Die Taktiken und Techniken des Social Engineering stützen sich auf die Wissenschaft der menschlichen Motivation. Die Emotionen und Instinkte der Opfer werden auf eine Weise manipuliert, die Menschen nachweislich zu Handlungen verleitet, die ihren Interessen zuwiderlaufen.

Die meisten Social-Engineering-Angriffe wenden eine oder mehrere der folgenden Taktiken an:

• Auftreten als vertrauenswürdige Marke: Betrüger nehmen oft die Identität von Unternehmen an, die den Opfern bekannt sind, denen sie vertrauen und mit denen sie vielleicht oft oder regelmäßig Geschäfte tätigen – so regelmäßig, dass sie die von diesen Marken stammenden Anweisungen ohne entsprechende Vorkehrungen ganz automatisch befolgen. Manche Social-Engineering-Betrüger nutzen weit verbreitete Hilfsmittel zum Erstellen gefälschter Websites, die denen großer Marken oder Unternehmen täuschend ähnlich sind.
  

• Auftreten als staatliche Stelle oder Autoritätsperson: Die Menschen vertrauen, respektieren oder fürchten Autoritäten (in unterschiedlichem Maße). Social-Engineering-Angriffe machen sich diese Instinkte zunutze und versenden Nachrichten, die angeblich von staatlichen Stellen (z. B. dem FBI oder dem Finanzamt), von politischen Persönlichkeiten oder sogar von Prominenten stammen.
  

• Erzeugen von Angst oder Handlungsdruck: Menschen neigen zu voreiligem Handeln, wenn sie Angst haben oder unter Zeitdruck stehen. Beim Social-Engineering-Betrug kann bei den Opfern mit vielerlei Techniken Angst oder ein Gefühl der Dringlichkeit erzeugt werden – mit einer Nachricht, dass eine kürzlich getätigte Kredittransaktion nicht genehmigt wurde, dass ihr Computer mit einem Virus infiziert ist, dass ein auf ihrer Website verwendetes Bild gegen ein Urheberrecht verstößt usw. Social Engineering kann auch an die Angst appellieren, etwas zu verpassen (Fear of missing out, FOMO), und dadurch eine andere Art des Handlungsdrucks aufbauen.
  

• Appellieren an die Habgier: Die Betrugsmasche mit dem nigerianischen Prinzen – eine E-Mail, in der sich jemand als Angehöriger des nigerianischen Königshauses ausgibt, der aus seinem Land zu fliehen versucht, und bei Übermittlung der Kontodaten des Empfängers und eines kleinen Vorschusses eine gigantische Belohnung in Aussicht stellt – ist eines der bekanntesten Beispiele für das an die Habgier appellierende Social Engineering. (Auch hier ist der Absender eine angebliche Autoritätsperson und es entsteht Handlungsdruck – eine starke Kombination.) Dieser Betrugsmasche ist so alt wie die E-Mails selbst, brachte im Jahr 2018 aber dennoch 700.000 US-Dollar pro Jahr ein.
  

• Appellieren an die Hilfsbereitschaft oder Neugier: Social-Engineering-Maschen können auch an die gute Seite der Opfer appellieren. Eine scheinbar von einem Freund oder einer Social-Networking-Site stammende E-Mail kann zum Beispiel technische Hilfe anbieten, zur Teilnahme an einer Umfrage auffordern oder behaupten, der Beitrag des Empfängers sei viral gegangen. Ein manipulierter Link führt dann zu einer gefälschten Website oder einem Malware-Download.

Phishing

Phishing-Angriffe sind digitale Nachrichten oder Sprachnachrichten, die versuchen, die Empfänger durch Manipulation zur Preisgabe vertraulicher Informationen, zum Herunterladen von Schadsoftware, zur Übermittlung von Geld oder Vermögenswerten an die falschen Personen oder zu anderen nachteiligen Handlungen zu verleiten. Betrüger gestalten Phishing-Nachrichten so, dass sie aussehen oder klingen, als ob sie von einer vertrauenswürdigen oder unbedenklichen Organisation oder Person stammen würden – manchmal sogar von einer Person, die dem Empfänger persönlich bekannt ist.

Es gibt viele Arten von Phishing-Scam:

• Massen-Phishing-E-Mails werden Millionen von Empfängern gleichzeitig zugesendet. Sie scheinen von großen, namhaften Unternehmen oder Organisationen zu stammen – von einer nationalen oder globalen Bank, einem großen Online-Händler, einem beliebten Online-Zahlungsanbieter usw. – und enthalten eine allgemeine Bitte, wie zum Beispiel „Wir haben Probleme bei der Verarbeitung Ihres Kaufs. Bitte aktualisieren Sie Ihre Kreditdaten“. Häufig enthalten diese Nachrichten einen manipulierten Link, der den Empfänger zu einer gefälschten Website führt, die den Benutzernamen, das Passwort, die Kreditkartendaten des Empfängers und anderes erfasst.
   

• Spear-Phishing zielt auf eine bestimmte Person ab. Dabei handelt es sich im Allgemeinen um eine Person mit privilegiertem Zugriff auf Benutzerinformationen, das Computernetz oder finanzielle Mittel des Unternehmens. Ein Betrüger sucht sich die Zielperson oft anhand von Informationen aus, die er auf LinkedIn, Facebook oder anderen sozialen Medien findet, und erstellt eine Nachricht, die von jemandem zu stammen scheint, den die Zielperson kennt und für vertrauenswürdig hält, oder sich auf Situationen bezieht, die der Zielperson vertraut sind. Whale-Phishing ist ein Spear-Phishing-Angriff auf eine hochrangige Person, z. B. einen CEO oder eine Persönlichkeit aus der Politik. Beim Business Email Compromise (BEC) versendet der Hacker anhand kompromittierter Anmeldedaten E-Mail-Nachrichten vom tatsächlichen E-Mail-Account einer Autoritätsperson, wodurch sich der Betrug viel schwerer erkennen lässt.
  

• Voice Phishing oder Vishing ist Phishing in Form von Telefonanrufen. Vishing erlebt man im Allgemeinen in Form von besorgniserregenden aufgezeichneten Anrufen, die angeblich vom FBI stammen. Von IBM X-Force wurde jedoch kürzlich festgestellt, dass sich der Erfolg einer gezielten Phishing-Kampagne um das Dreifache steigern kann, wenn Vishing hinzukommt.
  

• SMS-Phishing oder Smishing ist Phishing per Textnachricht.
  

• Beim Suchmaschinen-Phishing gestalten Hacker schädliche Websites, die in den Suchergebnissen für häufige Suchbegriffe weit oben stehen.
  

• Angler-Phishing ist Phishing über gefälschte Social-Media-Konten, die sich als offizielles Konto des Kundendienstes oder der Kundensupportteams vertrauenswürdiger Unternehmen ausgeben.

Laut IBM Security X-Force Threat Intelligence Index 2023 ist Phishing der an erster Stelle stehende Malware-Infizierungsvektor. Er wurde bei 41 % aller Vorfälle festgestellt. Außerdem ist Phishing dem Bericht über die Kosten einer Datenschutzverletzung von 2022 zufolge der anfängliche Angriffsvektor, der die kostspieligsten Datenschutzverletzungen zur Folge hat.

Baiting

Beim Baiting werden die Opfer mit einem Köder in Form eines wertvollen Angebots oder sogar eines wertvollen Objekts dazu verlockt, wissentlich oder unabsichtlich vertrauliche Informationen preiszugeben oder schädlichen Code herunterzuladen.

Die Betrugsmasche mit dem nigerianischen Prinzen ist wahrscheinlich das bekannteste Beispiel für diese Social-Engineering-Technik. Aktuellere Beispiele sind kostenlose, aber mit Malware infizierte Spiel-, Musik- oder Softwaredownloads. Manche Formen des Baitings sind allerdings nicht besonders raffiniert. So lassen manche Bedrohungsakteure zum Beispiel einfach einen mit Malware infizierten USB-Stick irgendwo liegen, wo jemand ihn finden, mitnehmen und benutzen wird, denn wer lässt sich schon einen kostenlosen USB-Stick entgehen.

Tailgating

Beim Tailgating – auch „Piggybacking“ genannt – folgt eine unbefugte Person einer befugten Person in einen Bereich mit vertraulichen Informationen oder wertvollen Assets. Tailgating kann eine persönliche Vorgehensweise sein, wenn zum Beispiel ein Bedrohungsakteur einem Mitarbeiter durch eine unverschlossene Tür folgt. Es kann aber auch eine digitale Taktik sein, etwa wenn eine Person einen immer noch in einem privaten Konto oder Netz angemeldeten Computer unbeaufsichtigt lässt.

Pretexting

Beim Pretexting konfrontiert der Bedrohungsakteur das Opfer mit einer vorgetäuschten Situation und gibt sich als die richtige Person aus, die das Problem beheben kann. Sehr oft behauptet der Betrüger (paradoxerweise), das Opfer sei Gegenstand einer Sicherheitsverletzung, und bietet dann an, das Problem zu beheben, wenn das Opfer ihm wichtige Kontoinformationen oder die Kontrolle über seinen Computer oder sein Gerät überlässt. (Technisch gesehen enthält fast jeder Social-Engineering-Angriff ein gewisses Maß an Pretexting.)

Quid pro quo

Bei einem Quid-pro-quo-Angriff locken Hacker das Opfer mit einer begehrenswerten Ware oder Leistung im Gegenzug zur Preisgabe vertraulicher Informationen. Vorgetäuschte Gewinnspiele oder scheinbar harmlose Treueprämien („danke für deine Zahlung – wir haben ein Geschenk für dich“) sind Beispiele für die Quid-pro-quo-Masche.

Scareware

Bei der ebenfalls als Form von Malware geltenden Scareware handelt es sich um Software, die bei den Menschen Angst erzeugt und sie so dazu bringt, vertrauliche Informationen weiterzugeben oder Malware herunterzuladen. Scareware erreicht das Opfer oft in Form eines gefälschten Bescheids einer Strafverfolgungsbehörde, in der es einer Straftat beschuldigt wird, oder in Form einer gefälschten Nachricht des technischen Supports, in der es vor Malware auf seinem Gerät gewarnt wird.

Watering-Hole-Angriff

Frei nach dem Spruch „Jemand hat das Wasserloch vergiftet“ schleusen Hacker schädlichen Programmcode in eine von ihren Zielpersonen häufig besuchte legitime Webseite ein. Watering-Hole-Angriffe können für alles verantwortlich sein – von gestohlenen Anmeldedaten bis hin zu unwissentlichen Drive-by-Ransomware-Downloads.

Social-Engineering-Angriffe sind offenkundig schwer zu verhindern, da sie sich eher die menschliche Psyche als technische Wege zunutze machen. Auch die Angriffsfläche ist von Bedeutung: In einem größeren Unternehmen genügt der Fehler eines einzigen Mitarbeiters, um die Integrität des gesamten Unternehmensnetzes in Gefahr zu bringen. Zu den von Experten empfohlenen Maßnahmen zur Minderung des Risikos und des Erfolgs von Social-Engineering-Betrug gehören unter anderem:

• Schulungen zum Sicherheitsbewusstsein: Viele Benutzer wissen nicht, wie Social-Engineering-Angriffe zu erkennen sind. Und in einer Zeit, in der Nutzer oft für Produkte und Services personenbezogene Daten angeben, ist ihnen überhaupt nicht bewusst, dass scheinbar banale Informationen wie Telefonnummer oder Geburtsdatum Hackern den Zugang zu einem Konto ermöglichen können. Schulungen zum Sicherheitsbewusstsein in Kombination mit Datensicherheitsrichtlinien können den Mitarbeitern beibringen, wie sie ihre vertraulichen Daten schützen und laufende Social-Engineering-Angriffe erkennen und abwehren können.
  

• Zugriffssteuerungsrichtlinien: Mit sicheren Richtlinien und Technologien für die Zugriffssteuerung, zu denen Multi-Faktor-Authentifizierung, adaptive Authentifizierung und ein Zero-Trust-Sicherheitskonzept gehören, lässt sich der Zugriff auf vertrauliche Informationen und Assets im Unternehmensnetz durch Cyberkriminelle selbst dann begrenzen, wenn sie sich Anmeldedaten von Benutzern beschaffen können.
  

• Technologien für die Cybersicherheit: Spam-Filter und sichere E-Mail-Gateways können verhindern, dass manche Phishing-Angriffe die Mitarbeiter überhaupt erreichen. Firewalls und Antivirensoftware können das Ausmaß des Schadens durch Angreifer, die sich Zugang zum Netz verschaffen, begrenzen. Die Aktualisierung von Betriebssystemen mit den neuesten Patches kann ebenfalls gewisse Sicherheitslücken schließen, die Angreifer sich per Social Engineering zunutze machen können. Und mithilfe fortschrittlicher Erkennungs- und Abwehrlösungen, wie Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR), können Sicherheitsteams Sicherheitsbedrohungen, die das Netz mittels Social-Engineering-Taktiken infizieren, schnell erkennen und unschädlich machen.