Social Engineering ist für Unternehmen und Cybersicherheitsexperten nichts Neues. Aber was ist ein Social-Engineering-Angriff? Unter Social Engineering versteht man die Manipulation von Menschen, damit sie die Sicherheit kompromittieren und vertrauliche Informationen preisgeben.
Cyberkriminelle verwenden verschiedene Social-Engineering-Taktiken, um ihre bösen Pläne auszuführen. Der erste Schritt zur Abwehr solcher Angriffe besteht darin, die verschiedenen Techniken zu erkennen.
Aber was sind die verschiedenen Arten von Social-Engineering-Angriffen?
Wir stellen Ihnen 14 Arten von Social-Engineering-Angriffen vor, die in der Cyberwelt üblich sind.
Pharming
Pharming ist ein Cyber-Betrug, bei dem ein Angreifer Nutzer von einer legitimen Website auf eine gefälschte Website umleitet, um ihre Benutzernamen, Passwörter und andere sensible Informationen zu stehlen. Bei diesem Cyberangriff werden die Browsereinstellungen des Benutzers übernommen oder bösartiger Code im Hintergrund ausgeführt. Das eigentliche Ziel ist der Identitätsdiebstahl.
Tabnabbing/Reverse Tabnabbing
Reverse Tabnabbing oder Tabnabbing ist ein Angriff, der statische Websites ausnutzt. Dabei kann eine neu geöffnete Registerkarte die ursprüngliche Registerkarte, von der aus sie geöffnet wurde, entführen. Die neuen Registerkarten können die ursprüngliche Registerkarte ersetzen oder ändern und die Benutzer auf betrügerische Websites umleiten, damit die Angreifer Anmeldedaten und andere wichtige Informationen stehlen können.
Scareware
Wie der Name schon andeutet, handelt es sich bei Scareware um eine Art von Cyberangriff, bei dem den Nutzern Angst eingejagt wird und sie glauben, dass ihr Computer mit Malware infiziert wurde. Der Angreifer fordert die Benutzer dann auf, Malware zu kaufen, die als echte Cybersicherheitssoftware getarnt ist. Bei diesem Angriff werden Pop-ups und andere Social-Engineering-Taktiken eingesetzt.
E-Mail-Hacking
Beim E-Mail-Hacking verschaffen sich Angreifer unbefugten Zugang zu den E-Mail-Konten der Opfer. Cyberkriminelle können Ihr Konto mit verschiedenen Techniken hacken. In diesem Abschnitt gehen wir auf einige von ihnen ein.
BEC (Business Email Compdangerous romise)
Beim Business Email Compromise (BEC) hacken sich Cyberkriminelle in ein geschäftliches E-Mail-Konto ein und geben sich als hochrangige Mitarbeiter aus, um Partner, andere Mitarbeiter und Kunden zu betrügen. BEC zielt auf Unternehmen ab, die Überweisungen tätigen und Kunden in Übersee haben. Hacker nutzen es, um Social-Engineering-Angriffe effektiver zu gestalten.
Spam
Ein Spam-Angriff besteht darin, dass Cyberkriminelle zahlreiche E-Mails an ihre Opfer senden. Spam-Nachrichten können von echten Menschen oder von Botnetzen (einem Netzwerk aus mit Malware infizierten Computern, das von einem Angreifer kontrolliert wird) versendet werden. Ziel des Angreifers ist es, die Nutzer dazu zu verleiten, Malware herunterzuladen oder sensible Daten weiterzugeben.
Phishing
Phishing ist eine der häufigsten Social-Engineering-Methoden, die per E-Mail ausgeführt werden. Der Angreifer sendet gefälschte E-Mails mit bösartigen Links. Das Ziel ist es, Ihre Identität oder Ihr Geld zu stehlen, indem er Sie dazu bringt, vertrauliche Daten preiszugeben.
Andere Arten von Phishing
Mit der Zeit perfektionieren die böswilligen Akteure ihre Taktiken. Das beste Beispiel sind die verschiedenen Arten von Phishing.
Spear-Phishing
Spear-Phishing ist ein gezielter Angriff, bei dem sich Kriminelle als legitime Quellen tarnen, um bestimmte Opfer zur Preisgabe von persönlichen, finanziellen und anderen sensiblen Daten zu bewegen. Im Gegensatz zum traditionellen Phishing erfordert Spear-Phishing eine gründliche Aufklärung.
Angler-Phishing
Angler-Phishing, benannt nach dem Seeteufel (engl. „anglerfish“), ist der neueste Online-Betrug in den sozialen Medien. Cyberangreifer erstellen gefälschte Social-Media-Konten, um sich als Kundendienstmitarbeiter eines Unternehmens auszugeben, in der Hoffnung, unzufriedene Kunden anzulocken und zu Opfern zu machen.
Whaling/CEO-Betrug
Whaling oder CEO-Betrug ist ein Phishing-Angriff, der auf hochrangige Personen wie Chief Executive Officers, Chief Financial Officers oder Vorstandsmitglieder abzielt. Der Angreifer zielt darauf ab, sensible Informationen zu stehlen oder Mitarbeiter dazu zu bringen, große Überweisungen zu genehmigen oder Informationen über Vermögenswerte preiszugeben.
Access-Tailgating
Access-Tailgating ist eine häufige Verletzung der physischen Sicherheit, bei der ein Cyberkrimineller einer autorisierten Person in einen geschützten Bereich folgt. Bei dieser Art von Social-Engineering-Angriff wird die menschliche Höflichkeit ausgenutzt, um anderen zu helfen. Das häufigste Beispiel ist das Aufhalten der Tür für eine unbekannte Person hinter sich.
Baiting
Baiting ist eines der häufigsten und einfachsten Beispiele für Social-Engineering-Angriffe. Ähnlich wie beim Phishing werden beim Baiting falsche Versprechungen auf eine Belohnung gemacht, um die Neugierde und Gier des Opfers zu wecken. Diese Angreifer nutzen in der Regel das Angebot kostenloser Film- oder Software-Downloads, um die Benutzer zur Eingabe ihrer Anmeldedaten zu verleiten.
DNS-Spoofing
DNS-Spoofing, auch bekannt als DNS-Cache-Poisoning, ist eine Angriffsart, bei der Cyberkriminelle geänderte Domain-Namen verwenden, um Benutzer auf eine bösartige Website umzuleiten, die als die beabsichtigte Website getarnt ist. Die Benutzer werden dann aufgefordert, ihre Anmeldedaten einzugeben, wodurch die Angreifer sensible Daten stehlen können.
Pretexting
Pretexting ist einer der einfachsten Social-Engineering-Angriffe, bei dem Cyberkriminelle Szenarien entwerfen, um Opfer dazu zu bringen, private Informationen preiszugeben oder auf Netzwerkressourcen zuzugreifen. In den meisten Fällen denkt sich der Täter eine überzeugende Geschichte oder einen Vorwand aus und gibt sich als legitime Stelle aus, um das Opfer zu täuschen.
Physische Sicherheitsverstöße
Physische Sicherheitsverstöße umfassen den physischen Diebstahl von vertraulichen Dokumenten und anderen Wertgegenständen wie Computern und Speicherlaufwerken. Diese Verstöße können durch Beschattung und unbefugtes Betreten des Firmengebäudes verursacht werden.
Watering-Hole-Angriffe
Ein Watering-Hole-Angriff ist die gezielte Ausnutzung einer Sicherheitslücke, bei der Cyber-Akteure versuchen, eine bestimmte Gruppe von Nutzern zu kompromittieren, indem sie die Website infizieren, die die Mitglieder dieser Gruppe häufig besuchen. Ziel der Angreifer ist es, die Computer ihrer Opfer zu infizieren und Zugang zu deren Netzwerkressourcen zu erhalten.
Quid-pro-Quo
Quid-pro-Quo ist ein weiterer gängiger Social-Engineering-Angriff. Hier versprechen die Hacker einen Vorteil, um die Opfer zur Preisgabe personenbezogener Daten zu verleiten. Sie können beispielsweise einen Anruf von einer zufälligen Nummer erhalten, die behauptet, ein technischer Supportspezialist von einem der von Ihnen genutzten Dienste zu sein. Sie bitten um kritische Daten im Austausch für eine Dienstleistung.
Umleitungsdiebstahl
Umleitungsdiebstahl, auch als „Diversion Theft“ oder „Corner Game“ bekannt, begann als Offline-Angriff, bei dem die Täter Lieferungen abfangen, indem sie sie an die falschen Orte umleiten. Dank des technologischen Fortschritts können Cyber-Akteure nun auch online Lieferungen abfangen und umleiten. Sie können ihre Opfer auch dazu verleiten, Informationen an die falsche Quelle zu senden.
Honey Trap
Eine Honey Trap (Honigfalle) gehört zu den Social-Engineering-Angriffen, bei denen sexuelle Beziehungen genutzt werden, um Netzwerke zu kompromittieren und Menschen dazu zu bringen, wichtige Informationen preiszugeben. In den meisten Fällen erstellt ein Honey Trapper ein weibliches Profil, identifiziert seine Opfer und freundet sich dann mit ihnen an, um ihr Vertrauen zu gewinnen.
Vorschussbetrug
Bei Vorschussbetrügereien fordern die Angreifer die Zielpersonen auf, eine Vorauszahlung zu leisten, bevor sie versprochene Dienstleistungen, Waren oder Produkte erhalten, die sie nie bekommen werden. Die berüchtigten „nigerianischen Prinzen“ sind ein gutes Beispiel dafür.
Fazit
Social-Engineering-Angriffe sind aufgrund menschlicher Fehler und der Unfähigkeit, die von Cyber-Angreifern verwendeten Muster zu erkennen, erfolgreich. Deshalb müssen Unternehmen ihre Mitarbeiter über die Auswirkungen dieser Angriffe aufklären.
Unser Blog enthält Artikel zu jeder der oben genannten Angriffsarten. Lesen Sie sie, um die verschiedenen Arten von Social-Engineering-Angriffen zu verstehen und zu erfahren, wie man sie verhindern kann.