Was ist Social Engineering?

In der digitalen Welt zielt der Scam meistens auf unsere Daten ab. Wie das Ganze genau funktioniert, erfährst du jetzt im Folgenden.

Social Engineering kann viele Formen annehmen, hier einige Beispiele für beliebte Taktiken.

Beim Phishing geben sich Cyberkriminelle in E-Mails als eine andere Person aus. Sie geben sich in der Regel als eine Bank, die Regierung, ein Lieferunternehmen oder eine andere Organisation aus, der jeder von uns sein Vertrauen schenken würde. Das Ziel der Betrüger ist es, dich dazu zu bringen, eine Phishing-E-Mail zu öffnen und auf diese Weise einen Anhang herunterzuladen, in dem Schadsoftware versteckt ist. Links in der E-Mail könnten zudem auf mit Schadsoftware verseuchte Webseiten führen. Ist der Anhang erst einmal heruntergeladen oder die Webseite geöffnet, ist es ein einfaches für Hacker, deine Anmeldedaten, Sozialversicherungsnummer oder Bankdaten zu stehlen.

Phishing kann verschiedene Formen annehmen. Zu den häufigsten gehören:

• Ein gefälschter Anzeigename. Die E-Mail scheint von einer seriösen Organisation zu stammen, aber der Domänenname ist ein völlig anderer. Auf den ersten Blick sieht der Absender der Mail zum Beispiel wie Netflix aus, aber wenn du den Mauszeiger über vermeintlichen Absender bewegst, kannst du sehen, dass die E-Mail von netflix@gmail.com stammt (ein hypothetisches Beispiel), was in diesem Fall eine gefälschte E-Mail-Adresse wäre.
• Eingebettete Links. Die Social-Hacker könnten eine E-Mail senden, in der du aufgefordert wirst, auf einen Link zu klicken, um dich wieder bei deinem Konto anzumelden. Die gefälschte URL führt dann zu einer mit Schadsoftware verseuchten Webseite. Eine Möglichkeit, dich zu schützen, besteht darin, mit der rechten Maustaste auf den Link zu klicken, um die Adresse zu überprüfen, ähnlich wie bei dem Beispiel mit der E-Mail-Adresse.
• E-Mail-Anhänge. Rechnungen, Auftragsbestätigungen und Einladungen zu Veranstaltungen können zur Tarnung von Viren oder Malware verwendet werden. Öffne verdächtige Anhänge unter keinen Umständen und antworte dem Absender nicht. Melde die E-Mail am besten sofort.

Spear-Phishing ist eine Form des Phishing, die mehr Aufwand erfordert, aber auch eine höhere Erfolgsquote für Kriminelle hat. Phishing-E-Mails können an Tausende von Personen gesendet werden, während Spear-Phishing sich auf Einzelpersonen und kleine Gruppen konzentriert. Die Angreifer geben sich in der Regel als eine bestimmte Person aus, der du normalerweise vertraust oder mit der du auf Arbeit zu tun hast.

Damit dieser Social-Engineering-Angriff funktioniert, müssen die Hacker einige Nachforschungen über ihr(e) Opfer anstellen und diese Informationen dann gegen sie verwenden. Soziale Medien, Google Dorks oder auch das Shoulder Surfing können gewinnbringende Informationsquellen für Hacker sein. Cyberkriminelle können auf diese Weise fast alle Informationen sammeln, die sie benötigen, wie z. B. die E-Mail-Adresse, die Personen, denen du vertraust und denen du folgst und damit auch deine Interessen. Sobald die Nachforschungen abgeschlossen sind, sendet der Hacker dem Opfer eine E-Mail mit einem Vorwand, um weitere Informationen zu erhalten.

Gegenüber Einzelpersonen könnten Hacker beispielsweise vorgeben, deren bester Freund zu sein, der um Zugang zum Facebook-Konto bittet. Auf geschäftlicher Ebene könnten die Kriminellen sich als dein Geschäftsführer oder Vorgesetzter ausgeben, der dich auffordert, ihm bestimmte, vertrauliche Informationen mitzuteilen.

Auch beim Spear-Phishing heißt es stets auf der Hut sein und lieber einmal mehr zu fragen oder zu überprüfen, als am Ende das Nachsehen zu haben. Hier einige Tipps, wie du das anstellst:

• Überprüfe die Quelle der E-Mail.
• Frage dich selbst, ob die Person oder der Kollege bestimmte Informationen wirklich von dir fordern würde und dürfte.
• Wenn eine E-Mail verdächtig klingt, antworte nicht darauf oder wende dich direkt an die Person, um nachzuhaken. Du kannst die Person anrufen oder ihr eine separate E-Mail schreiben, um dich abzusichern.

Vishing ist eine weitere Form des Phishings und leitet sich aus dem Englischen „Voice-Phishing“ („voice“ aus dem Englischen übersetzt bedeutet „Stimme“ auf Deutsch) ab. Die Betrüger kontaktieren ihre Opfer direkt über das Telefon. Zunächst fälschen oder verbergen die Kriminellen ihre Telefonnummer, um sich als eine vertrauenswürdige Person oder ein Unternehmen deines Vertrauens auszugeben. Solche Hacker verwenden häufig voraufgezeichnete Sprachnachrichten, Textnachrichten oder Sprach-zu-Text-Synthesizer, um ihre Identität zu verschleiern. Andere setzen sogar Menschen aus dubiosen Callcentern ein, um den Angriff noch überzeugender zu gestalten.

Vishing-Hacker rufen unter einem Vorwand an, z. B. geben sie vor, dass es verdächtige Aktivitäten auf deinem Bankkonto gab oder du zu viel Steuern bezahlt hast. Unabhängig von der Technik oder dem Vorwand besteht ihr Hauptziel darin, an deine sensiblen Daten zu gelangen, die dann für andere Angriffe oder zum Diebstahl deiner Identität verwendet werden können.

Wir haben ein paar Tipps für dich, wie du erkennst, ob jemand versucht, bei dir Vishing durchzuführen:

• Frag nach, um welches Unternehmen es sich handelt und welches Anliegen der Anrufer hat. Hast du schon einmal von diesem Unternehmen gehört oder hast du mit diesem Unternehmen bereits Geschäfte gemacht?
• Verspricht dir der Anrufer absurde Gewinne von Wettspielen, an denen du nie teilgenommen hast? Oder bietet dir jemand Hilfe an, deine Schulden zu tilgen? Dann sollten deine Alarmglocken alle auf Rot leuchten.
• Wird der Anrufer aggressiv und versucht dich unter Druck zu setzen, wenn du zögerst, Daten von dir preiszugeben? All dies sind Warnzeichen für ein Vishing-Versuch.

Pretexting ist ein Social-Engineering-Angriff, der auch mit Phishing verglichen werden kann. Während Phishing jedoch an die Ängste der Opfer appelliert, macht Pretexting das Gegenteil – es basiert auf Vertrauen.

Pretexting erfordert wesentlich mehr Nachforschungen als andere Social-Engineering-Techniken. Die Cyberkriminellen geben vor, dein Freund oder Kollege zu sein. Sie lügen nicht nur, sondern denken sich komplexe Szenarien aus, um dich zu täuschen, und sie nutzen gefälschte Identitäten, Bilder und sogar einen bestimmten Sprachstil. In einer Unternehmensumgebung arbeiten sich diese Hacker nach oben vor und geben sich nicht mit einem einzigen Angriff zufrieden. Ihr Ziel ist es in der Regel, Informationen von jemandem zu erhalten, der einen bestimmten Rang innehat.

Es ist schwierig, einen solchen Betrüger zu erkennen, da sie sehr viel Recherche und Mühe in die Erstellung ihrer falschen Identität stecken. Wenn jedoch jemand zu freundlich erscheint und dich um Daten bittet, die du mit niemandem teilen solltest, scheue dich nicht davor, Fragen zu stellen und dich mit anderen abzusprechen, bevor du sie weitergibst.

Beim Catfishing erstellen Betrüger gefälschte Social-Media-Profile, indem sie die Fotos, Videos und sogar die persönlichen Daten anderer Personen verwenden. Diese gefälschten Identitäten werden in der Regel verwendet, um andere online zu mobben oder um romantische Beziehungen einzugehen. Die Beziehungen werden dann genutzt, um an das Geld oder die persönlichen Daten des Opfers zu gelangen. Die Informationen können dann wiederum für einen weiteren Angriff oder zum Diebstahl der Identität verwendet werden.

Wenn du eine neue Online-Bekanntschaft geschlossen hast, die vordergründig sehr nett wirkt, aber immer wieder Ausreden findet, um sich nicht persönlich mit dir zu treffen oder Informationen von sich preiszugeben, ist es sehr wahrscheinlich, dass du gerade gecatfisht wirst. Hier ein paar Warnhinweise, worauf du achten solltest:

• Jemand, den du nicht kennst, macht auf Mitleid und bittet dich um Geldspenden.
• Ausreden, z. B. warum die Webcam oder das Telefon nicht funktioniert.
• Ausreden, dass die Person sich nicht mit dir persönlich treffen kann – oder Absagen in letzter Minute aufgrund von persönlichen Notfällen;
• Das Angebot, sich an einem privaten Ort zu treffen, anstatt an einem öffentlichen Ort.

Bei diesem Social-Engineering-Angriff wirst du mit einem Köder (auf Englisch „bait“) dazu gebracht, etwas zu tun, das es dem Hacker ermöglicht, deinen Computer mit Schadsoftware zu infizieren und so an deine persönlichen Daten zu gelangen. Viele Hacker verwenden etwa USB-Sticks als Köder, die sie in Büros oder auf Parkplätzen mit Aufschriften wie „Gehälter 2021 Q3“ hinterlassen. Wer sie findet, wird wahrscheinlich überprüfen wollen, ob sich dort wirklich Gehaltsinformationen darauf befinden und steckt sie in den Computer. Der darin versteckte Virus breitet sich dann schnell auf dem Gerät aus.

Die Verwendung von USBs ist jedoch nicht mehr zeitgemäß, sodass Köder jetzt hauptsächlich auf P2P-Webseiten eingesetzt werden. Cyberkriminelle erstellen Mirror-Seiten (exakte Kopien einer bestimmten Webseite). Während also jemand glaubt, auf einer normalen Seite eine Datei herunterzuladen, lädt er in Wirklichkeit einen Virus herunter. Um zu verhindern, dass du gehackt wirst, kannst du aber auch Vorsichtsmaßnahmen ergreifen, wie z. B. in dem du einfach der Art der Datei überprüfst, die du erhältst oder du lässt sie durch Antivirenprogramm laufen.

Ein Quid-Pro-Quo-Angriff liegt vor, wenn ein Betrüger dir eine Dienstleistung im Austausch für deine persönlichen Daten anbietet. Vor ein paar Jahren bestanden Quid-Pro-Quo-Angriffe aus E-Mails, in denen dir mitgeteilt wurde, dass ein Prinz gestorben sei und du sein ganzes Geld geerbt hättest. Alles, was du zu tun hattest, war es, den Betrügern deine Bankdaten mitzuteilen oder eine kleine „Bearbeitungsgebühr“ zu überweisen, damit sie dir dann das Geld zukommen lassen können. Auch wenn solche Angriffe heute eher lustig klingen und veraltet sind, sind Quid-Pro-Quo-Angriffe immer noch aktuell und gerissener denn je.

Die häufigsten Angriffe finden heutzutage statt, wenn sich Hacker als IT-Support-Spezialisten ausgeben. Das Opfer hat in der Regel ein kleines Problem mit einem Gerät oder benötigt ein Software-Update. Der Betrüger sagt, dass er Zugang zum Computer benötigt, um das Problem zu beheben. Sobald er sich Zugang verschafft hat, installiert er Schadsoftware oder stiehlt sensible Informationen.

Ein Cyberkrimineller, der Kontakt-Spamming durchführt, hackt sich in dein E-Mail- oder Social-Media-Konto und wendet sich an deine Freunde mit einer Nachricht wie „Ich habe dieses tolle Video gesehen, schaut es euch an!“

Da wir natürlich den Nachrichten unserer Freunde vertrauen, klicken viele einfach auf diese Links. Auf diese Weise infiziert man sein Gerät dann mit Schadsoftware. Daraufhin hat die Software die Möglichkeit auch auf deine Kontakte zuzugreifen und dieselbe Nachricht an deine Freundesliste zu senden.

1. Informiere dich darüber, welche verschiedenen Arten von Social-Engineering-Angriffen es gibt. Auf diese Weise erkennst du schneller, wenn dich jemand reinlegen will. Wenn du ein Team leitest oder ein Unternehmen führst, solltest du sicherstellen, dass all deine Mitarbeiter die Risiken ebenfalls kennen. Mithilfe von sogenannten Penetrationstests lassen sich Schwachstellen in deinem Netzwerk relativ einfach entdecken.
2. Sei immer wachsam. Überprüfe die Identität der Person, mit der du kommunizierst lieber einmal mehr, insbesondere wenn es sich um eine E-Mail, eine SMS oder einen Anruf handelt, den du nicht erwartet hast. Klicke nicht unbedacht auf blinkende Anzeigen online, die dringlich oder warnend klingen, dabei könnte es sich um Scareware handeln.
3. Fragen, fragen und nochmals fragen. Wenn du den Eindruck hast, dass jemand versucht, dich am Telefon zu betrügen, befrage diese Person, auch wenn sie vorgibt, ein Vorgesetzter zu sein. Wir der Ton des Anrufers dringlicher, versucht er dich unter Druck zu setzen? Dann kannst du davon ausgehen, dass am anderen Ende ein Betrüger sitzt.
4. Melde Fehler und dubiose Inhalte, wenn sie dir auffallen. Seriöse Unternehmen prüfen ihre Kommunikation gründlich, bevor sie sie verschicken. Hacker hingegen hinterlassen häufig unzählige Grammatik- und Rechtschreibfehler.
5. Schalte deinen gesunden Menschenverstand ein, wenn du online surfst.
6. Gib online nur das Nötigste von dir preis. Leicht zugängliche Daten können dazu beitragen, dass jemand Informationen über dich sammelt und sie für Social-Engineering-Angriffe verwendet. Finde heraus, wie du deine Google-Fotos löschen kannst und nutze wenn mögliche eine private Suchmaschine (z.B. DuckDuckGo)
7. Software-Updates sind das A und O. Aktualisiere regelmäßig deine Geräte, leg dir ein gutes Antivirenprogramm zu und installiere Spam-Filter.
8. Verwende ein VPN. Eine VPN-Software hilft dir, deine Identität zu verbergen und verhindert, dass Hacker deine Daten abfangen, insbesondere, wenn du im öffentlichen WLAN surfst. Der Bedrohungsschutz Pro von NordVPN blockiert außerdem Malvertising und Webseiten, die dafür bekannt sind, dass sie Schadsoftware hosten.

Sichere jetzt deine Daten mit NordVPN. Probier es einfach aus mit unserer 30-Tage-Geld-zurück-Garantie.