Die Sicherheitsstandards im digitalen Raum sind in den letzten zwei Jahren enorm angestiegen. Doch auch bei immer besser werdenden Tools bleibt eine Lücke: der Mensch.
Bei der sogenannten Social Engineering Attacke haben es Cyberkriminelle genau darauf abgesehen. Sie manipulieren ihre Opfer so, dass sie die Sicherheitsvorrichtungen freiwillig umgehen. Wenn du auf eine Social Engineering Attacke hereinfällst, verschaffst du den Betrügern unwissentlich Zugang zu deinem Geld oder wertvollen Daten. Dabei kannst du sowohl im privaten als auch im geschäftlichen Umfeld in den Fokus der Cyberkriminellen geraten.
Wie du die Warnsignale eines Social-Engineering-Angriffs frühzeitig erkennst, Social Engineering Beispiele, welche Arten es gibt und alles Weitere, was du zum Thema wissen solltest, findest du in diesem Beitrag.
Inhaltsverzeichnis
Was ist Social Engineering? Bedeutung
Social Engineering ist eine Manipulationstechnik, bei der Betrüger psychologische Tricks nutzen, um vertrauliche Informationen zu erlangen, indem sie sich als vertrauenswürdige Personen ausgeben und das natürliche Vertrauen und die Hilfsbereitschaft ihrer Opfer ausnutzen.
Die Cyberkriminellen sammeln etwa persönliche Informationen aus sozialen Netzwerken, um glaubwürdiger zu wirken. Mit erfundenen Identitäten und überzeugenden Szenarien gewinnen sie anschließend dein Vertrauen. Dazu kommt, dass sie dich oft mit einer künstlichen Dringlichkeit unter Druck setzen, was dich dazu verleitet, schnell zu handeln. Dadurch verrätst du zum Beispiel Passwörter oder sensible Daten. Je nach Art der Attacke verfolgen die Betrüger dabei unterschiedliche Ziele; vom Kleinbetrug bis hin zum Infiltrieren von internationalen Konzernen.
Wie funktioniert Social Engineering?
Social Engineering hat viele Gesichter. Das Ziel ist es aber immer, das Opfer so zu manipulieren, dass es die von den Betrügern gewünschte Handlung vornimmt. Beispielsweise gibt sich ein Betrüger als Mitarbeiter deines Unternehmens aus und manipuliert dich so dazu, Zugangsdaten oder sensible Dokumente mit ihm zu teilen. Dabei verschleiern die Cyberkriminellen jeweils ihre wahre Identität und gaukeln dir falsche Absichten vor. Dies geschieht etwa durch gefälschte E-Mails oder Nachrichten, die von scheinbar offiziellen Institutionen oder anderen vertrauenswürdigen Absendern kommen. Sie appellieren an deine Hilfsbereitschaft, Angst oder Neugier, um dich zu einer unüberlegten Preisgabe von Informationen zu bewegen.
Arten von Social Engineering
Social Engineering ist ein Oberbegriff, der diverse Arten des Trickbetrugs abdeckt, in der Regel im Kontext des Internets. Die Abgrenzung von Social Engineering zu anderen Arten der Cyberkriminalität wie Spoofing, Phishing und so weiter ist dabei nicht immer klar. Grob gesagt steht beim Social Engineering jedoch der Mensch und dessen Beeinflussung durch Kriminelle im Vordergrund. Die technischen Details wie Sicherheitslücken im Netzwerk dienen als Mittel zum Zweck, gehören aber nicht zur eigentlichen psychischen Manipulation der Menschen.
Vorschussbetrug
Vorschussbetrug ist eine der primitivsten und ältesten, aber gleichzeitig eine der verbreitetsten Arten von Social Engineering. Bei dieser Art von Trickbetrug geht es darum, dir etwas in Aussicht zu stellen, was du erst dann bekommst, wenn du eine Vorleistung (in der Regel eine Zahlung oder den Kauf von Geschenkkarten) erbringst. Nach erbrachter Vorleistung bleibt die Belohnung natürlich aus.
Diese Art des Social Engineerings kommt in unzähligen Formen und Farben. Die Betrüger denken sich stets neue Maschen aus und verbessern bestehende. Klassiker sind hohe Geldsegen, die gegen eine „kleine“ Gebühr freigekauft werden müssen. Doch auch gefälschte Anlageversprechen oder nicht erhaltene Leistungen können je nach Definition zum Vorschussbetrug gezählt werden. Es läuft aber immer darauf hinaus, dass die Gier und die Naivität der Opfer ausgenutzt werden. Du wirst mit dem Erhalt einer hohen Summe, etwa einer Erbschaft, einer Schenkung oder einem Gewinn geblendet. Dies trübt dein Urteilsvermögen und du möchtest alles dafür tun, um die einmalige Chance auf dieses Geld nicht zu verpassen. Dabei merkst du nicht, dass die Gebühr, die für den Versand, den Notar oder den Transfer anfällt, der eigentliche Betrug ist. Nachdem du bezahlt hast, wirst du das versprochene Geld nie erhalten.
Quid-pro-Quo
„Quid-pro-Quo“ geht in eine ähnliche Richtung wie der klassische Vorschussbetrug. In lateinischer Sprache bedeutet Quid-pro-Quo so viel wie „etwas für etwas“. Dies steht für eine Betrugsmasche, in der dir ein Angreifer einen Vorteil verspricht, um Informationen zu gewinnen. Anders als beim Vorschussbetrug geht es also in erster Linie nicht um eine Zahlung, sondern darum, dir unter einem trivialen Vorwand Informationen zu entlocken. Du bekommst etwa Geschenkkarten angeboten, nur damit du an einer Umfrage teilnimmst. Oder jemand verspricht, deine Internetverbindung zu verbessern, wenn du einem Techniker erlaubst, an deinem Computer zu arbeiten. Ein weiteres Beispiel ist das kostenlose Testen von Software. In all diesen Fällen wird dir etwas Gutes in Aussicht gestellt, während du im Gegenzug vertrauliche Daten preisgeben sollst. Im schlimmsten Fall kann es sogar sein, dass du deinen Computer unbewusst mit Malware infizierst und dich so für weitere Attacken angreifbar machst.
Romance-Scams
Romance-Scams sind besonders perfide. Diese Art des Betruges ist für die Betroffenen schwierig zu erkennen und zieht oft starke seelische Wunden nach sich. Beim Romance Scam haben es die Betrüger explizit auf einsame, meist ältere Personen abgesehen. Sie gaukeln ihnen Interesse vor und verwickeln diese in eine vorgespielte romantische Beziehung. Diese kann sowohl im Internet als auch im realen Leben stattfinden. Ziel ist es, dein Vertrauen zu gewinnen und dafür zu sorgen, dass du alles durch die „rosarote Brille“ siehst.
Umgangssprachlich auch als „Sick Buffalo Scam“ bezeichnet, wird dich die Betrügerin oder der Betrüger bei dieser Masche dazu auffordern, Zahlungen zu tätigen. In der Regel erfinden sie dafür Vorwände wie beispielsweise einen Unfall, teure Medizin oder eben der kranke Büffel auf dem Hof der Eltern, der zum Tierarzt muss. Die Opfer sind emotional so stark eingebunden, dass ihre Urteilsfähigkeit massiv getrübt ist und sie auch bei deutlichen Warnhinweisen die Realität nicht einsehen möchten. Auch die Empfehlung von gefälschten Anlageplattformen oder Erpressung mit Bildern oder Nachrichten sind Arten des Romance-Scams.
Honey-Traps
Honey-Traps sind eine Unterart des Romance-Scams, die eine eigene Erklärung verdienen. Auch hier spielen dir die Betrüger eine romantische Beziehung vor. Statt dir direkt Geld abzuknöpfen, besteht das Ziel aber darin, dir sensible Informationen zu entlocken. Da du diese Informationen kaum auf Vertrauensbasis preisgibst, wirst du absichtlich in eine Honey-Trap (Honigfalle) gelockt. Mit Bildern, Nachrichten oder Informationen zur Beziehung wirst du schließlich zur Herausgabe von Passwörtern, internen Daten deines Unternehmens oder Geld erpresst. Je nachdem, was die Kriminellen gegen dich in der Hand haben, kann sich diese Falle über Wochen, Monate oder sogar Jahre rächen.
Oft, aber bei Weitem nicht immer, ist das Opfer ein Würdenträger oder eine andere Person mit viel Verantwortung wie ein Manager oder Politiker.
Phishing
Phishing ist eine eigene Kategorie von Cyberkriminalität. Da beim Phishing jedoch zentrale Elemente des Social Engineerings mitwirken, kann es auch als eine Art Social Hacking gesehen werden. Beim klassischen Phishing manipulieren Kriminelle Webseiten und E-Mails so, dass sie den Anschein erwecken, von bekannten Organisationen wie Banken, sozialen Netzwerken oder Behörden zu stammen. Die Opfer werden beispielsweise darauf hingewiesen, dass sie ihr Passwort aktualisieren müssen, dass eine Zahlung für eine Paketsendung aussteht oder sie einen Gutschein gewinnen können.
Bei der Eingabe der geforderten Daten landen diese dann logischerweise nicht bei der vorgegaukelten Stelle, sondern in den Händen von Cyber-Kriminellen. Die Folge: hohe Kreditkartenbelastungen, der Verkauf deiner sensiblen Informationen an Daten-Broker und das Hacking von Online-Accounts.
Spear Phishing
Spear-Phishing ähnelt dem herkömmlichen Phishing, allerdings ist es gezielter.
Statt einer breiten Masse gelten Spear-Phishing-Attacken einer gezielten Person in einer Organisation. Dieses Ziel wird nach seiner Rolle oder Position ausgewählt, meistens eine Person im Management oder ein IT-Mitarbeiter mit Administrator-Zugang. Die Hacker investieren viel Mühe, um ihre Nachrichten zu personalisieren. Dabei sammeln sie über längere Zeit Informationen, um ihre Chancen auf Erfolg zu erhöhen. Manchmal wechseln die Cyber-Kriminellen zwischen mehreren Zielen, bis sie ihr Hauptziel erreichen, um größtmöglichen Gewinn zu erzielen. Im Gegensatz zum normalen Phishing sind die Betrüger hier nicht auf das schnelle Geld zufälliger Menschen aus, sondern auf eine strategische Infiltrierung von Unternehmen und Behörden.
Whaling
Whaling ist ebenfalls eine Art des Phishings. Sie ist noch professioneller und personalisierter als Spear-Phishing und hat es auf die ganz dicken Fische (Whales) im Unternehmen abgesehen. Konkret zielt ein Social Engineering Angriff dieser Art auf Mitarbeiter im obersten Management wie CEOs oder CFOs ab. Auch Regierungsbeamte oder andere Schlüsselpersonen in großen Organisationen sind potenzielle Ziele von Whaling-Angriffen.
Der Plan von Social Engineers? Sie wollen die Top-Entscheider täuschen, damit diese entweder große Geldsummen überweisen oder vertrauliche Informationen herausgeben. Whaling kombiniert dabei verschiedene Taktiken des Social Engineering, um die Erfolgsaussichten zu steigern.
Vishing
Vishing ist eine Mischung aus Voice und Phishing und beschreibt die Manipulation der Opfer per Telefon. Mittels veränderter Anrufer-ID lassen es die Cyber-Kriminellen bei dieser Vorgehensweise so aussehen, als würden sie von einer bestimmten Stelle wie der Polizei, einem Bekannten oder einem Unternehmen anrufen. Hier ist besonders professionelles Social Engineering gefragt, da die Opfer in Echtzeit übers Telefon getäuscht werden. Eine bekannte Masche sind gefakte Support-Anrufe, die vorgeben, technische Probleme zu beheben oder Sicherheitslücken zu schließen. Oft fordern die Betrüger während des Anrufs vertrauliche Daten, wie Passwörter oder Bankinformationen, angeblich, um die Identität zu bestätigen oder das Problem zu lösen. Das Erschreckende daran: Die Opfer glauben, sie sprechen mit einer vertrauenswürdigen Quelle. Alarmierend wird es, wenn du zur sofortigen Handlung gedrängt wirst, etwa eine Zahlung zu leisten oder Software herunterzuladen, die den Betrügern Zugriff auf das Gerät gibt.
Waterig-Hole Angriff
Der Ausdruck „Watering-Hole-Angriff“ entstammt der Idee, eine Wasserstelle zu vergiften, wo Tiere regelmäßig trinken. Ähnlich infizieren Hacker gerne besuchte Websites mit Schadsoftware. Sie präparieren diese Seiten so, dass du, oft ohne es zu merken, auf manipulierte Links klickst. Diese Klicks führen dazu, dass Malware auf deinem System installiert wird. Ziel ist es, Zugang zu deinen Daten oder Kontrolle über deine Geräte zu erlangen. Der Angreifer passt den Angriff speziell an die Interessen und das Verhalten der Zielgruppe an, um die Wahrscheinlichkeit eines Klicks zu erhöhen.
Deepfakes
In den letzten Jahren und Monaten zu einem immer größeren Problem geworden ist die Täuschung mittels sogenannten Deepfakes. Mithilfe künstlicher Intelligenz werden Bilder, Videos und Tonaufnahmen von realen Personen täuschend echt gefälscht. Zwischen realer Welt und Fälschung zu unterscheiden wird somit immer schwieriger. Für Cyber-Kriminelle öffnet dies Tür und Tor zu einer ganz neuen Art der Manipulation. Bereits heute beobachten wir den Einsatz von Deepfakes bei Social Engineering Attacken. In den kommenden Jahren wird die Technologie allem Anschein nach noch deutlich fortschrittlicher und zugänglicher werden. Damit dürfte sich das Problem massiv verschärfen. Manch ein Experte befürchtet sogar eine Deepfake-Epidemie bei der die Menschen regelrecht von Deepfake-Attaken überrollt werden.
Social Engineering Beispiele
Social Engineering Attacken sind längst keine Seltenheit mehr. In manchen Fällen nehmen die Angriffe dabei enorme Ausmaße an, bei denen Organisationen Millionen verlieren und unzählige Menschen geschädigt werden.
Folgend stellen wir dir einige eindrückliche Social Engineering Beispiele vor.
Cyber-Raub der Zentralbank von Bangladesch
Eines der eindrucksvollsten Beispiele von Social Engineering ist der Cyber-Raub der Zentralbank von Bangladesch. Im Februar 2016 nutzten Cyber-Kriminelle eine Schwachstelle im SWIFT-Netzwerk. Ihr Ziel: Geldbeträge von fast einer Milliarde US-Dollar von einem Konto der Bangladesh Bank bei der Federal Reserve Bank of New York. Mit gefälschten Überweisungsanweisungen versuchten sie, die Mitarbeiter zu manipulieren und das Geld auf Konten auf den Philippinen und in Sri Lanka zu transferieren. Sie täuschten die Identitäten von Bankmitarbeitern vor und nutzten ihre Kenntnisse der internen Abläufe, um die Angriffe durchzuführen.
Durch Tippfehler in einer Überweisung wurden jedoch Alarmglocken ausgelöst und 30 Transaktionen im Wert von 850 Millionen US-Dollar wurden gestoppt. Dennoch gingen 81 Millionen US-Dollar verloren, größtenteils auf den Philippinen durch Casinos gewaschen. Nur etwa 18 Millionen US-Dollar konnten später zurückgewonnen werden. Das Geld für Sri Lanka wurde vollständig zurückerlangt, nachdem ein weiterer Rechtschreibfehler die Überweisung verdächtig machte.
Deepfake-Angriff auf britisches Energieunternehmen
Ein ungewöhnlicher Fall von Social Engineering mit einem Deepfake-Audio, also künstlich erzeugter Sprache durch KI, erschütterte ein britisches Energieunternehmen. Die Betrüger ahmten mithilfe von Sprachgenerierungssoftware die Stimme des Geschäftsführers des deutschen Mutterunternehmens nach, um eine illegale Überweisung von 243.000 US-Dollar zu veranlassen. Sie forderten den CEO des britischen Unternehmens auf, dringend Geld an einen ungarischen Lieferanten zu überweisen, mit der Zusage einer späteren Rückerstattung. Nachdem das Geld über Mexiko weitergeleitet wurde, verlor sich die Spur der Betrüger.
Sie versuchten es noch zweimal, wobei beim zweiten Mal behauptet wurde, dass die erste Zahlung bereits erstattet worden sei. Als die Rückerstattung ausblieb, lehnte der britische CEO weitere Zahlungen ab. Beim dritten Anruf wurden die Betrüger skeptisch beäugt, besonders weil sie eine österreichische Telefonnummer verwendeten.
Tinder Swindler
Simon Leviev, bekannt aus der Netflix-Dokumentation „The Tinder Swindler“, hat durch einen raffinierten Romance-Scam Aufsehen erregt. Er gab sich als wohlhabender Sohn eines Diamantenmoguls aus und nutzte die Dating-App Tinder, um Frauen zu täuschen. Durch geschicktes Social Engineering überzeugte er sie von seiner Liebe und seinem Reichtum, flog mit ihnen in Privatjets und beschenkte sie üppig. Später manipulierte er sie, ihm Geld zu leihen, was sie in enorme Schulden stürzte. Diese Social Engineering Attacke ist ein exemplarisches Beispiel dafür, wie Betrüger Vertrauen aufbauen und ausnutzen.
Leviev wurde mehrmals festgenommen und wegen verschiedener Betrügereien verurteilt, entkam aber oft durch neue Identitäten. Seine Social Engineering Angriffe ähnelten einem Schneeballsystem: Er finanzierte seinen luxuriösen Lebensstil durch das Geld seiner Opfer und lockte kontinuierlich neue Frauen in die Falle. Trotz seiner Verhaftung und Verurteilung leugnet Leviev weiterhin, ein Betrüger zu sein, und behauptet, seine Anschuldigungen seien falsch.
Social Engineering Attacken in Deutschland
Social Engineering Attacken offenbaren, wie Cyberkriminelle die menschliche Psyche manipulieren. In Deutschland besonders verbreitet sind Betrugsmethoden wie Tech-Support-Scams und Rechnungsbetrug. Dabei erhalten die Opfer eine Warnung durch ein Pop-up-Fenster, das auf einen vermeintlichen Malware-Befall hinweist. Die Aufforderung, eine Hotline zu rufen, führt oft dazu, dass Kriminelle über eine Fernwartung Zugriff auf Computer erhalten und Daten oder Geld stehlen. Auch werden gefälschte Quittungen per E-Mail versendet, die, wenn kontaktiert, zu weiteren betrügerischen Handlungen führen.
Eine weitere raffinierte Methode ist der Einsatz von Adware, die Glücksgefühle ausnutzt. So werden Nutzer beispielsweise zum Gewinner eines Gewinnspiels erklärt, müssen aber eine Gebühr zahlen, um den Preis zu erhalten, welcher nie eintrifft. Diese Betrügereien sind Teil einer wachsenden Welle von Social Engineering Attacken, die zeigen, wie Kriminelle technologische und menschliche Schwachstellen ausnutzen.
Auch andere Schadsoftware wie der RedLine Stealer, der an kostenpflichtiger Software hängt, oder der LimeRAT, der DDoS-Angriffe und Ransomware installiert, sind besorgniserregend. Diese Attacken nutzen nicht nur die Naivität der Nutzer aus, sondern auch technologische Lücken, die trotz Updates und Sicherheitslösungen bestehen bleiben.
Was kann man gegen Social Engineering tun?
Sicherheitsprotokolle aktualisieren
Implementiere stets die neuesten Sicherheitsprotokolle. So schließt du Schwachstellen, bevor sie von Cyberkriminellen ausgenutzt werden könnten.
Multi-Faktor-Authentifizierung nutzen
Durch die Aktivierung der Multi-Faktor-Authentifizierung schaffst du einen zusätzlichen Schutzmechanismus.
Verdächtige E-Mails meiden
Sei vorsichtig mit E-Mails von unbekannten Absendern. Überprüfe die E-Mail-Adresse und klicke nicht auf fremde Links oder Anhänge.
Sichere Passwörter verwenden
Verwende sichere Passwörter, die eine Kombination aus Buchstaben, Zahlen und Sonderzeichen beinhalten. Benutze nicht überall dasselbe Passwort und aktualisiere deine Zugangsdaten regelmäßig.
Vertrauliche Informationen schützen
Sei diskret im Umgang mit vertraulichen Informationen. Teile sie nur mit verifizierten Personen und adressiere E-Mails nicht an breite Kontaktlisten.
Betriebssystem und Apps aktualisieren
Halte dein Betriebssystem und alle Anwendungen stets auf dem neuesten Stand.
Nutzung öffentlicher Wi-Fi-Netze einschränken
Vermeide die Nutzung öffentlicher Wi-Fi-Netze für sensible Aktivitäten. Falls notwendig, verwende eine sichere VPN-Verbindung.
Privatsphäre-Einstellungen überprüfen
Überprüfe regelmäßig die Privatsphäre-Einstellungen deiner Online-Konten und Apps. Gib nicht mehr Informationen preis, als du beabsichtigst.
Physischen Zugang zu Geräten sichern
Sichere alle Geräte, die sensible Daten enthalten, physisch. Verwende Passwörter oder biometrische Daten, um den Zugang zu beschränken.
Sicherheitsaudits regelmäßig durchführen
Führe regelmäßige Sicherheitsaudits durch, um unbefugte Zugriffe oder Schwachstellen zu vermeiden.
Sich über Social Engineering informieren
Um dich effektiv gegen Social Engineering Attacken zu schützen, ist es wichtig, dass du dich kontinuierlich weiterbildest.
Surfshark bietet einen neuen Kurs an, der speziell darauf ausgerichtet ist, die Mechanismen hinter Social Engineering zu verstehen und Betrugsversuche zu erkennen. Der englischsprachige Kurs enthält zahlreiche Videomaterialien, die dir zeigen, wie du Social Engineering erkennst.
FAQs
Woran erkennt man Social Engineering Attacken?
Social Engineering Attacken spielen oft mit deinen Emotionen, um dich zu schnellen Handlungen zu bewegen. Sei auf der Hut, wenn jemand Druck ausübt, z.B. durch angebliche dringende Fristen für Zahlungen oder Datenfreigaben. Vorsicht ist auch geboten, wenn du Informationen preisgeben solltest, die normalerweise nicht erforderlich sind.
Wie häufig ist Social Engineering?
Aufgrund ihrer Erfolgsaussichten für Betrüger nimmt die Häufigkeit von Social Engineering Attacken zu. Cyberkriminelle passen ihre Methoden ständig an, um Sicherheitsmaßnahmen zu umgehen.
Hat Social Engineering Bedeutung für Privatpersonen?
Ja, Social Engineering ist auch für Privatpersonen von großer Bedeutung. Jeder, der online aktiv ist, kann Ziel eines solchen Angriffs werden, besonders in Zeiten, in denen persönliche Informationen wie Bankdaten oder Passwörter von hohem Wert sind.
