Die Sicherheitsstandards im digitalen Raum sind in den letzten zwei Jahren enorm angestiegen. Doch auch bei immer besser werdenden Tools bleibt eine Lücke: der Mensch. Bei der sogenannten Social Engineering Attacke haben es Cyberkriminelle genau darauf abgesehen.
Wie du die Warnsignale eines Social-Engineering-Angriffs frühzeitig erkennst, Social Engineering Beispiele, welche Arten es gibt und alles Weitere, was du zum Thema wissen solltest, findest du in diesem Beitrag.
Inhaltsverzeichnis
Was ist Social Engineering? Bedeutung
Social Engineering ist eine Manipulationstechnik, bei der Betrüger psychologische Tricks nutzen, um vertrauliche Informationen zu erlangen, indem sie sich als vertrauenswürdige Personen ausgeben.
Mit erfundenen Identitäten und überzeugenden Szenarien gewinnen sie anschließend dein Vertrauen. Dazu kommt, dass sie dich oft mit einer künstlichen Dringlichkeit unter Druck setzen, was dich dazu verleitet, schnell zu handeln. Dadurch verrätst du zum Beispiel Passwörter oder sensible Daten.
Wie funktioniert Social Engineering?
Ziel ist es, das Opfer so zu manipulieren, dass es die von den Betrügern gewünschte Handlung vornimmt. Dabei verschleiern die Cyberkriminellen jeweils ihre wahre Identität und gaukeln dir falsche Absichten vor. Sie appellieren an deine Hilfsbereitschaft, Angst oder Neugier, um dich zu einer unüberlegten Preisgabe von Informationen zu bewegen.
Arten von Social Engineering
Die Abgrenzung von Social Engineering zu anderen Arten der Cyberkriminalität wie Spoofing, Phishing und so weiter ist dabei nicht immer klar. Grob gesagt steht beim Social Engineering jedoch der Mensch und dessen Beeinflussung durch Kriminelle im Vordergrund.
Vorschussbetrug
Bei dieser Art von Trickbetrug geht es darum, dir etwas in Aussicht zu stellen, was du erst dann bekommst, wenn du eine Vorleistung erbringst. Nach erbrachter Vorleistung bleibt die Belohnung natürlich aus.
Du wirst mit dem Erhalt einer hohen Summe, etwa einer Erbschaft, einer Schenkung oder einem Gewinn geblendet. Dies trübt dein Urteilsvermögen und du möchtest alles dafür tun, um die einmalige Chance auf dieses Geld nicht zu verpassen. Dabei merkst du nicht, dass die Gebühr, die für den Versand, den Notar oder den Transfer anfällt, der eigentliche Betrug ist.
Quid-pro-Quo
In lateinischer Sprache bedeutet Quid-pro-Quo so viel wie „etwas für etwas“. Dies steht für eine Betrugsmasche, in der dir ein Angreifer einen Vorteil verspricht, um Informationen zu gewinnen. Es wird dir etwas Gutes in Aussicht gestellt, während du im Gegenzug vertrauliche Daten preisgeben sollst.
Romance-Scams
Beim Romance Scam haben es die Betrüger explizit auf einsame, meist ältere Personen abgesehen. Umgangssprachlich auch als „Sick Buffalo Scam“ bezeichnet, wird dich die Betrügerin oder der Betrüger bei dieser Masche dazu auffordern, Zahlungen zu tätigen. Die vermeintlichen Liebhaber erfinden Vorwände wie einen Unfall, teure Medizin oder eben der kranke Büffel auf dem Hof der Eltern, der zum Tierarzt muss. Die Opfer sind emotional so stark eingebunden, dass ihre Urteilsfähigkeit massiv getrübt ist.
Honey-Traps
Honey-Traps sind eine Unterart des Romance-Scams, die eine eigene Erklärung verdienen. Auch hier spielen dir die Betrüger eine romantische Beziehung vor. Statt dir direkt Geld abzuknöpfen, besteht das Ziel aber darin, dir sensible Informationen zu entlocken. Je nachdem, was die Kriminellen gegen dich in der Hand haben, kann sich diese Falle über Wochen, Monate oder sogar Jahre rächen.
Phishing
Phishing ist eine eigene Kategorie von Cyberkriminalität. Da beim Phishing jedoch zentrale Elemente des Social Engineerings mitwirken, kann es auch als eine Art Social Hacking gesehen werden. Beim klassischen Phishing manipulieren Kriminelle Webseiten und E-Mails so, dass sie den Anschein erwecken, von bekannten Organisationen wie Banken, sozialen Netzwerken oder Behörden zu stammen.
Spear Phishing
Spear-Phishing ähnelt dem herkömmlichen Phishing, allerdings ist es gezielter. Statt einer breiten Masse gelten Spear-Phishing-Attacken einer gezielten Person in einer Organisation.
Dieses Ziel wird nach seiner Rolle oder Position ausgewählt, meistens eine Person im Management oder ein IT-Mitarbeiter mit Administrator-Zugang. Im Gegensatz zum normalen Phishing sind die Betrüger hier nicht auf das schnelle Geld zufälliger Menschen aus, sondern auf eine strategische Infiltrierung von Unternehmen und Behörden.
Whaling
Whaling ist ebenfalls eine Art des Phishings. Konkret zielt ein Social Engineering Angriff dieser Art auf Mitarbeiter im obersten Management wie CEOs oder CFOs ab. Auch Regierungsbeamte oder andere Schlüsselpersonen in großen Organisationen sind potenzielle Ziele von Whaling-Angriffen. Whaling kombiniert dabei verschiedene Taktiken des Social Engineering, um die Erfolgsaussichten zu steigern.
Vishing
Vishing ist eine Mischung aus Voice und Phishing und beschreibt die Manipulation der Opfer per Telefon. Mittels veränderter Anrufer-ID lassen es die Cyber-Kriminellen bei dieser Vorgehensweise so aussehen, als würden sie von einer bestimmten Stelle wie der Polizei, einem Bekannten oder einem Unternehmen anrufen. Oft fordern die Betrüger während des Anrufs vertrauliche Daten, wie Passwörter oder Bankinformationen, angeblich, um die Identität zu bestätigen oder das Problem zu lösen.
Waterig-Hole Angriff
Der Ausdruck „Watering-Hole-Angriff“ entstammt der Idee, eine Wasserstelle zu vergiften, wo Tiere regelmäßig trinken. Die Kriminellen präparieren Webseiten so, dass du, oft ohne es zu merken, auf manipulierte Links klickst. Ziel ist es, Zugang zu deinen Daten oder Kontrolle über deine Geräte zu erlangen.
Deepfakes
Mithilfe künstlicher Intelligenz werden Bilder, Videos und Tonaufnahmen von realen Personen täuschend echt gefälscht. Zwischen realer Welt und Fälschung zu unterscheiden wird somit immer schwieriger. Bereits heute beobachten wir den Einsatz von Deepfakes bei Social Engineering Attacken. In den kommenden Jahren wird die Technologie allem Anschein nach noch deutlich fortschrittlicher und zugänglicher werden.
Social Engineering Beispiele
Folgend stellen wir dir einige eindrückliche Social Engineering Beispiele vor.
Cyber-Raub der Zentralbank von Bangladesch
Im Februar 2016 nutzten Cyber-Kriminelle eine Schwachstelle im SWIFT-Netzwerk. Ihr Ziel: Geldbeträge von fast einer Milliarde US-Dollar von einem Konto der Bangladesh Bank bei der Federal Reserve Bank of New York. Mit gefälschten Überweisungsanweisungen versuchten sie, die Mitarbeiter zu manipulieren und das Geld auf Konten auf den Philippinen und in Sri Lanka zu transferieren. Sie täuschten die Identitäten von Bankmitarbeitern vor und nutzten ihre Kenntnisse der internen Abläufe, um die Angriffe durchzuführen.
Durch Tippfehler in einer Überweisung wurden jedoch Alarmglocken ausgelöst und 30 Transaktionen im Wert von 850 Millionen US-Dollar wurden gestoppt. Dennoch gingen 81 Millionen US-Dollar verloren, größtenteils auf den Philippinen durch Casinos gewaschen.
Deepfake-Angriff auf britisches Energieunternehmen
Ein ungewöhnlicher Fall von Social Engineering mit einem Deepfake-Audio, also künstlich erzeugter Sprache durch KI, erschütterte ein britisches Energieunternehmen. Die Betrüger ahmten mithilfe von Sprachgenerierungssoftware die Stimme des Geschäftsführers des deutschen Mutterunternehmens nach, um eine illegale Überweisung von 243.000 US-Dollar zu veranlassen. Sie forderten den CEO des britischen Unternehmens auf, dringend Geld an einen ungarischen Lieferanten zu überweisen, mit der Zusage einer späteren Rückerstattung. Nachdem das Geld über Mexiko weitergeleitet wurde, verlor sich die Spur der Betrüger.
Tinder Swindler
Simon Leviev, bekannt aus der Netflix-Dokumentation „The Tinder Swindler“, hat durch einen raffinierten Romance-Scam Aufsehen erregt. Er gab sich als wohlhabender Sohn eines Diamantenmoguls aus und nutzte die Dating-App Tinder, um Frauen zu täuschen. Durch geschicktes Social Engineering überzeugte er sie von seiner Liebe und seinem Reichtum, flog mit ihnen in Privatjets und beschenkte sie üppig. Später manipulierte er sie, ihm Geld zu leihen, was sie in enorme Schulden stürzte.
Leviev wurde mehrmals festgenommen und wegen verschiedener Betrügereien verurteilt, entkam aber oft durch neue Identitäten. Er finanzierte seinen luxuriösen Lebensstil durch das Geld seiner Opfer und lockte kontinuierlich neue Frauen in die Falle.
Social Engineering Attacken in Deutschland
In Deutschland besonders verbreitet sind Betrugsmethoden wie Tech-Support-Scams und Rechnungsbetrug. Dabei erhalten die Opfer eine Warnung durch ein Pop-up-Fenster, das auf einen vermeintlichen Malware-Befall hinweist. Die Aufforderung, eine Hotline zu rufen, führt oft dazu, dass Kriminelle über eine Fernwartung Zugriff auf Computer erhalten und Daten oder Geld stehlen. Auch werden gefälschte Quittungen per E-Mail versendet, die, wenn kontaktiert, zu weiteren betrügerischen Handlungen führen.
Eine weitere raffinierte Methode ist der Einsatz von Adware, die Glücksgefühle ausnutzt. So werden Nutzer beispielsweise zum Gewinner eines Gewinnspiels erklärt, müssen aber eine Gebühr zahlen, um den Preis zu erhalten, welcher nie eintrifft.
Auch andere Schadsoftware wie der RedLine Stealer, der an kostenpflichtiger Software hängt, oder der LimeRAT, der DDoS-Angriffe und Ransomware installiert, sind besorgniserregend.
Was kann man gegen Social Engineering tun?
Sicherheitsprotokolle aktualisieren
Implementiere stets die neuesten Sicherheitsprotokolle. So schließt du Schwachstellen, bevor sie von Cyberkriminellen ausgenutzt werden könnten.
Multi-Faktor-Authentifizierung nutzen
Durch die Aktivierung der Multi-Faktor-Authentifizierung schaffst du einen zusätzlichen Schutzmechanismus.
Verdächtige E-Mails meiden
Sei vorsichtig mit E-Mails von unbekannten Absendern. Überprüfe die E-Mail-Adresse und klicke nicht auf fremde Links oder Anhänge.
Sichere Passwörter verwenden
Verwende sichere Passwörter, die eine Kombination aus Buchstaben, Zahlen und Sonderzeichen beinhalten. Benutze nicht überall dasselbe Passwort und aktualisiere deine Zugangsdaten regelmäßig.
Vertrauliche Informationen schützen
Sei diskret im Umgang mit vertraulichen Informationen. Teile sie nur mit verifizierten Personen und adressiere E-Mails nicht an breite Kontaktlisten.
Betriebssystem und Apps aktualisieren
Halte dein Betriebssystem und alle Anwendungen stets auf dem neuesten Stand.
Nutzung öffentlicher Wi-Fi-Netze einschränken
Vermeide die Nutzung öffentlicher Wi-Fi-Netze für sensible Aktivitäten. Falls notwendig, verwende eine sichere VPN-Verbindung.
Privatsphäre-Einstellungen überprüfen
Überprüfe regelmäßig die Privatsphäre-Einstellungen deiner Online-Konten und Apps. Gib nicht mehr Informationen preis, als du beabsichtigst.
Physischen Zugang zu Geräten sichern
Sichere alle Geräte, die sensible Daten enthalten, physisch. Verwende Passwörter oder biometrische Daten, um den Zugang zu beschränken.
Sicherheitsaudits regelmäßig durchführen
Führe regelmäßige Sicherheitsaudits durch, um unbefugte Zugriffe oder Schwachstellen zu vermeiden.
Sich über Social Engineering informieren
Um dich effektiv gegen Social Engineering Attacken zu schützen, ist es wichtig, dass du dich kontinuierlich weiterbildest.
Surfshark bietet einen neuen Kurs an, der speziell darauf ausgerichtet ist, die Mechanismen hinter Social Engineering zu verstehen und Betrugsversuche zu erkennen. Der englischsprachige Kurs enthält zahlreiche Videomaterialien, die dir zeigen, wie du Social Engineering erkennst.
FAQs
Woran erkennt man Social Engineering Attacken?
Social Engineering Attacken spielen oft mit deinen Emotionen, um dich zu schnellen Handlungen zu bewegen. Sei auf der Hut, wenn jemand Druck ausübt, z.B. durch angebliche dringende Fristen für Zahlungen oder Datenfreigaben. Vorsicht ist auch geboten, wenn du Informationen preisgeben solltest, die normalerweise nicht erforderlich sind.
Wie häufig ist Social Engineering?
Aufgrund ihrer Erfolgsaussichten für Betrüger nimmt die Häufigkeit von Social Engineering Attacken zu. Cyberkriminelle passen ihre Methoden ständig an, um Sicherheitsmaßnahmen zu umgehen.
Hat Social Engineering Bedeutung für Privatpersonen?
Ja, Social Engineering ist auch für Privatpersonen von großer Bedeutung. Jeder, der online aktiv ist, kann Ziel eines solchen Angriffs werden, besonders in Zeiten, in denen persönliche Informationen wie Bankdaten oder Passwörter von hohem Wert sind.
