie die Anfrage, anstatt übereilt zu handeln. Häufig vorkommende Social-Engineering-Angriffe können online dokumentiert sein, und Sie können Informationen darüber finden.
• Vermeiden Sie Links. Wenn Sie sich nicht sicher sind, wer der Absender ist, oder die E-Mail oder Nachricht nicht erwarten, rufen Sie die Quelle direkt auf, um die Authentizität zu überprüfen, anstatt auf einen Link zu klicken.
• Seien Sie vorsichtig. Angreifer geben sich oft als jemand aus, den Sie kennen, oder verwenden einen kompromittierten Account, um Sie zu kontaktieren. Wenn eine Situation ungewöhnlich ist, könnte es sich um einen Social-Engineering-Angriff handeln. In solchen Situationen ist es immer am besten, vorsichtig zu sein.

Social-Engineering-Angriffe gehören zu den häufigsten und gefährlichsten Cyberangriffen in der heutigen technisierten Welt. Sie können jeden treffen und zu jeder Zeit. Dabei kann es sich um einen persönlichen Angriff auf Sie selbst handeln oder um einen Angriff auf Ihre Organisation. Um Ihre Daten zu schützen, müssen Sie lernen, diese Angriffe zu erkennen. Denken Sie daran, vorsichtig mit Ihren persönlichen Angaben umzugehen, wenn Sie online sind, und vertrauen Sie Ihrem Instinkt. Sie sind die beste Verteidigung gegen Social-Engineering-Angriffe.