Was ist Social Engineering?

Die Taktiken und Techniken des Social Engineering stützen sich auf die Wissenschaft der menschlichen Motivation. Die Emotionen und Instinkte der Opfer werden auf eine Weise manipuliert, die Menschen nachweislich zu Handlungen verleitet, die ihren Interessen zuwiderlaufen.

Die meisten Social-Engineering-Angriffe wenden eine oder mehrere der folgenden Taktiken an:

• Auftreten als vertrauenswürdige Marke: Betrüger nehmen oft die Identität von Unternehmen an, die den Opfern bekannt sind, denen sie vertrauen und mit denen sie vielleicht oft oder regelmäßig Geschäfte tätigen – so regelmäßig, dass sie die von diesen Marken stammenden Anweisungen ohne entsprechende Vorkehrungen ganz automatisch befolgen. Manche Social-Engineering-Betrüger nutzen weit verbreitete Kits zum Erstellen gefälschter Websites, die denen großer Marken oder Unternehmen ähneln.
   

• Auftreten als staatliche Stelle oder Autoritätsperson: Die Menschen vertrauen, respektieren oder fürchten Autoritäten (in unterschiedlichem Maße). Social-Engineering-Angriffe machen sich diese Instinkte zunutze und versenden Nachrichten, die angeblich von staatlichen Stellen (z. B. dem FBI oder dem Finanzamt), von politischen Persönlichkeiten oder sogar von Prominenten stammen.
   

• Erzeugen von Angst oder Handlungsdruck: Menschen neigen zu voreiligem Handeln, wenn sie Angst haben oder unter Zeitdruck stehen. Bei Social-Engineering-Betrug können zahlreiche Techniken zum Einsatz kommen, um bei den Opfern Angst oder Dringlichkeit zu erzeugen. Sagen Sie dem Opfer zum Beispiel, dass eine kürzlich erfolgte Kredittransaktion nicht genehmigt wurde, dass ein Virus seinen Computer infiziert hat, dass ein auf seiner Website verwendetes Bild ein Urheberrecht verletzt usw. Social Engineering kann auch die Angst der Opfer, etwas zu verpassen (FOMO) ansprechen, wodurch eine andere Art von Dringlichkeit entsteht.
   

• Appellieren an die Habgier: Die Betrugsmasche mit dem nigerianischen Prinzen – eine E-Mail, in der sich jemand als Angehöriger des nigerianischen Königshauses ausgibt, der aus seinem Land zu fliehen versucht, und bei Übermittlung der Kontodaten des Empfängers und eines kleinen Vorschusses eine gigantische Belohnung in Aussicht stellt – ist eines der bekanntesten Beispiele für das an die Habgier appellierende Social Engineering. Diese Art von Social-Engineering-Angriff kann auch von einer angeblichen Autoritätsperson ausgehen und erzeugt ein Gefühl der Dringlichkeit – eine wirkungsvolle Kombination. Dieser Betrug ist so alt wie die E-Mail selbst, doch im Jahr 2018 wurden damit immer noch 700.000 US-Dollar pro Jahr erwirtschaftet.
   

• Appellieren an die Hilfsbereitschaft oder Neugier: Social-Engineering-Maschen können auch an die gute Seite der Opfer appellieren. Eine scheinbar von einem Freund oder einer Social-Networking-Site stammende Nachricht kann beispielsweise technische Hilfe anbieten, zur Teilnahme an einer Umfrage auffordern, behaupten, der Beitrag des Empfängers sei viral gegangen, und einen gefälschten Link zu einer gefälschten Website oder einem Malware-Download bereitstellen.

Phishing

Phishing-Angriffe sind digitale Nachrichten oder Sprachnachrichten, die versuchen, die Empfänger zu manipulieren, um vertrauliche Informationen zu teilen, Schadsoftware herunterzuladen, Geld oder Vermögenswerte an die falschen Personen zu übertragen oder andere schädliche Maßnahmen zu ergreifen. Betrüger gestalten Phishing-Nachrichten so, dass sie aussehen oder klingen, als ob sie von einer vertrauenswürdigen oder glaubwürdigen Organisation oder Person stammen würden – manchmal sogar von einer Person, die der Empfänger persönlich kennt.

Es gibt viele Arten von Phishing-Scam:

• Massen-Phishing-E-Mails werden Millionen von Empfängern gleichzeitig zugesendet. Sie scheinen von großen, namhaften Unternehmen oder Organisationen zu stammen – von einer nationalen oder globalen Bank, einem großen Online-Händler, einem beliebten Online-Zahlungsanbieter usw. – und enthalten eine allgemeine Bitte, wie zum Beispiel „Wir haben Probleme bei der Verarbeitung Ihres Kaufs. Bitte aktualisieren Sie Ihre Kreditdaten“. Häufig enthalten diese Nachrichten einen bösartigen Link, der den Empfänger zu einer gefälschten Website führt, die den Benutzernamen, das Passwort, die Kreditkartendaten des Empfängers und mehr erfasst.
   

• Spear-Phishing zielt auf eine bestimmte Person ab. Dabei handelt es sich in der Regel um eine Person mit privilegiertem Zugriff auf Benutzerinformationen, das Computernetz oder finanzielle Mittel des Unternehmens. Ein Betrüger untersucht die Zielperson häufig anhand von Informationen, die er auf LinkedIn, Facebook oder anderen sozialen Medien findet, und erstellt eine Nachricht, die von jemandem stammt, den die Zielperson kennt und vertraut, oder sich auf Situationen bezieht, die der Zielperson vertraut sind. Whale-Phishing ist ein Spear-Phishing-Angriff auf eine hochrangige Person, z. B. einen CEO oder eine Persönlichkeit aus der Politik. Beim Business Email Compromise (BEC) versendet der Hacker anhand kompromittierter Anmeldedaten E-Mail-Nachrichten vom tatsächlichen E-Mail-Account einer Autoritätsperson, wodurch sich der Betrug viel schwerer erkennen lässt.
   

• Voice-Phishing oder Vishing ist Phishing, das über Telefonanrufe durchgeführt wird. Vishing erlebt man im Allgemeinen in Form von besorgniserregenden aufgezeichneten Anrufen, die angeblich vom FBI stammen. IBM X-Force® hat kürzlich festgestellt, dass das Hinzufügen von Vishing zu einer gezielten Phishing-Kampagne den Erfolg einer Kampagne um das Dreifache steigern kann.
   

• SMS-Phishing oder Smishing ist Phishing per Textnachricht.
   

• Beim Suchmaschinen-Phishing gestalten Hacker schädliche Websites, die in den Suchergebnissen für häufige Suchbegriffe weit oben stehen.
  

• Angler-Phishing ist Phishing mit gefälschten Social-Media-Konten, die sich als offizielle Konten des Kundendienstes oder der Kundensupportteams vertrauenswürdiger Unternehmen ausgeben.

Laut IBM Security X-Force Threat Intelligence Index 2023 ist Phishing der an erster Stelle stehende Malware-Infizierungsvektor. Er wurde bei 41 % aller Vorfälle festgestellt. Außerdem ist Phishing dem Bericht über die Kosten einer Datenschutzverletzung von 2022 zufolge der anfängliche Angriffsvektor, der die kostspieligsten Datenschutzverletzungen zur Folge hat.

Baiting

Beim Baiting werden die Opfer mit einem Köder in Form eines wertvollen Angebots oder sogar eines wertvollen Objekts dazu verlockt, wissentlich oder unabsichtlich vertrauliche Informationen preiszugeben oder schädlichen Code herunterzuladen.

Die Betrugsmasche mit dem nigerianischen Prinzen ist wahrscheinlich das bekannteste Beispiel für diese Social-Engineering-Technik. Aktuellere Beispiele sind kostenlose, aber mit Malware infizierte Spiele-, Musik- oder Softwaredownloads. Manche Formen des Baitings sind allerdings nicht besonders raffiniert. Manche Bedrohungsakteure hinterlassen beispielsweise mit Malware infizierte USB-Sticks an Orten, wo die Leute sie finden, mitnehmen und verwenden, nach dem Motto „hey, kostenloser USB-Stick“.

Tailgating

Beim Tailgating – auch „Piggybacking“ genannt – folgt eine unbefugte Person einer befugten Person in einen Bereich mit vertraulichen Informationen oder wertvollen Assets. Das Tailgating kann persönlich durchgeführt werden, beispielsweise kann ein Bedrohungsakteur einem Mitarbeiter durch eine unverschlossene Tür folgen. Es kann aber auch eine digitale Taktik sein, etwa wenn eine Person einen immer noch in einem privaten Konto oder Netz angemeldeten Computer unbeaufsichtigt lässt.

Pretexting

Beim Pretexting erzeugt der Bedrohungsakteur eine falsche Situation für das Opfer und gibt sich als die richtige Person aus, die das Problem beheben kann. Sehr oft behauptet der Betrüger, das Opfer sei von einer Sicherheitsverletzung betroffen und bietet dann an, das Problem zu beheben, wenn das Opfer wichtige Kontoinformationen oder die Kontrolle über den Computer oder das Gerät des Opfers überlässt. Technisch gesehen umfasst fast jeder Social-Engineering-Angriff ein gewisses Maß an Pretexting.

Quid pro quo

Bei einem Quid-pro-quo-Angriff locken Hacker das Opfer mit einer begehrenswerten Ware oder Leistung im Gegenzug zur Preisgabe vertraulicher Informationen. Vorgetäuschte Gewinnspiele oder scheinbar harmlose Treueprämien („danke für deine Zahlung – wir haben ein Geschenk für dich“) sind Beispiele für die Quid-pro-quo-Masche.

Scareware

Bei der ebenfalls als Form von Malware geltenden Scareware handelt es sich um Software, die bei den Menschen Angst erzeugt und sie so dazu bringt, vertrauliche Informationen weiterzugeben oder Malware herunterzuladen. Scareware erreicht das Opfer oft in Form eines gefälschten Bescheids einer Strafverfolgungsbehörde, in der es einer Straftat beschuldigt wird, oder in Form einer gefälschten Nachricht des technischen Supports, in der es vor Malware auf seinem Gerät gewarnt wird.

Watering-Hole-Angriff

Der Ausdruck „jemand hat das Wasserloch vergiftet“ bedeutet, dass Hacker bösartigen Code in eine legitime Webseite einschleusen, die von ihren Zielen häufig besucht wird. Watering-Hole-Angriffe sind für alles verantwortlich – von gestohlenen Anmeldedaten bis hin zu unwissentlichen Drive-by-Ransomware-Downloads.

Social-Engineering-Angriffe sind offenkundig schwer zu verhindern, da sie sich eher die menschliche Psyche als technische Wege zunutze machen. Auch die Angriffsfläche ist von Bedeutung: In einem größeren Unternehmen genügt der Fehler eines einzigen Mitarbeiters, um die Integrität des gesamten Unternehmensnetzes in Gefahr zu bringen. Zu den von Experten empfohlenen Maßnahmen zur Minderung des Risikos und des Erfolgs von Social-Engineering-Betrug gehören unter anderem:

• Schulungen zum Sicherheitsbewusstsein: Viele Benutzer wissen nicht, wie Social-Engineering-Angriffe zu erkennen sind. In einer Zeit, in der Nutzer häufig personenbezogene Daten für Waren und Dienstleistungen angeben, ist ihnen nicht bewusst, dass scheinbar alltägliche Informationen wie Telefonnummer oder Geburtsdatum Hackern den Zugang zu einem Konto ermöglichen können. Schulungen zum Sicherheitsbewusstsein in Kombination mit Datensicherheitsrichtlinien können den Mitarbeitern beibringen, wie sie ihre vertraulichen Daten schützen und laufende Social-Engineering-Angriffe erkennen und abwehren können.
   

• Zugriffssteuerungsrichtlinien: Mit sicheren Richtlinien und Technologien für die Zugriffssteuerung, zu denen Multi-Faktor-Authentifizierung, adaptive Authentifizierung und ein Zero-Trust-Sicherheitskonzept gehören, lässt sich der Zugriff auf vertrauliche Informationen und Assets im Unternehmensnetz durch Cyberkriminelle selbst dann begrenzen, wenn sie sich Anmeldedaten von Benutzern beschaffen können.
   

• Technologien für die Cybersicherheit: Spam-Filter und sichere E-Mail-Gateways können verhindern, dass manche Phishing-Angriffe die Mitarbeiter überhaupt erreichen. Firewalls und Antivirensoftware können das Ausmaß des Schadens durch Angreifer, die sich Zugang zum Netz verschaffen, begrenzen. Die Aktualisierung von Betriebssystemen mit den neuesten Patches kann ebenfalls einige Sicherheitslücken schließen, die Angreifer durch Social Engineering nutzen können. Darüber hinaus können Sicherheitsteams mithilfe fortschrittlicher Erkennungs- und Reaktionslösungen wie Endpunkterkennung und -antwort (EDR) und Extended Detection and Response (XDR) Sicherheitsbedrohungen, die das Netzwerk durch Social-Engineering-Taktiken infizieren, schnell erkennen und beseitigen.