Social Engineering umfasst sämtliche Methoden, die auf der direkten Kommunikation mit und Manipulation von Menschen basieren. Im Zeitalter der Digitalisierung werden immer höhere Mauern um Daten gebaut. Sie dienen dem Schutz wichtiger Informationen und sollen Cyberkriminellen das Leben schwer machen.
Die Schwachstelle „Mensch” kann allerdings kein Sicherheitsexperte vollständig absichern. Diese Tatsache wissen Kriminelle sehr kreativ auszunutzen – tagtäglich gibt es Berichte über neue Betrugsversuche.
Übersetzen kann man Social Engineering mit Sozialtechnik oder soziale Manipulation. Der Begriff umfasst zahlreiche Strategien, deren Ziel ist es ist, Menschen so zu manipulieren, dass sie Zugriffe erlauben, Daten preisgeben, Informationen teilen oder Geldsummen bewegen.
Die Taktik der Täter (Social Engineers) setzt auf das Glück des Zufalls, falsches Vertrauen und die Unüberlegtheit ihrer Opfer. Obwohl die Methoden des Social Engineerings teilweise schon seit Anbeginn unserer Zivilisation existieren, wird der Begriff heute meistens im Kontext von digitalem Betrug im Internet verwendet. Social Hacking ist ein gängiges Synonym.
Betrüger nutzen verschiedene Kommunikationswege, um einen Betrug durch soziale Manipulation auszuführen:
Grundsätzlich unterscheidet man Massenbetrügereien von gezielten Betrugsmaschen.
Typisch ist das Versenden von Mails an hunderttausende Adressen, in denen die Empfänger zu einer bestimmten Aktion aufgefordert werden:
Die Methoden sind sehr vielfältig und gehören allesamt zur Kategorie Phishing.
Das Versenden geschieht meistens automatisch und erfordert vergleichsweise wenig Know-how, Mühe und finanzielle Ressourcen. Da die Mails nicht spezifisch auf den Empfänger zugeschnitten sind, werden sie häufig als Betrug erkannt oder landen direkt im Spam-Ordner. Die Erfolgsquote ist daher gering.
Das gezielte Social Engineering erfordert mehr Ressourcen als der Massenbetrug, zum Beispiel für Recherche, Ansprache und das Fingieren von Referenzen und Beweisen. Auch hierbei gibt es ein weites Spektrum: Als gezielter Angriff gilt bereits der Betrugsversuch auf eine bestimmte Gruppe von Angestellten in einer bestimmten Branche.
Man nennt die Methode Spear Phishing (Speerfischen), da die Täter nicht wahllos das ganz große Netz auswerfen, sondern gezielte Opfer auswählen.
Profis im Bereich des Social Engineerings gehen aber häufig ein noch gewagteres Risiko ein: Sie visieren wenige ausgewählte Mitarbeiter oder sogar nur Einzelpersonen in einem Unternehmen an, deren Vertrauen sie sich über einen längeren Zeitraum hinweg erschleichen.
Dazu bauen sie eine Beziehung zum Betrugsopfer auf, studieren dessen Verhalten und fälschen komplexe Referenzen, um ihre Glaubwürdigkeit zu beweisen.
Je nach Umfang der Betrügerei kann ein Arbeitsaufwand von Wochen oder Monaten in die Vorbereitungen fließen. Bei diesen ausgefeilten Plänen ist die Erfolgsquote hoch, ansonsten würde sich der intensive Einsatz der Ressourcen nicht rentieren.
Social Engineering kann viele Formen annehmen. Fast beeindruckend ist die Kreativität der Angreifer, die scheinbar immer neue Gaunereien erfinden – besonders nachdem in der Presse ausführlich über eine neue, erfolgreiche Methode berichtet wurde.
Oft kombinieren Social Engineers gleich mehrere Betrugsmaschen miteinander. Hier finden Sie
| Begriff | Methode |
|---|---|
| Vishing (Kofferwort aus voice fishing) | Fingierte Telefonanrufe mithilfe von Voice over IP-Telefonie |
| CEO-Fraud/ CEO-Betrug | Gezielter Angriff auf Entscheider und Führungskräfte, auch Whaling genannt (deutsch: Walfang, dicke Fische angeln) |
| Pharming (Kofferwort aus Phishing und farming, deutsch: züchten) | Manipulation von DNS-Anfragen von Webbrowsern Computer des Opfers wird so manipuliert, dass die Fake-Version einer häufig besuchten Website aufgerufen wird, auf der sich Opfer mit geschützten Zugangsdaten einloggen |
| Pretexting (deutsch: Vorwand verwenden) | Verwenden eines erfundenen Vorwands oder Szenarios, um Informationen vom Betrugsopfer zu erhalten, die es unter normalen Umständen nicht preisgeben würde z. B. fingierte E-Mails und Anrufe von Behörden, Polizei, Chef, Bank, Versicherer, Arbeitskollegen, Familienmitgliedern |
| Quid pro Quo (Gegenleistung einfordern) | Betrugsmasche, bei dem der Täter dem Opfer etwas anbietet und dann eine kleine Wiedergutmachung einfordert z. B. IT-Support bietet Hilfe, benötigt aber Passwort zur Verifizierung |
| Water holing (deutsch: Wasserloch-Strategie) | Opfer wird zu Fake-Version einer Website umgeleitet, die sie sehr häufig nutzen, dort werden private Daten erfragt oder zum Link-Klick aufgerufen Betrug basiert auf der Annahme, dass Nutzer auf vertrauten Websites viel bereitwilliger Informationen preisgeben oder Anweisungen folgen |
| Baiting (deutsch: ködern) | Opfer wird mit einem Köder (USB-Stick, CD, SD-Karte von vertrauenswürdiger Quelle oder Werbegeschenk) dazu gebracht, Datenträger zu verwenden, der Malware enthält |
| Tailgating (deutsch: Dichtes Auffahren-Strategie) | Höflichkeit des Opfers wird ausgenutzt, um Zugang zu einem abgesicherten Bereich zu erlangen z. B. Tür aufhalten, Handy ausleihen |
| Dumpster Diving (deutsch: tauchen im Müllcontainer) | Buchstäbliches Durchsuchen von Mülltonnen und Abfalleimern, um Informationen zu erhalten oder Anhaltspunkte für eine erfolgreiche Betrugsmasche zu finden |
Social Engineering gehört zu den größten IT-Risiken. Wie oft Verbraucher und Unternehmen täglich zu Opfern von Social Engineers werden, lässt sich nur mutmaßen. Das Phänomen ist so weit verbreitet und kennt so viele Abwandlungen, dass viele Betroffene oft gar nicht bemerken, dass sie einem Betrüger aufgesessen sind.
Weiterhin werden viele gescheiterte Betrugsversuche nicht zur Anzeige gebracht. Daher ist von einer hohen Dunkelziffer auszugehen. Laut einer Bitkom-Umfrage waren 15 % der Befragten von digitalem Social Engineering betroffen. Weitere 25 % schätzen, dass sie vermutlich schon Opfer einer Betrugsmasche von Hackern wurden.
Social Engineers nutzen die menschlichen Eigenschaften aus, die unser gesellschaftliches Zusammenleben ermöglichen: Hilfsbereitschaft, Vertrauen und Loyalität gegenüber Kollegen und dem Arbeitgeber werden genauso gegen potenzielle Opfer verwendet wie Angst vor Autoritäten und Rechtstreue gegenüber Behörden.
Eine Studie zu Cyber-Sicherheit von Wipro zeigte, dass der Faktor Mensch in vielen Sektoren als Top-Risiko bewertet wird:
Schlechte Zeiten sind oftmals gute Zeiten für Trickbetrüger. So verzeichneten IT-Experten weltweit einen Anstieg von Cyber-Attacken während dem Ausbruch der Corona-Pandemie (Link11 berichtete). Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete neue Phishing-Methoden, die speziell auf hilfsbedürftige Unternehmer abzielten.
Dazu wurden gefälschte Mails mit Sparkassen als Absender verschickt. Mehr zu Social Engineering rund um das Pandemie-Geschehen können Sie in unserer Nachrichtensammlung zum Thema Datenklau finden.
Weitere Schlagzeilen machte Anfang April 2020 eine neue
Methode, bei der User zu einer imitierten Eingabemaske für Soforthilfe-Anträge des Landes Nordrhein-Westfalen weitergeleitet wurden. Die Täter nutzten die Daten des Unternehmens, um die Finanzhilfen tatsächlich zu beantragen und durch Angabe eines anderen Kontos selbst einzustreichen.
Wiederholtes Lernen, Aufklären und Warnen – nur so können Menschen dauerhaft für die Bedrohung von Social Engineering sensibilisiert werden. Je größer das Bewusstsein für die Bedrohungslage, desto wahrscheinlicher ist die Entwicklung von Automatismen bei der Bewältigung der Arbeit.
Es gilt schon früh und umfassend die Mitarbeiter auf Angriffe zu sensibiliseren. Es gibt Mittel und Wege um gefälschte E-Mails schnell zu identifizieren und sich so zu schützen.
Folgende Möglichkeiten bieten sich, um die Gefahr rechtzeitig zu erkennen:
Grundsätzlich wird immer empfohlen, den Absender zu prüfen. Hier lässt es sich am leichtesten feststellen, ob die E-Mail echt ist oder nicht.
Denn oft beinhaltet die Mail-Adresse einen Buchstabendreher, Großbuchstaben oder beruht schlicht auf einem Fantasienamen. In jedem Mail-Programm lässt sich der Header überprüfen, bei dem alle Informationen unverfälscht überprüft werden können. Ein Blick genügt oft schon, um die Nachricht zu verifizieren.
Gefälschte E-Mails verraten sich oft selbst durch unsaubere Sprache mit vielen Textfehlern – vor allem unseriöse Fake-Mails sind so leicht zu erkennen.
Wenn Sie das Gefühl haben, dass die Nachricht nicht von einer realen Person verfasst wurde, sollte besondere Vorsicht genossen werden. Die eingesetzten automatischen Sprachrpogramme haben oft Probleme mit Groß- und Kleinschreibungen oder fügen seltsame Wordreher ein, die sofort ins Auge stechen.
Ist man sich nicht sicher, ob die Nachricht seriös ist oder nicht, hilft bei der entsprechenden Stelle nachzufragen. Egal ob Kollege, Partner oder Kunde – wenn Sie sich nicht sicher sind, fragen Sie lieber nach. Das geht schnell und bietet eine weiteres Schutzschild, bevor man einen Fehler begeht.
Sollte Unsicherheit bezüglich der Seriösität der E-Mail vorhanden sein, sollte auf keinen Fall auf den Link geklickt werden. Betätigen Sie Links nur, wenn Sie zu 100 Prozent von der Authentizität überzeugt sind – selbst wenn auf den ersten Blick die Kontaktaufnahme von bekanten Anbietern wie Amazon oder DHL zu sein scheint.
Zusätzlich können Sie mit der Maus vorsichtig über den Link hovern (nicht klicken!) und der Browser sollte links unten die Zieladresse anzeigen, zu der der Link führt.
Die technischen IT-Sicherheitsmaßnahmen sollten Hand und Hand mit der Sensibilisierung der Mitarbeiter gehen:
Weitere Anwendungssicherheit und Schutz vor Social Engineering bietet eine Web Application Firewall (WAF). Basierend auf einem Regelwerk prüft die WAF in Echtzeit alle Daten-Pakete, die zwischen den Clients ausgetauscht werden und warnt im Falle von Anomalien im Datenverkehr.
Außerdem können über eine Blacklist bekannte Betrugsseiten standardmäßig gesperrt werden.
Google bietet ein kleines Tool an, mit dem man seine eigene Erkennungsfähigkeiten prüfen kann. So macht das Erkennen von potentiellen Phising-Mails nicht nur Spaß, sondern hilft gleichzeitig, die eigenen Sinne für mögliche Angriffe zu schärfen.
Finden Sie hier heraus, ob Sie der Aufgabe gewachsen sind.
