Social Engineering: Ein kompletter Leitfaden | EasyDMARC

Social Engineering: Ein kompletter Leitfaden

14 Min Lesezeit
Social Engineering  A Complete Guide

Menschen machen Fehler. Das ist eines der größten Probleme, mit denen sich Cybersecurity-Experten weltweit auseinandersetzen müssen. Selbst mit ausgefeilten Sicherheitstools ist der Mensch ein schwaches Glied. Cyber-Akteure nutzen diese Schwachstelle aus, indem sie Menschen dazu verleiten, Anmeldedaten und andere vertrauliche Daten preiszugeben.

Es stimmt zwar, dass wir alle Fehler machen, aber wir können uns bemühen, diesen Angreifern einen Schritt voraus zu sein, um verschiedene Betrügereien und Tricks zu erkennen und zu vereiteln, die sie möglicherweise auf Lager haben. Der beste Weg, um zu verhindern, dass man zum Ziel von Social Engineering wird, ist zu verstehen, wie es funktioniert.

Bevor wir uns mit der Funktionsweise von Social Engineering befassen, sollten wir zunächst die Definition von Social Engineering erläutern.

Definition

Im Bereich der Cybersicherheit ist Social Engineering die Kunst, sich Zugang zu sensiblen Daten zu verschaffen, indem man die menschliche Psyche manipuliert, anstatt ausgefeilte Hacking-Techniken einzusetzen. Anstatt eine Systemschwachstelle auszunutzen, ruft der Angreifer einen Mitarbeiter an oder verschickt eine Phishing-E-Mail und gibt sich als legitime Quelle aus.

Der Begriff „Social Engineering“ wurde in den 90er Jahren mit Hilfe von Kelvin Mitnick geprägt – dem berühmtesten Hacker der Welt, wie CNN und Fox News berichten. Dennoch gibt es das Konzept schon seit vielen Jahrzehnten.

Wie Social Engineering funktioniert

Wie andere Cyber-Bedrohungen gibt es auch Social-Engineering-Angriffe in verschiedenen Formen. Wenn man versteht, wie sie funktionieren, kann man ihre Risiken am besten eindämmen. Es gibt mehrere Möglichkeiten, wie ein Social Engineer menschliche Schwächen ausnutzen kann.

Ein Cyber-Akteur kann Sie dazu verleiten, eine Tür offen zu lassen oder bösartige Inhalte herunterzuladen, die Ihre Netzwerkressourcen offenlegen. Ein erfolgreicher Social-Engineering-Angriff besteht aus vier Schritten:

  • Vorbereitung: In dieser Phase sammeln die Social Engineers Informationen über ihre Zielperson. Soziale Medien, Anrufe, E-Mails und Textnachrichten sind gängige Methoden.
  • Infiltration: Während der Infiltrationsphase nähern sich die Cyberkriminellen ihren Zielen und geben sich als legitime Quellen aus, indem sie die über die Opfer gesammelten Daten nutzen, um sich zu authentifizieren.
  • Ausbeutung: Hier manipulieren die Angreifer die Benutzer, damit sie sensible Informationen wie Anmeldedaten, Kontodaten, Kontaktinformationen, Zahlungsmethoden usw. preisgeben, die sie zur Ausführung ihrer Angriffe verwenden können.
  • Rückzug: In dieser letzten Phase bricht der Social Engineer oder Cyberakteur die Kommunikation mit dem Opfer ab, führt den Angriff aus und verschwindet.

Die Zeit, die für die Durchführung eines solchen Plots benötigt wird, hängt vom Ausmaß des Social-Engineering-Angriffs ab – sie kann sich über Tage oder sogar Monate erstrecken. Unabhängig davon ist das Wissen darüber, was Social Engineers wollen und welche Taktiken sie anwenden, eine hervorragende Methode zur Prävention von Social Engineering.

Was Social Engineers wollen

Nachdem wir nun wissen, was ein Social-Engineering-Angriff ist, wollen wir tiefer in die Gedankenwelt eines Social Engineers eintauchen. Ziel dieser Hacker ist es, an wichtige Informationen zu gelangen, die sie für Identitätsdiebstahl, finanzielle Gewinne oder sogar zur Vorbereitung eines gezielteren Angriffs nutzen können. Die Installation bösartiger Programme, um auf Systeme, Konten oder personenbezogene Daten zuzugreifen, ist eine gängige Taktik.

Zu den Informationen, die für Social-Engineering-Hacker wertvoll sind, gehören:

  • Kontonummern
  • Login-Daten
  • Persönlich identifizierbare Daten (PII)
  • Zugangskarten und Personalausweise
  • Informationen über Computersysteme
  • Server- und Netzwerkinformationen

Wie wirkt sich Social Engineering auf Unternehmen aus?

Die Auswirkungen von Social-Engineering-Angriffen auf ein Unternehmen können verheerend sein. Sie können Ihren Ruf schädigen, berufliche Beziehungen beeinträchtigen und das Vertrauen der Kunden mindern.

Darüber hinaus können Social-Engineering-Angriffe zu schweren finanziellen Verlusten, Betriebsunterbrechungen und einer verminderten Unternehmensproduktivität führen. Aufgrund dieser potenziell katastrophalen Auswirkungen auf die Geschäftskontinuität ist es wichtig zu wissen, wie Social Engineering erkannt, verhindert und bekämpft werden kann. Die Implementierung einer guten Kontrolle ein- und ausgehender Daten kann dabei helfen, den Datenverkehr auf verdächtige Benutzeraktivitäten, ungewöhnliche Domains und E-Mails sowie massive Bewegungen vertraulicher Daten zu überwachen.

Social-Engineering-Taktiken, auf die Sie achten sollten

Es gibt verschiedene Manipulationstaktiken, die Social Engineers einsetzen, um ihre hinterhältigen Ziele zu erreichen. Es ist wichtig, diese Techniken zu erkennen, um zu verhindern, dass Ihre sensiblen Daten in die falschen Hände geraten. Nachfolgend finden Sie einige Taktiken, die von Social-Engineering-Angreifern verwendet werden:

  • Emotionale Bindung – Menschen sind emotionale Wesen und empfinden Mitleid, wenn Menschen rührende Geschichten erzählen. Social Engineers erfinden oft Geschichten oder Szenarien, um ihre Opfer zu überzeugen, wertvolle Informationen preiszugeben.
  • Täuschende Begründungen – „Ich muss das Gebäude betreten, weil ich Jon treffen muss.“ Das klingt zunächst nach einem triftigen Grund, oder? Aber denken Sie darüber nach: Es bedeutet nichts – wenn die Person das Gebäude nicht betreten darf, ist die Erklärung, dass sie Jon treffen muss, eine betrügerische. Das Wort „weil“ lässt es allerdings so klingen, als sei der Grund stichhaltig.
  • Geschenke und Gefälligkeiten – Jeder liebt Geschenke, und es liegt in der menschlichen Natur, Freundlichkeit zu erwidern. Angreifer können dies ausnutzen, um an sensible Informationen zu gelangen oder in das Bürogebäude einzudringen. Denken Sie daran: Kostenlose Geschenke sind immer ein Teil der Köder.
  • Gegenseitigkeit und Sympathie – Social Engineers tun alles in ihrer Macht stehende, um sympathisch zu wirken. Sobald sie diesen Aspekt beim Opfer erreicht haben, ist es viel einfacher, die Zielperson dazu zu bringen, ihre „Freundlichkeit“ zu erwidern.
  • Engagement und Beständigkeit – Menschen wollen in Beziehungen immer Engagement zeigen. Social Engineers können sich diese menschliche Natur zunutze machen, indem sie kleine (nicht unbedingt romantische) Verpflichtungen eingehen. Selbst die Nennung Ihres Namens könnte als Auslöser für Beständigkeit wahrgenommen werden.
  • Autorität und sozialer Beweis – Jeder hat jemanden, zu dem er aufschaut. Wenn ein Beauty-Blogger sagt, dass eine Augencreme hilft, kauft man sie, oder? Auf der anderen Seite suchen viele Menschen im Internet nach einem Gefühl der Zugehörigkeit. Sobald Cyberkriminelle diese Schwachstellen erkennen, können sie beides ausnutzen, um sich in den Augen des Opfers zu etablieren.
  • Knappheit und Dringlichkeit – Social Engineers schaffen ein Gefühl der Dringlichkeit, damit die Opfer keine Zeit haben, die Dinge zu überdenken. Wenn Sie eine E-Mail erhalten, in der Sie aufgefordert werden, eine dringende Aktion durchzuführen, sollten Sie die Situation sorgfältig analysieren. Bevor Sie etwas unternehmen, können Sie die zuständige Person um Bestätigung bitten.

Arten von Social-Engineering-Angriffen

Je nach Angriffsmedium gibt es verschiedene Social-Engineering-Taktiken. Um einen Social-Engineering-Angriff zu vermeiden, müssen Unternehmen verstehen, was ein solcher Angriff ist und wie er auf sie abzielt. Im Folgenden sind einige gängige Arten von Social-Engineering-Angriffen aufgeführt:

Phishing

Phishing ist die bekannteste Social-Engineering-Taktik, die von Angreifern eingesetzt wird. Der Cyberangreifer erstellt ein gefälschtes Support-Portal oder eine Website eines seriösen Unternehmens und sendet die Links per E-Mail an seine Zielpersonen, um sie zur Preisgabe sensibler Informationen zu verleiten.

Angler-Phishing

Angler-Phishing ist eine Unterart des Phishings, die auf Konten in sozialen Medien abzielt. Die Angreifer fälschen Kundensupport-Konten von Top-Unternehmen, um Benutzer zu täuschen und zu überzeugen, Anmeldedaten und andere wichtige Daten preiszugeben.

Spear-Phishing

Ein Spear-Phishing-Angriff ist ein Social-Engineering-Angriff, der auf bestimmte Unternehmen oder Personen abzielt. Der Angreifer nimmt sich besonders viel Zeit, um Informationen über sein Ziel zu sammeln, damit der Betrug echt wirkt. Das Ziel ist es, sensible Daten zu stehlen. 

Whaling/CEO-Betrug

Whaling oder CEO-Betrug ist ein Phishing-Angriff, der auf die obersten Führungskräfte oder leitenden Mitarbeiter von Unternehmen und Behörden abzielt. Der Angreifer kann die E-Mail des Geschäftsführers eines Unternehmens fälschen und dann eine E-Mail an einen Mitarbeiter senden, in der er um eine dringende Überweisung oder sensible Informationen bittet. 

419/Nigerianischer Prinz/Vorschussbetrug

Der 419/Nigerianischer Prinz/Vorschussbetrug ist eine Social-Engineering-Taktik, mit der Angreifer ihre Opfer dazu bringen, eine Vorauszahlung zu leisten. Im Gegenzug verspricht der Angreifer dem Opfer eine hohe Auszahlung oder einen Prozentsatz des Geldes. 

Scareware

Scareware ist eine bösartige Täuschungssoftware, die Computerbenutzer dazu verleitet, infizierte Websites zu besuchen. Der Angriff kann in Form von Anzeigen oder Pop-ups von seriösen Antiviren-Unternehmen erfolgen, die Ihnen mitteilen, dass Ihr Computer mit einem Virus infiziert ist. Sie verleitet die Benutzer dazu, eine Gebühr zu zahlen, um das Sicherheitsproblem zu lösen.

Tabnabbing/Reverse-Tabnabbing

Tabnabbing ist eine Social-Engineering-Taktik, die Angreifer einsetzen, um inaktive Webseiten zu manipulieren. Sie ermöglicht es einer bösartigen Website, eine legitime Website auf die Seite des Angreifers umzuleiten. Wie bei anderen Social-Engineering-Taktiken besteht das Ziel darin, Benutzer dazu zu bringen, ihre Anmeldedaten zu übermitteln.

Spam

Spam bezieht sich auf unerwünschte Nachrichten, die massenhaft an Benutzer gesendet werden, normalerweise zu Werbezwecken. Cyberkriminelle nutzen dies jedoch aus, um Nachrichten mit betrügerischen Links, Anreizen oder Angeboten zu versenden. Das Öffnen einer solchen E-Mail kann Ihr System infizieren oder den Download von Ransomware auf Ihren Computer auslösen.

Honigfalle

Eine Honigfalle ist eine Betrugstaktik, bei der romantische oder intime Beziehungen zur persönlichen oder finanziellen Bereicherung genutzt werden. In den meisten Fällen werden betrügerische Websites genutzt, um Opfer zu finden, ihr Geld zu stehlen und an ihre sensiblen Daten zu gelangen oder auf sie zuzugreifen.

BEC (Business Email Compromise)

Business Email Compromise (BEC) ist ein Phishing-Schema, bei dem Cyberkriminelle echte oder gefälschte Geschäftskonten verwenden, um ein Unternehmen zu betrügen. Der Angreifer gibt sich als vertrauenswürdige Quelle aus – z. B. als CEO – und verleitet Mitarbeiter dazu, große Summen zu überweisen oder wichtige Daten zu übermitteln, die sie für weitere Angriffe nutzen können.

Pharming

Pharming, eine Kombination aus Phishing und Farming, ist eine Social-Engineering-Taktik, bei der die Nutzer einer bestimmten Website auf eine gefälschte bösartige Version umgeleitet werden. Das Ziel ist es, sie dazu zu verleiten, ihre Anmeldedaten zu übermitteln.

E-Mail-Hacking

E-Mail-Hacking oder E-Mail-Hijacking ist eine Cyberbedrohung, die von Hackern genutzt wird, um unbefugten Zugang zu E-Mail-Konten zu erhalten. Ziel ist es, Ihre Daten zu stehlen, um Betrug zu begehen. Die Angreifer können dann bösartige E-Mails an alle Ihre Kontakte senden. Dies ist in der Regel der Ausgangspunkt für Imitationen und die Übernahme von Konten.

Tailgating

Online-Social-Engineering-Taktiken sind ziemlich vielfältig, aber was ist mit Social Engineering in Person? Tailgating ist eine Taktik, die Angreifer verwenden, um sich Zugang zu einem Gebäude oder zu gesperrten Bereichen innerhalb eines Gebäudes zu verschaffen. Angreifer verwenden verschiedene Taktiken, um diesen Angriff auszuführen, wie z. B. jemanden zu bitten, die Tür aufzuhalten oder sich unter einem Vorwand Zugang zu verschaffen.

Köder

Köder sind eine Taktik, bei der Betrüger Benutzer dazu bringen, personenbezogene Daten und finanzielle Informationen im Austausch für eine Gegenleistung preiszugeben. Sie können zum Beispiel eine E-Mail erhalten, in der ein Geschenkgutschein angeboten wird, wenn Sie auf einen Link klicken, um ein Umfrageformular auszufüllen.

DNS-Spoofing

DNS-Spoofing ist ein Angriff, bei dem ein Domain-Namenseintrag geändert wird, um Benutzer auf eine betrügerische Website umzuleiten, die der eigentlichen Zieladresse ähnelt. Der Angreifer fordert das Opfer dann auf, sich anzumelden, und hat so die Möglichkeit, dessen Anmeldedaten zu stehlen.

Pretexting

Pretexting ist ein Social-Engineering-Angriff, bei dem die Opfer dazu gebracht werden, vertrauliche Daten preiszugeben. Der Angreifer entwirft ein erfundenes Szenario und gibt vor, eine legitime oder bekannte Quelle zu sein. Bei diesem Angriff können Cyberangreifer physisch auf Ihre Daten zugreifen, indem sie vorgeben, ein Lieferant oder eine Lieferperson zu sein.

Physische Sicherheitsverletzungen

Bei physischen Sicherheitsverletzungen handelt es sich um den physischen Diebstahl von sensiblen Dokumenten und anderen Wertgegenständen wie Speicherlaufwerken und Computern. Physische Sicherheitsverletzungen werden durch unbefugten Zugang zu einem Gebäude verursacht.

Watering-Hole-Angriffe

Ein Watering-Hole-Angriff ist eine Cyber-Bedrohung, bei der ein Angreifer eine bestimmte Gruppe von Nutzern angreift, indem er die Website der Gruppenmitglieder infiziert. Der Angreifer zielt darauf ab, die Computer der Opfer zu infizieren und auf wichtige Netzwerkressourcen zuzugreifen.

Quid pro Quo

Quid pro Quo ist eine weitere Social-Engineering-Technik, bei der Angreifer falsche Versprechungen machen, um die Opfer zur Preisgabe sensibler Daten zu verleiten. Sie können zum Beispiel einen Anruf von jemandem erhalten, der sich als Vertreter eines vertrauenswürdigen Dienstleisters oder IT-Supports ausgibt.

Umleitungsdiebstahl

Umleitungsdiebstahl ist ein Offline- und Online-Cyberangriff, bei dem Angreifer Lieferungen abfangen und sie an einen falschen Ort umleiten. Betrüger nutzen diese Taktik auch, um Opfer zur Preisgabe sensibler Informationen zu verleiten.

Diese Auswirkung von Social Engineering auf ein Unternehmen wirft eine wichtige Frage auf: Wie kann man diese Art von Angriffen verhindern?

So verhindern Sie Social-Engineering-Angriffe

Social Engineering kann jeden treffen, und jeder sollte lernen, wie man Social-Engineering-Betrug vermeidet. Es stellt jedoch auch eine erhebliche Gefahr für die Sicherheit von Unternehmen dar. Es ist wichtig, Social-Engineering-Präventionsmethoden als Kernkomponente Ihres Cybersicherheitsplans zu priorisieren.

Unternehmen sollten einen ganzheitlichen Ansatz verfolgen, der ausgefeilte Sicherheitstools, Protokolle und regelmäßige Schulungen zur Sensibilisierung von Mitarbeitern und Führungskräften für das Thema Cybersicherheit kombiniert. Nachfolgend finden Sie die Maßnahmen, die Sie zur Abwehr von Social-Engineering-Risiken einsetzen können.

Sicherheitsrichtlinien und -protokolle

Sicherheitsrichtlinien und -protokolle sollten ein wesentlicher Bestandteil Ihres Cybersicherheitsplans sein. Diese Maßnahmen geben Ihren Mitarbeitern vor, wie sie sicher auf die Ressourcen des Unternehmens wie E-Mail, mobile Geräte und Passwörter zugreifen und diese behandeln können. Hier sind einige Aspekte, die Sie berücksichtigen sollten:

Durchsetzung von 2FA und MFA

Die Sicherheitsrichtlinien und -protokolle eines Unternehmens sollten eine Zwei- und Multi-Faktor-Authentifizierung vorschreiben. Dies stärkt die Sicherheit Ihres Unternehmens, da die Mitarbeiter aufgefordert werden, sich mit mehr als nur ihrem Benutzernamen und Passwort anzumelden. Mit 2FA oder MFA können Social-Engineering-Angreifer nicht auf die Konten Ihres Unternehmens zugreifen, selbst wenn sie über Anmeldedaten verfügen,

Häufige Passwortänderungen und gute Passworthygiene

Eine gute Passworthygiene sollte obligatorisch sein. Verpflichten Sie Ihre Mitarbeiter, ihre Passwörter häufig zu ändern. Sie sollten ein sicheres Passwort verwenden, das für Hacker schwer zu erraten ist. Ein sicheres Passwort umfasst sowohl Groß- und Kleinbuchstaben als auch Zahlen und Sonderzeichen. Auch unterschiedliche Passwörter für verschiedene Konten sind wichtig.

Penetrationstests

Regelmäßige Penetrationstests sind der Schlüssel zu Ihrer allgemeinen Sicherheitsverteidigung. So können Sie Lücken in Ihrem Sicherheitsverfahren aufdecken. Sie können sogar einen realen Angriff simulieren, um Ihre Mitarbeiter und Ihr Netzwerk auf etwaige Schwachstellen zu testen. Auf diese Weise können Sie Ihr IT-Infrastrukturnetz proaktiv bewerten und ständig verbessern.

Mitarbeiterschulung

Social Engineering macht sich menschliche Fehler zunutze, um Netzwerke zu kompromittieren. Daher ist es wichtig, dass Sie Ihre Mitarbeiter in Ihren Sicherheitsplan einbeziehen. Sie sind die erste Verteidigungslinie. Schulungen zur Abwehr von Social Engineering sollten Ihre Mitarbeiter mit relevanten Tools ausstatten, damit sie Cyber-Bedrohungen erkennen und sich selbst und das Unternehmen schützen können. Sie können sogar monatliche Social-Engineering-Meetings mit Ihren Mitarbeitern ansetzen und einen Sicherheitsexperten einladen.

Geräteverwaltung

Die ordnungsgemäße Verwaltung mobiler Geräte ist ein weiterer wichtiger Bestandteil wirksamer Präventivmaßnahmen gegen Social Engineering. Mitarbeiter, die die mobilen Geräte des Unternehmens nutzen, sollten sichere Passwörter verwenden und aktuelle Antivirensoftware installieren.

Führen Sie strenge BYOD-Richtlinien (Bring Your Device) ein, die regeln, wie Mitarbeiter ihre Geräte im Büro oder bei der Arbeit von zu Hause aus nutzen. 

Rahmen für das Risikomanagement Dritter

Organisationen, die sich auf Drittanbieter verlassen, können durch Sicherheitsverletzungen Dritter einen Imageschaden erleiden. Auch wenn dies nicht gesetzlich vorgeschrieben ist, sollten Unternehmen einen Plan zur Verwaltung von Drittanbietern in ihren Sicherheitsplan aufnehmen. Er bietet wertvolle Kontrollmöglichkeiten und Informationen zur Minderung von Risiken, die sich aus diesen externen Geschäftsbeziehungen ergeben.

Erkennung von Datenlecks

Bei Datenlecks werden vertrauliche Informationen wie Anmeldedaten, Kreditkarteninformationen und E-Mail-Adressen offengelegt. Social Engineers können diese Informationen aus dem Dark Web kaufen, um Phishing- oder andere E-Mail-Angriffe zu starten. Aus diesem Grund sollten Unternehmen eine Lösung zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) implementieren, um zu verhindern, dass Endgeräte vertrauliche Daten preisgeben.

Fazit

Social Engineering ist eine der häufigsten Arten von Cyberangriffen, die die Sicherheit von Unternehmen bedrohen. Unternehmen und Mitarbeiter müssen sich über die negativen Auswirkungen erfolgreicher Cyberangriffe im Klaren sein. Diese können über Datenverluste hinausgehen und sogar die Geschäftskontinuität beeinträchtigen.

Zu verstehen, wie Social Engineers arbeiten und was sie wollen, ist der erste Schritt zur Social-Engineering-Prävention. Führen Sie strenge Sicherheitsrichtlinien ein und schulen Sie Ihre Mitarbeiter in der Erkennung von Social-Engineering-Taktiken, um diese Angriffe zu verhindern. Ihr Cybersicherheitsplan sollte auch regelmäßige Penetrationstests und Risikomanagement Dritter umfassen.