Ein Social-Engineering-Angriff bezeichnet die Manipulation einer Person durch
psychologische Stimulierung der menschlichen Instinkte.
Simpel ausgedrückt, bedeutet es, dass der Angreifer sich darin versteht, auf die Bedürfnisse des Opfers einzugehen und Vertrauen aufzubauen, da er den Anschein von Legitimität ausstrahlt und grundlegend die menschliche Psyche dafür verwendet, um genau das von seinem Opfer zu erhalten, was er möchte – in der Regel Zugang zu sensiblen Daten oder die Investition in eine gefälschte Anlagemöglichkeit (Kapitalanlagebetrug)
Was ist Social Engineering?
Unter Social Engineering versteht man die Technik, Taktik oder Strategie, eine
Person zu manipulieren, zu beeinflussen oder zu täuschen, um die Kontrolle über ein Computersystem zu erlangen oder persönliche, sensible und finanzielle Informationen der Person zu stehlen.
Social Engineering nutzt psychologische Manipulation, um Personen dazu zu verleiten, Sicherheitsfehler zu machen oder vertrauliche Informationen preiszugeben.
Es zielt auf die menschlichen Instinkte ab: Vertrauen, Angst, Gier und Hilfsbereitschaft.
Social-Engineering-Angriffe erfolgen in einem oder mehreren Schritten.
Der Angreifer untersucht zunächst das potentielle Opfer, um notwendige Informationen zu sammeln.
Das können zum Beispiel mögliche Eintrittspunkte und schwache Sicherheitsprotokolle, die für die Durchführung des Angriffs erforderlich sind, sein.
Anschließend nutzt der Angreifer einen Vorwand, beispielsweise durch eine
gefälschte Identität, um das Vertrauen des Opfers zu gewinnen und ihm Motivation
für nachfolgende Aktionen zu geben.
Dies beinhaltet in der Regel Verstöße gegen Sicherheitspraktiken, beispielsweise durch die Offenlegung sensibler Informationen oder die Gewährung von Zugriff auf kritische Ressourcen.
Arten von Social-Engineering-Angriffen
Es gibt eine Vielzahl von Social-Engineering-Angriffen.
Sie treten in verschiedenen Formen auf und können überall dort durchgeführt werden, wo menschliche Interaktion im Spiel ist.
Im Folgenden finden Sie eine Liste mit gängigen Formen digitaler Social-Engineering-Angriffe.
Phishing – Vishing – Smishing
Phishing bezeichnet den Versuch, an sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendaten zu gelangen, indem man sich als
vertrauenswürdige Person oder Entität ausgibt.
Bei Phishing kontaktiert der Angreifer das potentielle Opfer über E-Mails (Phishing), SMS-Textnachrichten (Smishing) oder das Telefon (Vishing).
Phishing-Nachrichten erzeugen beim Empfänger der Nachricht ein Gefühl der
Dringlichkeit, Neugier oder Angst. Die Nachricht verleitet die Opfer dazu, vertrauliche Informationen preiszugeben, auf Links zu schädlichen Websites zu klicken oder Anhänge zu öffnen, die Malware enthalten.
Tailgating
Auch als „Huckepack“ bekannt. Ein physischer Verstoß, bei dem sich eine unbefugte Person mithilfe von Social-Engineering-Taktiken Zugang zu einem
zugangsbeschränkten oder nur für Mitarbeiter autorisierten Bereich verschafft.
Der Angreifer könnte sich als Lieferfahrer oder Hausmeister ausgeben
Scareware
Scareware bezeichnet Angriffe, bei denen potentielle Opfer Fehlalarme und fiktive
Drohungen erhalten.
Ihnen wird zum Beispiel vorgetäuscht, ihr System sei mit einem Virus (Schadsoftware) infiziert, was sie dazu veranlasst, Software zu installieren, die dem Kriminellen Fernzugriff gewährt.
Oder sie werden dazu erpresst, die Kriminellen in Form von Bitcoin zu bezahlen,
damit sie angeblich existierende sensible Videos nicht veröffentlichen (Bitcoin als Lösegeld)
Wie auch immer der Angriff letzten endes ausgeführt wird – ob man sich physischen Zutritt zu einem geschützten Bereich verschafft oder jemanden über das Telefon bedroht – die grundlegenden Prinzipien hinter dem Angriff sind die gleichen:
Die Anwendung von psychologischer Manipulation durch das Verständnis der
menschlichen Instinkte und Psyche.
Wie können Sie sich vor Social-Engineering-Angriffen schützen?
Es ist schwer sich vor Social-Engineering-Techniken zu schützen, da diese wie
bereits erwähnt, an unsere menschlichen Instinkte appellieren.
Aber ganz egal wie nett und vertrauenswürdig eine Person auch erscheinen mag (und es eventuell auch ist), so gibt es ein paar grundlegende Dinge, die Sie immer im Hinterkopf behalten sollten, wenn Sie aus heiterem Himmel von jemandem kontaktiert werden.
- Öffnen Sie keine E-Mail-Anhänge aus verdächtigen Quellen. Selbst wenn
Sie den Absender kennen – wirkt die Nachricht verdächtig wenden Sie sich
am besten direkt an diese Person, um die Echtheit der Nachricht zu
bestätigen.
- Verwenden Sie Multi-Faktor-Authentifizierung (MFA). Eine der
wertvollsten Informationen, nach denen Angreifer suchen, sind Benutzeranmeldeinformationen. Die Verwendung von MFA trägt dazu bei,
den Schutz Ihres Kontos im Falle einer Kompromittierung sicherzustellen.
- Seien Sie skeptisch bei verlockenden Angeboten. Wenn ein Angebot zu gut erscheint, um wahr zu sein, ist es das in der Regel auch. Recherchieren Sie
mithilfe einer Suchmaschine nach dem Thema bzw. Angebot. So können Sie schnell feststellen, ob es sich um ein legitimes Angebot oder einen Betrug
handelt.
- Räumen Sie auf in Ihren sozialen Medien. Social-Engineering-Angreifer
durchsuchen das Internet nach jeglichen Informationen, die sie über eine Person finden können. Je mehr Informationen Sie über sich selbst veröffentlicht haben, desto wahrscheinlicher ist es, dass Sie das Ziel eines
Phishing-Angriffs werden.
- Installieren und aktualisieren Sie Antivirensoftware. Aktivieren Sie automatische Updates und überprüfen Sie regelmäßig, ob die Updates auch angewendet wurden. Scannen Sie Ihr System täglich auf mögliche Viren.
- Erstellen Sie regelmäßig Backups von Ihren Daten. Sollten Sie Opfer eines
Social-Engineering-Angriffs werden, bei dem Ihre gesamte Festplatte
beschädigt wurde, ist es wichtig, dass Sie ein Backup Ihrer Daten besitzen – zum Beispiel auf einer externen Festplatte.
- Vernichten Sie in regelmäßigen Abständen sensible Dokumente. Alle
sensiblen Dokumente wie zum Beispiel Kontoauszüge, Kreditinformationen
und andere Kontoinformationen sollten physisch vernichtet werden.
Sie wurden Opfer eines Social-Engineering-Angriffs, was nun?
Sollten Sie trotz aller Informationen und möglichen Präventionen in der misslichen
Lage sein, dass Sie Opfer eines solchen Social-Engineering-Angriffs geworden sind, brauchen Sie Hilfe von Experten.
Wir, die MFP – Manufaktur für Problemlösungen GmbH, sind hochspezialisiert in
der Identifizierung, Verfolgung und Wiederherstellung verlorener digitaler
Vermögenswerte.
Wurde Ihr Konto kompromittiert und man hat Ihnen Geld gestohlen?
Nehmen Sie umgehend Kontakt zu uns auf und erhalten unverbindlich und
kostenlos eine Ersteinschätzung zu Ihrem Fall.
