Social Engineering: Bedeutung, Methoden und wie Sie nicht zum Opfer dieser cyberkriminellen Machenschaften werden
Wenn wir eine Bingo-Karte zum Thema Cybersicherheit für das Jahr 2024 hätten, würde Social Engineering als oberster Cyberattacken-Vektor definitiv darauf zu finden sein. Laut Verizons aktuellem Data Breach Investigations Report haben derartige Vorfälle im Vergleich zum Vorjahr hauptsächlich aufgrund von Pretexting zugenommen. Diese Taktik wird häufig in sogenannten BEC-Attacken (Business Email Compromise), also zur Kompromittierung von Geschäfts-E-Mails, eingesetzt und hat sich seit 2022 fast verdoppelt. Die Mediansumme, die in solchen Vorfällen erbeutet wird, ist in den letzten Jahren ebenfalls in die Höhe geschnellt, auf sage und schreibe 50.000 US-Dollar.
Social Engineering ist allerdings nicht nur stark verbreitet, es ist auch eine der heimtückischsten Methoden, die Hacker einsetzen, um arglose Unternehmen oder Einzelpersonen übers Ohr zu hauen. Denn sie machen sich die Schwächen der menschlichen Psyche zunutze, um ihre Opfer dazu zu bringen, sensible Informationen preiszugeben – und oftmals ist diesen nicht einmal bewusst, dass sie zum Opfer geworden sind. Auch die Angriffe haben sich seit der einfach gestrickten Masche mit dem nigerianischen Prinzen weiterentwickelt und auf alarmierende Weise sowohl an Raffinesse als auch an Effizienz zugenommen.
Diese Woche werden wir alles rund um das Thema Social Engineering unter die Lupe nehmen: was Social-Engineering-Attacken sind, wie sie funktionieren, wie Sie sie erkennen und verhindern können und wie Ende-zu-Ende-Verschlüsselung ihre Verteidigung gegen sie stärken kann.
Was ist Social Engineering in Cybersicherheit? Definition und wichtige Überlegungen
Social-Engineering-Attacken sind vom Wesen her in erster Linie nicht technologische, sondern psychologische Angriffe. Wie wir bereits in unserem Leitfaden dazu erklärt haben, was Sie tun sollten, wenn Sie auf einen Phishing-Link geklickt haben , nutzen diese Kampagnen psychologische Manipulation, um Nutzer dazu zu bewegen, ihre Sicherheit zu kompromittieren, Gelder zu überweisen oder sensible Daten zu teilen. Auch wenn sie dafür digitale Tools einsetzen, unterscheiden sie sich gar nicht so sehr von traditionellen Betrugsmaschen, wie die mit dem Hausierer, der ältere Opfer dazu bringt, ein Abonnement für Lebensmittelergänzungen einzugehen, die nie ankommen.
Ob physisch oder digital, alle Social-Engineering-Methoden bauen auf demselben Modus Operandi auf: der Ausnutzung unserer Schwächen, wie Eitelkeit, Angst und Gier am einen oder Neugier, Großzügigkeit und Mitleid am anderen Ende des Spektrums. Tatsächlich machen sie sich oft aktuelle Ereignisse und bestimmte Termine im Jahr zunutze, wie Naturkatastrophen wie den Tsunami auf Java und Sumatra, Epidemien und Bedrohungen der Gesundheit wie die COVID-19-Pandemie, wirtschaftliche Anliegen wie Betrugsmaschen zur Stoßzeit von Steuererklärungsfristen oder Feiertage, erklärt die US-amerikanische Cybersecurity and Infrastructure Security Agency.
Hacken der Psyche: Wie funktioniert Social Engineering – und warum ist es so effektiv?
Social Engineering nutzt eine Schwachstelle aus, die in jedem Unternehmen anzutreffen ist: die menschliche Psyche. Anstatt Brute-Force-Methoden oder ausgefeilte Hackertechniken für ihre Attacken einzusetzen, manipulieren Social-Engineering-Angreifer ihre Opfer, sodass diese freiwillig sensible Informationen preisgeben. Damit erzielen sie meist Erfolge, weil ihre Taktiken auf unsere angeborene Tendenz bauen, anderen zu vertrauen und hilfsbereit sein zu möchten. Aber wie genau bewirken sie das?
Laut Studien baut Social Engineering in starkem Maße auf die sieben Prinzipien der Überzeugung von Dr. Robert Cialdini, einem amerikanischen Verhaltenspsychologen und weltbekannten Experten in Sachen Beeinflussung und Überzeugung. Bei diesen Prinzipien handelt es sich um Reziprozität, Konsistenz, soziale Bewährtheit, Autorität, Sympathie und Knappheit – die alle breite Anwendung auf Gebieten wie Vertrieb und Marketing finden, um die Kauf- und Konsumentscheidungen von Menschen zu beeinflussen.
Beim Social Engineering werden sie jedoch für sehr viel ruchlosere Zwecke eingesetzt.
Das Prinzip der Reziprozität hat seine Wurzeln in der Vorstellung, dass Menschen, denen ein Gefallen getan oder ein Geschenk gegeben wird, sich verpflichtet fühlen, sich dafür erkenntlich zu zeigen – selbst in Form eines simplen Dankeschöns. Im Zusammenhang mit Social Engineering bieten die Angreifer vermeintlich wertvolle Informationen oder Hilfe, was das Opfer dazu animiert, „eine Gegenleistung zu erbringen“ – gewöhnlich durch die Preisgabe sensibler Informationen.
Knappheit bezieht sich auf unsere Tendenz, etwas mehr wertzuschätzen, wenn weniger davon verfügbar ist – wie bei Produkteinführungen in limitierter Auflage, Schlussverkäufen und Warnungen von Online-Händlern, dass das Produkt, auf das Sie ein Auge haben, nur noch begrenzt vorrätig ist. Dementsprechend erzeugen Social-Engineering-Angreifer möglicherweise ein falsches Gefühl der Dringlichkeit oder Knappheit, um ihre Opfer zum unverzüglichen Handeln zu bewegen, was nicht selten zu Sicherheitsverletzungen führt.
Menschen tendieren dazu, Autoritätspersonen zu gehorchen, weshalb Angreifer sich oftmals als Geschäftsführer, Strafverfolgungsbeamte, Steuerbeamte oder IT-Personal ausgeben, um wertvolle Informationen zu erbeuten. Darüber hinaus mögen Menschen Konsistenz – in Sachen eigene Verpflichtungen und Überzeugungen. Dies können böswillige Individuen leicht ausnutzen, indem sie zuerst kleine Zugeständnisse einfordern und diese dann eskalieren.
Das Prinzip der Sympathie basiert auf der Idee, dass wir uns eher von Personen, die wir mögen, als von Fremden beeinflussen oder überzeugen lassen. Daher werden Angreifer möglicherweise versuchen, eine Beziehung zu ihren Opfern aufzubauen, oder sich gar als eine vertrauenswürdige Person oder Gruppe auszugeben und so unseren Impuls auszulösen, in Zeiten der Ungewissheit nach sozialer Bewährtheit oder Handlungsanleitungen von Gleichgesinnten zu suchen.
Die gängigsten Arten von Social-Engineering-Attacken und Beispiele, die Sie kennen sollten
1. Phishing, Vishing und Smishing
Phishing ist wahrscheinlich die bekannteste Form von Social-Engineering-Attacken. Dabei werden gefälschte E-Mails gesendet, die vorgeben, aus einer seriösen Quelle zu stammen, um so sensible Daten wie Benutzernamen, Passwörter oder Kreditkarteninformationen zu erbeuten. Phishing-Angreifer erzeugen oft ein Gefühl der Dringlichkeit in ihren Nachrichten, um zum unverzüglichen Handeln zu animieren, was häufig dazu führt, dass die Opfer ihre Sicherheit unwissentlich aufs Spiel setzen.
Vishing oder „Voice Phishing“, bezieht sich auf eine Social-Engineering-Technik, bei der Betrüger Telefonie und Sprachtechnologie nutzen, um von ihren Opfern personenbezogene Informationen oder Geld zu stehlen. Vishing-Anrufe können durch reale Personen oder Roboterstimmen – oder beides – getätigt werden. Smishing oder SMS-Phishing erfolgt über SMS oder andere beliebte Messenger-Apps wie WhatsApp, Viber, Snapchat oder Slack.
2. Baiting
Das Herzstück von Baiting ist die Ausnutzung der menschlichen Neugier. Im Zuge des Baiting wird das Opfer dazu überredet, eine bestimmte Aufgabe auszuführen, indem ihm der einfache Zugriff auf etwas versprochen wird, das es haben möchte, erklärt die Agentur der Europäischen Union für Cybersicherheit. Ein Beispiel dafür wäre, einen mit dem Label „Lohnabrechnung Q4“ beschrifteten und mit Schadsoftware infizierten USB-Stick dort zu platzieren, wo potenzielle, anvisierte Opfer ihn definitiv sehen werden. Sobald der USB-Stick an einen Computer angeschlossen wird, wird die Malware installiert und öffnet so Tür und Tor für Cyberkriminelle.
3. Pretexting
Beim Pretexting schafft der Angreifer ein Szenario oder einen Vorwand (engl. „pretext“), in dem er sich als eine vertrauenswürdige Person oder Organisation – wie ein Kollege, ein Steuerbeamter oder ein Versicherungsdetektiv – ausgibt, um sein Opfer zur Preisgabe sensibler Informationen zu bewegen. In den meisten Fällen geben die Kriminellen sich als Mitarbeiter des technischen Supports aus, die vorgeben, ein nicht existierendes IT-Problem beheben zu wollen, als Bankangestellte, die anrufen, um Kontoinformationen im Zusammenhang mit verdächtigen Kontoaktivitäten bestätigen zu lassen, oder als HR-Mitarbeiter, die eine routinemäßige Datenverifizierung ausführen.
4. Quid pro quo
Ähnlich wie beim Baiting beginnen Quid-pro-quo-Attacken gewöhnlich damit, dass ein Hacker Sie im Gegenzug für einen kostenlosen oder wichtigen Service um wertvolle Informationen wie Anmeldedaten bittet. So mag er sich z. B. als Repräsentant eines externen IT-Serviceanbieters ausgeben und dem Opfer eine kostenlose Überprüfung nach Viren anbieten oder vorgeben, ein Mitglied des firmeninternen IT-Teams zu sein, das anruft, um im Gegenzug für das Nutzerpasswort mit einer Fehlerbehebung oder der Installation eines Software-Updates behilflich zu sein.
5. Tailgating
TechTarget definiert Tailgating-Attacken, die auch als Piggybacking (zu Deutsch „Huckepack“) bezeichnet werden, als Form einer physischen Sicherheitsverletzung, in der eine unbefugte Person einer befugten folgt, um ein gesichertes Gelände zu betreten. So mag z. B. ein Angreifer, der ein Sperrgebiet betreten möchte, für das angemessene Identifizierung erforderlich ist, sich als Lieferant ausgeben und vorm Gebäude warten. Wenn ein Mitarbeiter die Tür öffnet, bittet der Betrüger ihn darum, diese für ihn offenzuhalten – und schon ist er drinnen.
5. Diversion Theft
Diese Art von Social-Engineering-Angriffen kann online oder offline erfolgen, um eine Transaktion wie die Lieferung von Waren abzufangen. Es kann sich z. B. um einen mit Spyware infizierten Laptop handeln, anstatt des vom Opfer bestellten Geräts, sodass der Betrüger gleich doppelt absahnt: mit einem neuen Gerät für sich selbst und mit dem Zugriff auf sensible Daten. Diversion Theft kann noch sehr viel weitreichendere Konsequenzen haben, wenn es bei der Transaktion z. B. um potenziell gefährliche Chemikalien geht, die in den Händen von Terrororganisationen oder extremistischen Gruppierungen landen.
6. Honeytrap – die Honigfalle
Falls Sie den bekannten Netflix-Dokumentarfilm „Der Tinder-Schwindler“ aus dem Jahr 2022 gesehen haben, wissen Sie ganz genau, wie die Honeytrap-Masche funktioniert. Honigfallen gehören zu den ältesten Tricks und zielen auf diejenigen Personen ab, die über Dating-Apps und Social Media auf der Suche nach Liebe sind. Betrüger, die diese Art von Social-Engineering-Attacken verwenden, nutzen Romantik oder persönliche Anziehungskraft, um ihre Opfer dazu zu bewegen, vertrauliche Informationen mit ihnen zu teilen, ihnen Geld zukommen zu lassen oder Schadsoftware herunterzuladen.
7. Water-Holing
Water-Holing-Attacken nutzen das Vertrauen aus, das Nutzer in bestimmte Webseiten (ähnlich wie wilde Tiere in bestimmte Wasserstellen, engl. „water hole“) haben, insbesondere in Berufsgemeinschaften wie z. B. Stack Exchange. Nutzer sind oftmals eher dazu bereit, auf einen auf einer solchen Webseite vorhandenen Link zu klicken, als irgendwo anders im Internet. Dies öffnet böswilligen Individuen einen Weg, Schadsoftware auf Nutzergeräten zu installieren oder Anmeldedaten für ihre Zwecke zu missbrauchen. Die Holy Water Campaign 2`19 nahm z. B. asiatische Religionsgemeinschaften mit Pop-ups für Adobe-Flash-Aktualisierungen ins Visier.
So erkennen Sie eine Social-Engineering-Bedrohung: 10 verräterische Zeichen, nach denen Sie Ausschau halten sollten
1. Unaufgeforderte Kommunikation
Hüten Sie sich vor unaufgeforderten E-Mails, Anrufen oder Nachrichten, insbesondere dann, wenn Sie in ihnen um sensible Informationen, Hilfe oder Geld gebeten werden – sie können von einem Betrüger stammen, der Sie aufs Glatteis führen möchte.
2. Dringlichkeit
Social-Engineering-Betrüger versuchen, ihre Opfer zum schnellen Handeln zu bewegen – zu schnell, um genau zu sein. Wenn eine Nachricht Sie dazu drängt, auf einen Link zu klicken oder Informationen zu teilen, sollten bei Ihnen die Alarmglocken läuten.
3. Zu gut, um wahr zu sein
Hinter Anreizen, die extrem großzügig erscheinen – insbesondere im Gegenzug für etwas Kleines wie ein Klick oder eine Registrierung – stecken gewöhnlich andere Beweggründe. Begegnen Sie solchen Angeboten stets mit Skepsis.
4. Allgemeine Anrede oder Grußformel
Nachrichten, die mit allgemeinen Anreden wie „Lieber Kunde“ oder „Sehr geehrter Nutzer“ beginnen, sind gewöhnlich verdächtig. Die meisten seriösen Unternehmen sprechen ihre Kunden mit ihrem Namen an.
5. Nicht übereinstimmende URLs
Bewegen Sie Ihren Mauszeiger über einen in einer E-Mail oder Nachricht enthaltenen Link, um die tatsächliche URL anzuzeigen, ohne auf sie zu klicken. Wenn der Text des Links und die URL nicht übereinstimmen, handelt es sich wahrscheinlich um einen Betrug.
6. Ungewöhnliche E-Mail-Adressen
Richten Sie besonderes Augenmerk auf die E-Mail-Adresse des Senders. Wenn diese sich von der offiziellen Domain des Unternehmens unterscheidet oder verdächtig erscheint, kann es sich um einen Phishing-Versuch handeln.
7. Schlechte Grammatik oder Rechtschreibung
Die Kommunikation namhafter Unternehmen wird gewöhnlich auf Grammatikfehler und Richtigkeit überprüft. Wenn es in einer Nachricht vor Rechtschreibfehlern und Unregelmäßigkeiten wimmelt, handelt es sich möglicherweise um Betrug.
8. Bitte um personenbezogene Informationen
Seriöse Unternehmen werden Sie selten um persönliche Details bitten, insbesondere nicht um Anmeldedaten via E-Mail oder Telefon. Jede Nachricht, die eine solche Bitte enthält, sollte als potenzielle List angesehen werden.
9. Unerwartete Anhänge
Hüten Sie sich vor unaufgeforderten E-Mails, die Sie dazu auffordern, einen Anhang herunterzuladen und zu öffnen, da es sich hierbei um gängige Übertragungsmethoden für Schadsoftware handelt, erklärt die CISA
10. Zu viel Personalisierung
Cyberkriminelle nutzen meist personenbezogene Details, um Vertrauen aufzubauen – und so noch mehr personenbezogene Details zu erbeuten. Sollte eine Nachricht Informationen enthalten, die Sie nicht geteilt haben, seien Sie besonders auf der Hut.
So verhindern Sie Social Engineering: Techniken, Tipps und Best Practices
Die Einrichtung von automatisierten Filtern, das Tagging von E-Mails von externen Sendern und das Markieren von Sendern und IP-Adressen, die für böswillige Absichten bekannt sind, sind alles wichtige Schritte bei der Verhinderung von Social-Engineering-Attacken. Aber lassen Sie uns nicht vergessen, dass Menschen die primäre Zielscheibe für diese Kampagnen sind, weshalb Ihre Abwehr an dieser Stelle beginnen sollte.
Was ist die effektivste Weise, Social-Engineering-Attacken zu erkennen und zu stoppen? Die gibt es nicht. Stattdessen sollten Unternehmen eine Kombination von Tools, Taktiken und Ansätzen anwenden, um das Risiko zu mindern, dass einzelne Nutzer auf Social-Engineering-Maschen hereinfallen – und im gleichen Zug das gesamte Unternehmen schädigen.
Hier nennen wir Ihnen die 6 wichtigsten Praktiken.
1. Prüfen Sie den Absender
Seien Sie stets misstrauisch, wenn Sie E-Mails von unbekannten Sendern erhalten – insbesondere, wenn diese als von einem externen Sender stammend gekennzeichnet sind. Prüfen Sie, ob die Nachricht tatsächlich von jemandem stammt, den Sie kennen, und falls nicht, ob es sich um etwas handelt, das Sie erwartet haben.
Im Zweifelsfall können Sie den Mauszeiger über den angezeigten Namen des Senders bewegen, um die tatsächliche E-Mail-Adresse anzuzeigen. Betrüger fälschen oft E-Mail-Adressen, indem sie Zeichen hier und da ersetzen oder auslassen, damit es so scheint, als ob die Nachricht von einer legitimen Domain stammt.
Außerdem sollten Sie beachten, ob die E-Mail eine Handlungsaufforderung enthält. Falls ja, macht diese Sinn? Wenn eine Person, die Sie kennen, Sie um Informationen bittet, um die sie Sie normalerweise nicht bitten würde, sollten Sie erwägen, dass ihr Konto möglicherweise kompromittiert wurde.
2. Misstrauen gegenüber Links und Anhängen
Bewegen Sie Ihren Cursor über in einer E-Mail enthaltene Links, ohne dabei auf diese zu klicken. Prüfen Sie diese genauso sorgfältig wie den Sender. Wenn die Nachricht von einem von Ihnen genutzten Dienstleister wie z. B. Microsoft, Google oder LastPass stammt, öffnen Sie die Anbieterseite manuell, melden Sie sich an und schauen Sie nach, ob Sie dort Benachrichtigungen erhalten. Falls nicht, sollten Sie die E-Mail melden. Vermeiden Sie es, E-Mail-Anhänge herunterzuladen, insbesondere von unbekannten Absendern.
3. Verifizieren, verifizieren und nochmals verifizieren
Falls Sie sich fragen, ob das Konto eines Kollegen oder Freundes kompromittiert wurde, sollten Sie die Person über einen anderen Kanal kontaktieren und nachhaken, ob sie Ihnen die Nachricht tatsächlich geschickt hat. Wenn Sie ihre Telefonnummer haben, rufen Sie sie direkt an. Fordert die Nachricht Sie zu etwas Anderem auf, ignorieren Sie sie am besten. Kein Anliegen ist so dringend, dass keine Zeit zum Befolgen von Sicherheitsprotokollen bleibt.
4. Richtlinien festlegen und geltend machen
Und da wir gerade von Protokollen sprechen: Stellen Sie sicher, dass Sie klare Richtlinien dazu festlegen, was zu tun und wer zu kontaktieren ist, wenn etwas ungewöhnlich erscheint. Ein Umfeld, in dem unnormale Vorfälle infrage gestellt werden, fördern Wachsamkeit. Mitarbeiter sollten darin geschult werden, welche Social-Engineering-Techniken am häufigsten von Betrügern eingesetzt werden und wie sie dazu beitragen können, solche Attacken abzuwenden.
5. Unsichere Kanäle vermeiden
Um Social-Engineering-Attacken zu vermindern, kann es bereits eine große Hilfe sein, die Anzahl der E-Mails zu verringern, die Mitarbeiter erhalten. Erwägen Sie einen Wechsel von E-Mail zu Workplace-Chat-Anwendungen, Projektmanagement-Tools und cloudbasierten Plattformen für die Zusammenarbeit als primäre interne Kommunikationsform, um Informationen und Ideen untereinander auszutauschen.
6. Simulation von Social-Engineering-Attacken
95% von Fortune-500-Unternehmen nutzen Microsoft-Clouddienste und viele ihrer Nutzer haben so wahrscheinlich Zugriff auf Informationen, die von Cyberkriminellen als extrem wertvoll angesehen werden. Aus diesem Grund sind Microsoft-Benachrichtigungen Bestandteil unserer vierteljährlichen Phishing-E-Mail-Übungen. In diesen simulierten Angriffen erhalten unsere Kollegen eine gefälschte Sicherheitswarnung. Wenn sie klicken, um ihren Aktivitätsverlauf zu prüfen, öffnet sich ein Proxy-Klon der Microsoft-Anmeldeseite, um ihre Anmeldedaten zu stehlen.
Simulationen wie diese spielen eine zentrale Rolle bei der Förderung einer Unternehmenskultur, die die Ansicht vertritt, dass Cybersicherheit eine geteilte Verantwortung ist. Eine transparente Kommunikation über potenzielle Bedrohungen und die vom Unternehmen unternommenen Schritte, um diese anzugehen, kann das Vertrauen und die Kooperation in Teams stärken. Darüber hinaus fördert diese Praktik nicht nur die Wachsamkeit einzelner Nutzer, sondern Sie können auch Schwachstellen und Verbesserungsmöglichkeiten in Ihren existierenden Sicherheitsprotokollen identifizieren.
Wie kann Ende-zu-Ende-Verschlüsselung Unternehmen helfen, sich vor Social Engineering zu schützen?
Ende-zu-Ende-verschlüsselte Datentausch- und Zusammenarbeitsplattformen wie Tresorit können eine brauchbare Schutzebene gegen Social-Engineering-Attacken darstellen. Zwar können sie derartige Angriffe nicht vollständig verhindern, aber sie können zu einer Unternehmenskultur beitragen, die Mitarbeiter befähigt und die Widerstandsfähigkeit Ihrer Firma gegen Cyberbedrohungen stärkt. Wenn Sicherheitsprotokolle beispielsweise die Nutzung sicherer Links zum Teilen von Dokumenten mit internen und externen Partnern vorschreiben, handhaben Mitarbeiter E-Mail-Anhänge mit größerer Wahrscheinlichkeit mit gesundem Misstrauen und größerer Vorsicht.
Sichere Links zum Teilen gestatten es Nutzern außerdem, den Zugriff auf fälschlich gesendete Dateien und Ordner zu sperren. Dies ist wichtig, da nicht alle Social-Engineering-Kampagnen Anmeldedaten als Zielscheibe anvisieren – manche haben es auf sehr wertvolle Unternehmensdaten abgesehen. Wenn Sie einen traditionellen E-Mail-Anhang versenden, befinden sich Ihre Daten nach dem Senden dieser E-Mail außerhalb Ihrer Kontrolle. Dagegen können Links zum Teilen gesperrt werden, um weiteren Zugriff durch unbefugte Nutzer zu verhindern. Im Anschluss kann über die Dokumentenanalyse (falls aktiviert) geprüft werden, wie viel des geteilten Dokuments die unbefugten Personen lesen konnten.