Was ist Social Engineering?

Eine E-Mail, die von einem vertrauenswürdigen Kollegen zu stammen scheint, der nach vertraulichen Informationen fragt, eine angeblich vom Finanzamt gesendete besorgniserregende Sprachnachricht, von einem ausländischen Machthaber angebotene Reichtümer – das sind nur einige Beispiele für Social Engineering. Da das Social Engineering mit psychologischer Manipulation arbeitet und sich eher die menschlichen Fehler oder Schwächen als die Sicherheitslücken in technischen oder digitalen Systemen zunutze macht, wird es manchmal auch als „Human Hacking“ bezeichnet.

Cyberkriminelle nutzen häufig Social-Engineering-Taktiken, um an persönliche Daten oder Finanzinformationen zu gelangen, darunter Zugangsdaten, Kreditkarten-, Konto- und Sozialversicherungsnummern. Sie nutzen die gestohlenen Informationen für einen Identitätsdiebstahl, um Einkäufe mit dem Geld oder Guthaben anderer Personen zu tätigen, Kredite oder Arbeitslosengeld im Namen anderer zu beantragen und mehr.

Ein Social-Engineering-Angriff kann aber auch die Vorstufe zu einem größer angelegten Cyberangriff darstellen. So könnte zum Beispiel ein Cyberkrimineller ein Opfer dazu bringen, Benutzernamen und Passwort zu teilen, und mit diesen Zugangsdaten dann Ransomware im Netzwerk des Arbeitgebers des Opfers platzieren.

Social Engineering ist für Cyberkriminelle attraktiv, denn es verschafft ihnen Zugang zu digitalen Netzen, Geräten und Konten, ohne dass sie mit hohem technischem Aufwand Firewalls, Antivirensoftware und andere Maßnahmen für die Cybersicherheit umgehen müssen.

Dies ist einer der Gründe, warum Social Engineering laut ISACAs State of Cybersicherheit Bericht 2022 heute die Hauptursache für Netzwerkkompromittierungen darstellt. Laut dem Data Breach Kostenreport von IBM gehören Sicherheitsverletzungen, die durch Social-Engineering-Taktiken (wie Phishing und E-Mail-Kompromittierung im Unternehmen) verursacht wurden, zu den kostspieligsten.

Die Taktiken und Techniken des Social Engineering stützen sich auf die Wissenschaft der menschlichen Motivation. Die Emotionen und Instinkte der Opfer werden auf eine Weise manipuliert, die Menschen nachweislich zu Handlungen verleitet, die ihren Interessen zuwiderlaufen.

Die meisten Social-Engineering-Angriffe wenden eine oder mehrere der folgenden Taktiken an:

• Auftreten als vertrauenswürdige Marke: Betrüger nehmen oft die Identität von Unternehmen an, die den Opfern bekannt sind, denen sie vertrauen und mit denen sie vielleicht oft oder so regelmäßig Geschäfte tätigen, dass sie die von diesen Marken stammenden Anweisungen ohne entsprechende Vorkehrungen ganz automatisch befolgen. Manche Social-Engineering-Betrüger nutzen weit verbreitete Sets zum Erstellen gefälschter Websites, die denen großer Marken oder Unternehmen ähneln.

• Auftreten als staatliche Behörde oder Autoritätsperson: Die Menschen vertrauen, respektieren oder fürchten Autoritäten (in unterschiedlichem Maße). Social-Engineering-Angriffe machen sich diese Instinkte zunutze und versenden Nachrichten, die angeblich von staatlichen Behörden (z. B. vom Bundeskriminalamt oder dem Finanzamt), von politischen Persönlichkeiten oder sogar von Prominenten stammen.

• Erzeugen von Angst oder Handlungsdruck: Menschen neigen zu voreiligem Handeln, wenn sie Angst haben oder unter Zeitdruck stehen. Bei Social-Engineering-Betrug können zahlreiche Techniken zum Einsatz kommen, um bei den Opfern Angst oder Dringlichkeit zu erzeugen. Sie teilen dem Opfer zum Beispiel mit, dass eine kürzlich erfolgte Kredittransaktion nicht genehmigt wurde, dass ein Virus seinen Computer infiziert hat, dass ein auf seiner Website verwendetes Bild ein Urheberrecht verletzt usw. Social Engineering kann auch die Angst der Opfer, etwas zu verpassen (FOMO) ansprechen, wodurch eine andere Art von Dringlichkeit entsteht.

• Appellieren an die Habgier: Die Betrugsmasche mit dem nigerianischen Prinzen – eine E-Mail, in der sich jemand als Angehöriger des nigerianischen Königshauses ausgibt, der aus seinem Land zu fliehen versucht, und bei Übermittlung der Kontodaten des Empfängers und eines kleinen Vorschusses eine gigantische Belohnung in Aussicht stellt – ist eines der bekanntesten Beispiele für das an die Habgier appellierende Social Engineering. Diese Art von Social-Engineering-Angriff kann auch von einer angeblichen Autoritätsperson ausgehen und erzeugt ein Gefühl der Dringlichkeit – eine wirkungsvolle Kombination. Diese Betrugsmasche ist so alt wie die E-Mail selbst, brachte aber im Jahr 2018 immer noch 700.000 US-Dollar pro Jahr ein.

• Appellieren an die Hilfsbereitschaft oder Neugier: Social-Engineering-Maschen können auch an die gute Seite der Opfer appellieren. Eine scheinbar von einem Freund oder einer Social-Networking-Seite stammende Nachricht kann beispielsweise technische Hilfe anbieten, zur Teilnahme an einer Umfrage auffordern, behaupten, der Beitrag des Empfängers sei viral gegangen, und einen falschen Link zu einer gefälschten Website oder einem Malware-Download bereitstellen.

Phishing-Angriffe sind digitale Nachrichten oder Sprachnachrichten, die versuchen, die Empfänger zu manipulieren, um an vertrauliche Informationen zu gelangen, Schadsoftware herunterzuladen, Geld oder Vermögenswerte an die falschen Personen zu übertragen oder andere schädigende Maßnahmen zu ergreifen. Betrüger gestalten Phishing-Nachrichten so, dass sie aussehen oder klingen, als ob sie von einem vertrauenswürdigen oder glaubwürdigen Unternehmen oder Person stammen – manchmal sogar von einer Person, die der Empfänger persönlich kennt.

Es gibt viele Arten von Phishing-Scam:

• Massen-Phishing-E-Mails werden Millionen von Empfängern gleichzeitig zugesendet. Sie scheinen von einem großen, bekannten Unternehmen oder einer Organisation gesendet worden zu sein, wie z. B. einer nationalen oder globalen Bank, einem bekannten Online-Händler, einem beliebten Online-Zahlungsanbieter und so weiter. In diesen E-Mails werden allgemeine Anfragen geäußert, z. B. „Wir haben Probleme bei der Verarbeitung Ihres Kaufs. Bitte aktualisieren Sie Ihre Kreditdaten“. Häufig enthalten diese Nachrichten einen bösartigen Link, der den Empfänger zu einer gefälschten Website führt, die den Benutzernamen, das Passwort, seine Kreditkartendaten und mehr erfasst.

• Spear-Phishing zielt auf eine bestimmte Person ab. Dabei handelt es sich in der Regel um eine Person mit privilegiertem Zugriff auf Benutzerinformationen, das Computernetzwerk oder finanzielle Mittel des Unternehmens. Ein Betrüger untersucht die Zielperson, oft unter Verwendung von Informationen, die auf LinkedIn, Facebook oder anderen sozialen Medien gefunden werden, um eine Nachricht zu verfassen, die von jemandem zu stammen scheint, den die Zielperson kennt und dem sie vertraut, oder die sich auf Situationen bezieht, die der Zielperson vertraut sind. Whale-Phishing ist ein Spear-Phishing-Angriff auf eine hochrangige Person, z. B. einen CEO oder eine Persönlichkeit aus der Politik. Beim Business Email Compromise (BEC) versendet der Hacker anhand kompromittierter Zugangsdaten E-Mail-Nachrichten vom tatsächlichen E-Mail-Account einer Autoritätsperson, wodurch sich der Betrug viel schwerer erkennen lässt.

• Voice-Phishing oder Vishing ist Phishing, das über Telefonanrufe durchgeführt wird. Vishing erlebt man im Allgemeinen in Form von besorgniserregenden aufgezeichneten Anrufen, die angeblich vom FBI stammen.

• SMS-Phishing oder Smishing ist Phishing per Textnachricht.

• Suchmaschinen-Phishing umfasst das Erstellen schädlicher Websites durch Hacker, die in den Ergebnissen für beliebte Suchbegriffe weit oben stehen.

• Angler-Phishing ist Phishing mit gefälschten Social-Media-Konten, die sich als offizielle Konten des Kundendienstes oder der Kundensupportteams vertrauenswürdiger Unternehmen ausgeben.

Laut dem IBM® X-Force Threat Intelligence Index ist Phishing der führende Malware-Infektionsvektor und wurde in 41 % aller Vorfälle identifiziert. Laut dem Data Breach Kostenreport ist Phishing der erste Angriffsvektor, der zu den kostspieligsten Datenschutzverletzungen führt.

Beim Baiting werden die Opfer mit einem Köder in Form eines wertvollen Angebots oder sogar eines wertvollen Objekts dazu verlockt, wissentlich oder unabsichtlich vertrauliche Informationen preiszugeben oder schädlichen Code herunterzuladen.

Die Betrugsmasche mit dem nigerianischen Prinzen ist wahrscheinlich das bekannteste Beispiel für diese Social-Engineering-Technik. Aktuellere Beispiele sind kostenlose, aber mit Malware infizierte Spiele-, Musik- oder Softwaredownloads. Manche Formen des Baitings sind allerdings weniger raffiniert. Zum Beispiel hinterlassen einige Bedrohungsakteure mit Malware infizierte USB-Sticks an Orten, wo Menschen sie finden, mitnehmen und verwenden, weil sie denken „hey, ein kostenloser USB-Stick“.

Beim Tailgating – auch „Piggybacking“ genannt – folgt eine unbefugte Person einer befugten Person in einen Bereich mit vertraulichen Informationen oder wertvollen Assets. Das Tailgating kann persönlich durchgeführt werden, beispielsweise kann ein Bedrohungsakteur einem Mitarbeiter durch eine unverschlossene Tür folgen. Es kann aber auch eine digitale Taktik sein, etwa wenn eine Person einen immer noch in einem privaten Konto oder Netz angemeldeten Computer unbeaufsichtigt lässt.

Beim Pretexting erzeugt der Bedrohungsakteur eine falsche Situation für das Opfer und gibt sich als die richtige Person aus, die das Problem beheben kann. Sehr oft behauptet der Betrüger, das Opfer sei von einer Sicherheitsverletzung betroffen und bietet dann an, das Problem zu beheben, wenn das Opfer wichtige Kontoinformationen oder die Kontrolle über den Computer oder das Gerät des Opfers überlässt. Technisch gesehen umfasst fast jeder Social-Engineering-Angriff ein gewisses Maß an Pretexting.

Bei einem Quid-pro-quo-Angriff locken Hacker das Opfer mit einer begehrenswerten Ware oder Leistung gegen Preisgabe vertraulicher Informationen. Vorgetäuschte Gewinnspiele oder scheinbar harmlose Treueprämien („danke für deine Zahlung, wir haben ein Geschenk für dich“) sind Beispiele für die Quid-pro-quo-Masche.

Bei der ebenfalls als Form von Malware geltenden Scareware handelt es sich um Software, die bei den Menschen Angst erzeugt und sie so dazu bringt, vertrauliche Informationen weiterzugeben oder Malware herunterzuladen. Scareware erreicht das Opfer oft in Form eines gefälschten Bescheids einer Strafverfolgungsbehörde, in der es einer Straftat beschuldigt wird, oder in Form einer gefälschten Nachricht des technischen Supports, in der es vor Malware auf seinem Gerät gewarnt wird.

Der Ausdruck „jemand hat das Wasserloch vergiftet“ bedeutet, dass Hacker bösartigen Code in eine legitime Webseite einschleusen, die von ihren Zielen häufig besucht wird. Watering-Hole-Angriffe sind für alles verantwortlich – von gestohlenen Anmeldedaten bis hin zu unwissentlichen Drive-by-Ransomware-Downloads.

Social-Engineering-Angriffe sind offenkundig schwer zu verhindern, da sie sich eher die menschliche Psyche als technische Strategien zunutze machen. Auch die Angriffsfläche ist von Bedeutung: In einem größeren Unternehmen genügt der Fehler eines einzigen Mitarbeiters, um die Integrität des gesamten Unternehmensnetzwerks in Gefahr zu bringen. Zu den von Experten empfohlenen Maßnahmen zur Minderung des Risikos und des Erfolgs von Social-Engineering-Betrug gehören unter anderem:

• Schulungen zum Sicherheitsbewusstsein: Viele Benutzer wissen nicht, wie Social-Engineering-Angriffe zu erkennen sind. In einer Zeit, in der Benutzer häufig personenbezogene Daten für Waren und Dienstleistungen angeben, ist ihnen nicht bewusst, dass scheinbar alltägliche Informationen wie Telefonnummer oder Geburtsdatum Hackern den Zugang zu einem Konto ermöglichen können. Schulungen zum Sicherheitsbewusstsein in Kombination mit Datensicherheitsrichtlinien können den Mitarbeitern beibringen, wie sie ihre vertraulichen Daten schützen und laufende Social-Engineering-Angriffe erkennen und abwehren können.

• Zugriffssteuerungsrichtlinien: Mit sicheren Richtlinien und Technologien für die Zugriffssteuerung, zu denen Multi-Faktor-Authentifizierung, adaptive Authentifizierung und ein Zero-Trust-Sicherheitskonzept gehören, lässt sich der Zugriff auf vertrauliche Informationen und Assets im Unternehmensnetzwerk durch Cyberkriminelle selbst dann begrenzen, wenn sie sich Zugangsdaten von Benutzern beschaffen können.

• Technologien für die Cybersicherheit: Spam-Filter und sichere E-Mail-Gateways können verhindern, dass Phishing-Angriffe die Mitarbeiter überhaupt erreichen. Firewalls und Antivirensoftware begrenzen das Ausmaß des Schadens durch Angreifer, die sich Zugang zum Netz verschaffen. Die Aktualisierung von Betriebssystemen mit den neuesten Patches kann ebenfalls einige Sicherheitslücken schließen, die Angreifer durch Social Engineering nutzen. Außerdem helfen fortschrittliche Erkennungs- und Reaktionslösungen, einschließlich Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR), Sicherheitsteams dabei, Sicherheitsbedrohungen, die das Netzwerk durch Social-Engineering-Taktiken infizieren, schnell zu erkennen und zu neutralisieren.