Was Sie über Social Engineering wissen sollten

Gegen diese Angriffe helfen keine Firewall und kein Virenschutzprogramm: Die Rede ist von Social Engineering. Die Masche ist uralt – funktioniert aber noch immer hervorragend.

Mitarbeiter laden bösartige Dateien herunter, klicken auf Phishing-Links, korrespondieren mit Hackern und geben Kontaktinformationen von Kollegen preis – Social Engineering ist äußerst wirksam und ein echter Klassiker im Werkzeugkasten von Cyber-Kriminellen.

Am 30. Juni 2010 rief die britisch-amerikanische Nachrichtenseite Mashable den Social Media Day ins Leben, um die Vorteile von Social Media für die internationale Kommunikation zu feiern. Und obwohl soziale Medien unser Leben in vielerlei Hinsicht bereichert haben, begünstigen sie auch den Onlinebetrug. Feiern wir also die guten Seiten, aber seien wir uns auch der schlechten Seiten bewusst – ganz besonders Social Engineering.

Angriff auf die Emotionen

Social Engineering ist die Kunst, Computernutzern Passwörter, Bankdaten oder andere vertrauliche Informationen zu entlocken – und zwar komplett freiwillig. Wie kann das gelingen?

Psychologen haben herausgefunden, dass Menschen dazu neigen, Logik und Fakten zu ignorieren, wenn sie emotionale Entscheidungen treffen. Genau darauf haben sich Kriminelle spezialisiert: Gefühle zu erzeugen und sie dann auszunutzen. Anstatt beispielsweise zu versuchen, eine Sicherheitslücke in einem Programm zu finden, ist es viel einfacher, einen Mitarbeiter anzurufen, sich als Kollege aus dem IT-Support auszugeben und direkt nach dem Passwort des Mitarbeiters zu fragen.

Solche Methoden funktionieren auch außerhalb der digitalen Welt sehr gut. Unzählige Menschen sind schon an der Haustür auf verkleidete Polizisten oder Handwerker hereingefallen.

Gängige Social Engineering-Techniken

Bei Social Engineering-Angriffen sammeln die Täter zunächst so viele Informationen wie möglich über die Zielperson oder das Zielunternehmen (falls sie hinter vertraulichen Unternehmensdaten her sind). Sind Sie ins Visier eines Social Engineers geraten, werden Sie im Handumdrehen zum Forschungsprojekt. Dabei nutzen die Angreifer verschiedene Methoden:

  1. Sie googlen Sie (oder nutzen andere Suchmaschinen): Je mehr die Angreifer über Sie wissen, desto einfacher können sie Kontakt zu Ihnen aufnehmen und Ihr Vertrauen gewinnen.
  2. Sie spionieren Sie in sozialen Netzwerken aus: Wenn Betrüger wissen, in welchen Facebook-Gruppen Sie sind, welche Videos Sie auf YouTube ansehen, welche Bilder Sie auf Instagram liken und was Sie auf Pinterest pinnen, können sie glaubwürdigere Geschichten konstruieren, um Sie hereinzulegen.
  3. Sie sehen sich Ihre Kontakte an (über LinkedIn und Ihre Unternehmens-Website) und informieren sich über die Strukturen in Ihrem Unternehmen. So können Angreifer später in die Rolle eines Mitarbeiter dieses Unternehmens schlüpfen.

Die häufigsten Social Engineering-Angriffe

Phishing

Phishing macht 90 % aller Datenschutzverletzungen aus. Jeden Monat werden 5 Millionen neue Phishing-Websites erstellt. Diese Social Engineering-Angriffe werden in der Regel über E-Mails, Chats, Internet-Werbung oder Websites ausgeübt. Hierbei gibt sich der Angreifer als echte Person oder Unternehmen aus. Auf gefälschten Websites werden Nutzer beispielsweise gebeten, ihr Kennwort zurückzusetzen oder vertrauliche Daten wie Kreditkartendaten oder Telefonnummern einzugeben.

Spear-Phishing

Spear-Phishing ist eine besonders ausgefeilte Phishing-Variante, die auf die oberste Führungsebene von Unternehmen abzielt. Erbeutet werden sollen Daten, interne Informationen und der Zugriff auf unternehmenseigene Tools. Hier suchen Betrüger den direkten Kontakt zum Opfer. Mal geben sie sich per E-Mail als System-Administrator aus, mal als Kollege bei Facebook. Manchmal wagen die Gauner sogar einen direkten Telefonanruf.

Quid Pro Quo

Quid pro quo ist Latein für „dies für das“ und beschreibt eine Social Engineering-Masche, die Opfer mit einem bestimmten Versprechen ködert, wenn sie im Gegenzug Informationen preisgeben. Am häufigsten geben sich Quid-pro-Quo-Angreifer als IT-Mitarbeiter aus. Sie rufen sämtliche Angestellte im Unternehmen an und versprechen ihnen eine schnelle, unkomplizierte Lösung. Dazu müssen die Opfer „nur ihr Antiviren-Programm ausschalten“. Statt einer Lösung wird dann jedoch Malware auf dem Computer installiert.

Social Engineering in Zahlen

Eine 2018 vom US-Telekommunikations-Unternehmen Verizon durchgeführte Studie fand heraus, dass es sich bei 33 % aller 41.686 Sicherheitsvorfälle im Jahr 2018 um Social Engineering-Angriffe handelte.

Der Sicherheitsanbieter Positive Technologies zeigte mit einer anderen Studie, wie gut Social Engineering-Angriffe generell funktionieren. Im Rahmen dieser Studie wurden 3.300 E-Mails an Mitarbeiter von unterschiedlichen Unternehmen versendet – mit diesem Ergebnis:

  • 17 % aller Social Engineering-Angriffe waren erfolgreich und hätten zu einer Gefährdung des Arbeitsplatzes des Mitarbeiters sowie möglicherweise des gesamten Unternehmensnetzwerks geführt.
  • 27 % der Mitarbeiter klickten auf einen per E-Mail versendeten Phishing-Link, was solche Angriffe zur effektivsten Social Engineering-Methode macht. Offenbar sind viele Nutzer nicht in der Lage, gefälschte Internet-Seiten zu erkennen.

Das hilft gegen Social Engineering

Anders als bei Viren und anderen gängigen Angriffen kann Sicherheits-Software wie Avira Free Security nicht in jedem Fall helfen. Meistens erkennen diese Programme aber infizierte Anhänge und oft sogar gefälschte Websites.

Der beste Schutz gegen Social Engineering ist kein Programm, sondern sind Sie selbst. Geben Sie Informationen nur nach guter Überlegung preis, seien Sie skeptisch und halten Sie Ihre Neugier im Zaum.

  • Öffnen Sie keine E-Mails oder Anhänge von verdächtigen Absendern.
  • Glauben Sie nicht gleich jedem verlockenden Angebot. Wenn es Ihnen zu gut erscheint, um wahr zu sein, dann ist es das wahrscheinlich auch.
  • Nutzen Sie eine Zwei-Faktor-Authentifizierung. Denn eine weitere Sicherheitsebene für Ihre Online-Konten kann definitiv nicht schaden.
  • Verwenden Sie eine aktuelle Antiviren-Software. Halten Sie sich über die neuesten Malware-Arten auf dem Laufenden, denn Vorsicht ist besser als Nachsicht.
  • Gehen Sie nicht auf Aufforderungen ein, bei denen Sie persönliche Informationen oder Passwörter angeben sollen.
  • Lehnen Sie unaufgeforderte Hilfsangebote und Ratschläge ab. Social Engineering-Betrüger fragen Sie entweder direkt nach bestimmten Informationen oder bieten Ihnen Hilfe als Gegenleistung an, beispielsweise in Form von technischem Support.

Sie denken jetzt vielleicht, dass das doch sicherlich jedem Internet-Nutzer klar ist. Und dass Sie nie auf eine so plumpe Masche reinfallen würden. Genau aus diesem Grund nennt man Social Engineering-Schwindler auch Trickbetrüger – mit ihren Tricks können sie jeden dazu bringen, fast alles zu glauben. Wenn Sie einmal echte „Hacker“ in Aktion sehen wollen, können Sie Social Engineer David Kennedy dabei beobachten, wie er seine Telefonnummer fälscht, um einen unternehmensinternen Anruf vorzutäuschen. Mit dieser Vorgehensweise bringt er einen Mitarbeiter dazu, auf einen Link zu klicken, um sich anschließend Zugriff auf dessen Computer zu verschaffen.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischSpanischItalienischPortugiesisch, Brasilien

Content Manager
Former journalist. Storyteller at heart.