Social Engineering zielt auf menschliche Schwächen ab: Vermeintliche E-Mails von Bekannten sollen Ihre Neugier und Hilfsbereitschaft ansprechen, Mitteilungen von Banken bieten verlockende Angebote oder Behörden fordern Sie zur Kooperation auf. Doch hinter den oft vertraulich wirkenden Nachrichten stecken in Wahrheit Kriminelle. Diese wollen Ihnen sensible Daten entlocken oder Sie zu unbedachten Klicks auf Webseiten mit Schadsoftware verleiten.
Die Methoden von Social Engineering sind vielfältig: Sie erstrecken sich von E-Mails mit angeblich dringenden Handlungsanweisungen über fingierte Verlosungsgewinne bis hin zu Hilferufen von Verwandten, die angeblich im Ausland festsitzen. Auch per Telefon oder mittels gezielt versendeter „Werbeartikel“ versuchen Kriminelle, an sensible Informationen zu gelangen.
Sie können derartige Manipulationsversuche leicht durchschauen, wenn Sie auf die richtigen Warnzeichen achten: In diesem Artikel erfahren Sie, wie Kriminelle Sie mittels Social Engineering zu unbedachten Handlungen verführen wollen und wie Sie sich am besten dagegen wappnen.
Definition: Was ist Social Engineering?
Wörtlich übersetzt bedeutet Social Engineering „soziale Manipulation“. Sie soll durch Beeinflussungen bestimmte Verhaltensweisen hervorrufen – meist, um dadurch vertrauliche Informationen oder einen monetären Vorteil zu erlangen. Dies kann zum Beispiel die Freigabe von Zugangsdaten oder die Angabe persönlicher Informationen beinhalten. Es könnte auch in der Bereitstellung finanzieller Mittel oder im vermeintlichen Kauf eines Produkts (beispielsweise Karten für bereits ausverkaufte Konzerte oder aktuelle Smartphones) durch das Opfer resultieren.
Social Engineering gibt es im Bereich der Informationstechnologie bereits seit Jahrzehnten und wurde zunächst in der analogen Telefonie eingesetzt: Schon in den 1980er-Jahren gaben sich Kriminelle bei Telefongesellschaften als Systemadministrator:innen aus, um Passwörter zu erfragen. Damit stellten sie daraufhin kostenlose Modemverbindungen für isch her (Teil des so genannten Phreaking).
Ein wesentliches Merkmal von Social Engineering ist die Kombination aus Wahrheitsgehalt und Täuschung. Die Kriminellen haben vorher Dinge über das Opfer in Erfahrung gebracht und nutzen dieses Wissen aus. Fingierte Telefonanrufe, Kurznachrichten in Messengern und Social Media sowie E-Mails suggerieren eine Bekanntschaft oder Beziehung zum Opfer. Damit erwecken die kriminellen Absender:innen Vertrauen oder sprechen Gefühle wie Neugier und Sorge, aber auch den Wunsch nach sozialer Angepasstheit an, um Handlungen zu provozieren.
Wie funktioniert Social Engineering?
Bei Social Engineering handelt es sich um gezielte Angriffe auf bestimmte Personen. Kriminelle recherchieren vorab, inwiefern eine Zielperson lohnenswert erscheint. Beispielsweise kann das potenzielle Opfer eine hohe Position in einem Unternehmen bekleiden und damit Zugang zu finanziellen Ressourcen versprechen. Die Person kann aber auch als sorglos im Umgang mit persönlichen Daten erscheinen, indem sie zum Beispiel auf Social-Media-Plattformen oder an anderen Stellen im Internet viel von sich preisgibt.
Wenn die Angreifer:innen ausreichend Informationen verfügen, entwerfen sie eine Angriffsstrategie: Auf welche Art können sie das Opfer am besten zu einer schnellen Handlung bringen, um an Geld oder wertvolle Informationen zu gelangen? Eine dringende Anweisung von Vorgesetzten könnte beispielsweise neue oder junge Mitarbeiter:innen unter Druck setzen. Befindet sich das Unternehmen der Zielperson möglicherweise in Schwierigkeiten? Dann könnte ein fingiertes Schreiben der Hausbank Wirkung zeigen. Personen mit Familie könnten hingegen durch die Sorge um ein Familienmitglied in Not manipulierbar sein.
Social Engineering setzt im nächsten Schritt vor allem auf Täuschung: Kriminelle verschleiern bei Angriffen ihre wahre Identität und geben sich als jemand anderes aus. Bevorzugt bedienen sie sich Berufen oder Rollen, die eine Hilfe für die Opfer vorgaukeln. Verbreitet sind dabei vermeintliche Mitarbeiter:innen von Banken oder Telekommunikationsunternehmen, die vorgeben, Probleme mit Konten oder Accounts zu lösen. In Wahrheit wollen sie aber an Zugangsdaten oder Kontoinformationen gelangen.
Die Täter:innen appellieren dabei an Ihr guten Absichten als Opfer: Anstatt bei der Behebung eines Problems im Unternehmen zu helfen, öffnen Sie ein Einfallstor in eine ansonsten sichere IT-Umgebung. Durch die Erlangung von Zugangsdaten und/oder die Einspeisung von Schadsoftware in das Unternehmensnetzwerk kann erheblicher Schaden entstehen: Je mehr administrative Rechte gestohlen werden, desto freier können sich die Kriminellen dann darin bewegen.
Aus diesem Grund zielen derartige Angriffe häufig auf Personen in der Führungsebene von Unternehmen ab. Neben dem Diebstahl finanzieller Ressourcen haben es Angreifer:innen auf Geschäftsgeheimnisse und brisantes Wissen über interne Vorgänge abgesehen. Während erstere sich gut verkaufen lassen, bieten zweitere unter Umständen erhebliches Erpressungspotenzial.
Beispiele für Social Engineering
Social Engineering zielt immer auf das unvorsichtige Verhalten der Opfer ab. Entsprechend gibt es unterschiedliche Arten, diese dazu zu verleiten. Darunter fallen:
Phishing
Ein weitverbreitete Methode ist das Phishing (abgleitet vom englischen Begriff für Angeln: fishing). Bei einem derartigen Angriff „ködern“ Kriminelle potenzielle Opfer mit E-Mails, die auf den ersten Blick aus vertrauenswürdiger Quelle stammen. Mithilfe dieser E-Mails wollen die Angreifer:innen an sensible Informationen oder Zugangsdaten (zum Beispiel zu Bankkonten oder geschäftlichen Accounts) gelangen. Häufig erkennen Opfer eine Phishing-E-Mail erst, wenn es zu spät ist.
Noch einen Schritt weiter geht das im Social Engineering vor allem eingesetzte Spear Phishing (übersetzt: Speerfischen). Vor dem Versand einer gezielten Phishing-E-Mail an eine bestimmte Person informieren sich die Angreifer:innen über das Opfer. Arglos im Internet geteilte Informationen bieten dabei häufig gute Anhaltspunkte. Eine möglichst unverdächtige und personalisierte E-Mail suggeriert auf dieser Basis eine Kenntnis vermeintlicher Sachverhalte oder Personen. Auch hier soll das Opfer dazu verleitet werden, auf einen Link zu klicken. Dort eingegebene Zugangsdaten oder Kontoinformationen landen bei den Kriminellen.
Baiting
Bei der Social-Engineering-Methode Baiting (englisch für ködern) geht es darum, die Neugier des Opfers durch einen verlockenden Inhalt oder ein vorteilhaftes Angebot anzusprechen.
Hier setzen zwei grundlegend unterschiedliche Vorgehensweisen ein: Die erste beschränkt sich auf den Online-Bereich und versucht, Opfer mit Versprechungen auf Gewinne oder Gratisdownloads von beispielsweise Filmen oder Musik zu ködern. Auf einer eigens dafür eingerichteten Webseite sollen sie spezifische Anmeldinformationen eingeben, die dann von den Kriminellen missbraucht werden. Auch Schadsoftware (Malware) kann dadurch auf Rechner gelangen.
Die zweite Variante arbeitet mit einer physischen Komponente: Hier wird beispielsweise behauptet, dass das Opfer einen elektronischen Gegenstand, wie beispielsweise einen Audioplayer oder einen USB-Stick gewonnen habe. Alternativ werden diese Geräte als Belohnung für die Teilnahme an einer Umfrage oder als Werbegeschenk versendet. Auf den Geräten ist Schadsoftware enthalten, die damit verbundene Computer infiltrieren soll – idealerweise Unternehmensrechner.
CEO-Fraud
CEO-Fraud als Teilbereich des Social Engineering zielt auf das Hierarchiegefüge in Unternehmen ab. Dazu dient eine gefälschte E-Mail eines CEO (Geschäftsführer:in) oder einer ähnlichen Führungspersönlichkeit, die Angestellte im Zweifel nicht ungelesen oder unbeantwortet lassen werden. Alternativ können auch Personen von Bundesbehörden als Absender dienen oder es treffen Anweisungen per klassischer Briefpost ein.
Die Mail weist die Opfer beispielsweise an, aus vermeintlich wichtigen Gründen einen Geldbetrag auf ein externes Konto (häufig im Ausland) zu überweisen. Oft fordern die Absender:innen dabei Geheimhaltung oder Eile ein. Besonders gut funktioniert diese Masche in Unternehmen, die sehr vertikal und autoritär geführt werden und in denen Widerspruch unerwünscht ist.
So schützen Sie sich vor Social-Engineering-Attacken
Social-Engineering-Attacken zielen mittels perfider Täuschungen oder Anreize darauf ab, dass Sie Informationen preisgeben. Um entsprechende Versuche von vornherein zu minimieren und Kriminellen möglichst wenig Angriffsfläche zu geben, sollten Sie folgende Dinge im Unternehmen beachten:
- Umsichtiges Online-Verhalten: Schulen Sie Ihre Mitarbeiter:innen, möglichst wenig Informationen über sich im Internet frei zugänglich zu machen. Geben Sie im Internet (zum Beispiel auf Ihrer Webseite, im Online-Shop und in Firmenprofilen auf Business-Plattfomen) keine konkreten Informationen zu Mitarbeiter:innen wie Namen und Durchwahlen preis. Achten Sie auf Social-Media-Plattformen darauf, Postings lediglich dem Freundeskreis zur Verfügung zu stellen.
- Aktuelle Antiviren-Software: Halten Sie Software zur Abwehr von Viren und Malware auf allen Geräten im Unternehmen (stationär und mobil) stets auf dem aktuellen Stand.
- Gut konfigurierter Spamfilter: Richten Sie Spamfilter ein, die stets dazulernen, um den Eingang fragwürdiger Mails (Spam-Mails) zu minimieren.
- Aktuelle Soft- und Firmware: Sorgen Sie dafür, dass die Firmware auf Ihren Geräten sowie die verwendete Software stets die neueste Version aufweist.
- Sichere Passwörter: Verwenden Sie in Ihrem Unternehmen ausschließlich sichere Passwörter (Kombination aus Buchstaben, Zahlen, Groß- und Kleinschreibung und Sonderzeichen). Nutzen Sie Passwörter niemals für mehr als einen Account oder für den Zugang zu mehreren Konten.
- Zwei-Faktor-Authentifizierung: Stellen Sie sicher, dass der Zugriff nicht nur durch ein Passwort, sondern auch per zusätzlicher Authentifizierung auf einem Mobilgerät erfolgt (zum Beispiel mit Bestätigungscode, Fingerabdruck usw.)
- Keine Administrationsrechte: Arbeiten Sie an Ihren Geräten nicht mit Administrationsrechten, um eine Neukonfiguration durch andere Personen als Ihre IT-Expert:innen auszuschließen.
Sollte es tatsächlich einmal zu einem Datenleck in Ihrem Unternehmen kommen, ergreifen Sie die Sicherheitsmaßnahmen, die auch zur Abwehr anderer Angriffe im Rahmen der in Ihrem Unternehmen geltenden Richtlinien für Cyber-Security dienen. Sorgen Sie darüber hinaus für eine vertrauensvolle Unternehmenskultur, in der das Melden solcher Vorfälle seitens der Mitarbeitenden nicht von Scham oder Angst vor Repressalien begleitet ist.
Social Hacking erkennen
Social Engineering funktioniert nicht, wenn das Opfer nicht „mitspielt“. Aus diesem Grund können Sie Ihr Unternehmen relativ einfach vor diesen Angriffen schützen. Voraussetzung dafür ist, dass Sie und Ihre Mitarbeiter:innen umsichtig handeln und Warnzeichen für Social Hacking erkennen. Wenn also entsprechende E-Mails oder Anfragen auf anderem Weg eintreffen, sollten Sie oder betroffene Mitarbeiter:innen folgende Maßnahmen ergreifen:
- Quellenprüfung: Überprüfen Sie stets, von wem eine E-Mail stammt, wer Ihnen vermeintlich etwas Gutes tun will oder ein Werbegeschenk gesendet hat. Vergleichen Sie die Absenderadressen mit denen Ihrer bisherigen Kommunikation und hinterfragen Sie die Beweggründe für die Anfrage oder die Handlungsaufforderung.
- Formale Prüfung: Sie sollten immer genau darauf achten, wie eine entsprechende E-Mail formuliert ist. Weist diese viele Rechtschreibfehler oder schlechtes Deutsch auf? Ist die E-Mail ungewöhnlich formatiert im Hinblick auf die verwendeten Schriftarten oder Absätze? Werden Sie beispielsweise auf einmal von Vorgesetzten geduzt, die das sonst nicht tun?
- Inhaltsprüfung: Achten Sie genau darauf, wie Sie angesprochen werden und ob diese Anrede dem Kenntnisstand des Absenders entspricht. Ist der Grund für die Anfrage plausibel: Hält sich beispielsweise der Absender aktuell wirklich im Ausland auf? Besitzen Sie oder Ihre Familie tatsächlich Verwandte in weit entfernten Ländern? Fragt Ihre Bank einfach so nach Login-Daten ohne Sicherheitsprüfung? Würden Ihre Vorgesetzten Sie nach persönlichen Informationen von Kolleg:innen befragen, die nichts mit geschäftlichen Dingen zu tun haben? Regelrechte Paranoia ist sicherlich der falsche Weg, aber denken Sie über diese und ähnliche Dinge stets genau nach, wenn Sie entsprechende Anfragen erhalten und klicken Sie im Zweifel verdächtige Links lieber nicht an, ohne die Mail zuvor von Spezialist:innen prüfen zu lassen.
- Musterdurchbrechung: Social-Engineering-Angriffe versuchen meist, ein Gefühl von Dringlichkeit zu erzeugen. Sie wollen ihre Opfer in Unruhe versetzen und dazu verleiten, sofort auf die Anfrage zu reagieren. Setzen Sie sich darüber hinweg: Denken Sie über die Anfrage nach – kann es zum Beispiel wirklich sein, dass ein Bekannter im Ausland in Schwierigkeiten ist? Würde Ihr:e Vorgesetzte:r geheime Transaktionen anweisen? Haben Sie tatsächlich bei einer Verlosung mitgemacht, die Ihnen aus heiterem Himmel einen Gewinn in Aussicht stellt? Nehmen Sie sich Zeit und fragen Sie die betreffende Person persönlich über eine Telefonnummer oder E-Mail-Adresse, von der Sie wissen, dass es die korrekte ist.
- Identitätsnachweis: Verlangen Sie einen Identitätsnachweis des Gegenübers. Vor allem bei vermeintlichem Personal von Behörden oder Sicherheitsdiensten sollte eine Überprüfung der Legitimation selbstverständlich sein. Oft reicht bereits diese Nachfrage aus, dass sich Angreifer zurückziehen. Sollte Ihnen eine entsprechende Berechtigung genannt werden, überprüfen Sie dies bei der entsprechenden Einrichtung. Prüfen Sie, ob überhaupt die Berechtigung besteht, sensible Informationen abzufragen. Auch hier fliegen Kriminelle meist schnell auf, denn Banken und Behörden fragen eher selten bis gar nicht online vertrauliche Informationen ab – schon gar nicht, ohne die eigene Identität zweifelsfrei nachzuweisen.
Social Engineering – Das Wichtigste in Kürze
- Social Engineering ist eine Betrugsmethode, die menschliche Schwächen und Gepflogenheiten im sozialen Miteinander ausnutzt.
- Die Angriffe nutzen vorab recherchierte Informationen über potenzielle Opfer, um sie zu unbedachten Handlungen zu bewegen.
- Das Ziel ist die Erlangung sensibler Daten (zum Beispiel Kontodaten und Passwörter) und/oder von Geld durch Betrug oder Diebstahl.
- Social Engineering funktioniert ohne das Zutun des Opfers nicht. Erst die Reaktion des Opfers ermöglicht den Erfolg eines Angriffs.
- Sie schützen sich vor Social-Engineering-Angriffen, wenn Sie vermeintlich vertrauliche Anfragen, Bitten oder Handlungsanweisungen stets hinterfragen und gegebenenfalls persönlich bei den vermeintlichen Absendern überprüfen.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/social-engineering-angriffe-auf-die-schwachstelle-mensch/