Ein Social-Engineering-Angriff ist ein Cyberangriff, der menschliches Verhalten psychologisch manipuliert und darauf abzielt, dass die Betroffenen sensible Daten weitergegeben, Anmeldedaten teilen, Zugriff auf ein privates Gerät gewähren oder ihre digitale Sicherheit in anderer Form kompromittieren.
Social-Engineering-Angriffe sind eine erhebliche Cybersicherheitsbedrohung, da viele Angriffe auf persönlicher Ebene beginnen und menschliche Fehler ausnutzen, die für die Umsetzung des Angriffspfads ausgenutzt werden. Angreifer wecken Empathie, Angst oder ein Gefühl der Dringlichkeit beim Opfer und erlangen so oftmals Zugriff auf personenbezogene Daten oder das Endgerät selbst. Wenn das Gerät mit einem Unternehmensnetzwerk verbunden ist oder Anmeldedaten für Unternehmenskonten darauf gespeichert sind, kann dies Angreifern auch Tür und Tor für Angriffe auf das Unternehmensnetzwerk öffnen.
Cyberkriminelle entwickeln immer neue manipulative Methoden, mit denen sie private Benutzer und Unternehmensmitarbeiter austricksen. Daher müssen die Unternehmen ihnen immer einen Schritt voraus bleiben. In diesem Blog-Artikel betrachten wir zehn der gängigsten Arten von Social-Engineering-Angriffen:
- Phishing
- Whaling
- Baiting
- Diversion Theft
- Business Email Compromise (BEC)
- Smishing / SMS-Phishing
- Quid pro quo
- Pretexting
- Honeytrap
- Tailgating/Piggybacking
1. Phishing
Phishing ist ein Cyberangriff, bei dem Benutzer per E-Mail, Telefon, SMS, über soziale Medien oder eine andere Form der persönlichen Kommunikation dazu verleitet werden, auf einen schädlichen Link zu klicken, infizierte Dateien herunterzuladen oder persönliche Daten wie Kennwörter oder Kontonummern preiszugeben.
Während die Forderungen bei den meisten herkömmlichen Phishing-Angriffen eher sonderbar klingen (z. B. bittet ein Mitglied eines Königshauses um die Bankdaten einer Privatperson), ist moderner Phishing-Betrug weitaus raffinierter. In vielen Fällen geben sich Cyberkriminelle harmlos anmutend als Einzelhändler, Dienstleister oder Behörde aus, um an personenbezogene Daten wie E-Mail-Adressen, Telefonnummern, Geburtsdaten oder die Namen von Familienmitgliedern heranzukommen.
Phishing ist eine der häufigsten Arten von Cyberangriffen. Seine Verbreitung nimmt von Jahr zu Jahr zu. Die Zahl von Cyberangriffen aller Art ist während der COVID-19-Pandemie erheblich gestiegen, was auch für Phishing-Angriffe gilt. Während des Lockdowns verbrachten die Menschen generell mehr Zeit im Netz und waren emotional empfänglicher als sonst – perfekte Voraussetzungen für eine effektive Phishing-Kampagne. Laut dem FBI war Phishing im Jahr 2020 die vorherrschende Form von Cyberkriminalität: Im Vergleich zum Jahr 2019 hatten sich die Vorfälle nahezu verdoppelt.
2. Whaling
Ein Whaling-Angriff ist eine Art von Phishing-Angriff, bei der auch die persönliche Kommunikation genutzt wird, um Zugriff auf ein Gerät oder persönliche Daten eines Benutzers zu erlangen.
Der Unterschied zwischen Phishing und Whaling hat etwas mit dem Grad der Personalisierung zu tun. Während Phishing-Angriffe nicht personalisiert sind und für Millionen von Benutzern repliziert werden können, zielen Whaling-Angriffe auf eine bestimmte Person ab – in der Regel auf eine hochrangige Führungskraft. Für diese Art von Angriff müssen beträchtliche Recherchen zu dieser Person angestellt werden. Normalerweise werden dazu ihre Aktivitäten in den sozialen Medien und ihr sonstiges öffentliches Verhalten unter die Lupe genommen. Diese gründlichen Recherchen münden in einer zielgerichteten Kontaktaufnahme, wodurch die Erfolgswahrscheinlichkeit steigt.
Obwohl Whaling-Angriffe anfangs mit mehr Planung und Aufwand verbunden sind, machen sie sich oft ausgesprochen bezahlt, da die Ziele Zugriff auf gewinnversprechende Daten oder finanzielle Ressourcen bieten, die zur Fortsetzung eines Ransomware-Angriffs erforderlich sind.
3. Baiting
Baiting ist eine Art von Social-Engineering-Angriff, bei dem Betrüger Benutzern falsche Versprechungen machen, um sie zur Preisgabe von persönlichen Daten oder zur Installation von Malware auf dem System zu verleiten.
Baiting-Betrug kann durch verlockende Anzeigen oder Online-Werbung eingeleitet werden, z. B. in Form von kostenlosen Spiel- oder Film-Downloads, Musik-Streamings oder Smartphone-Updates. Der Angreifer hofft, dass das Opfer auf das Angebot hereinfällt und dabei ein Kennwort eingibt, das es auch für andere Websites verwendet. Auf diese Weise kann der Hacker auf die Daten des Opfers zugreifen oder die Informationen an andere Kriminelle im Dark Web verkaufen.
Baiting gibt es auch in physischer Form – am häufigsten über ein mit Malware infiziertes Flash-Laufwerk: Der Angreifer hinterlässt das infizierte Flash-Laufwerk an einem gut sichtbaren Ort in der Hoffnung, dass das Opfer das Laufwerk findet und am eigenen Computer einsteckt. Während das Opfer nachsieht, wem das Laufwerk gehört, wird automatisch Malware installiert.
4. Diversion Theft
Diversion Theft ist ein Cyberangriff, der offline gestartet wird. Bei dieser Art von Angriff bringt ein Dieb einen Kurier dazu, ein Paket am falschen Ort abzuholen oder abzugeben, ein falsches Paket zu liefern oder ein Paket an den falschen Empfänger zu liefern.
Diversion Theft gibt es inzwischen auch als Online-Variante. In diesem Fall stiehlt der böswillige Angreifer vertrauliche Informationen, indem er den Benutzer dazu bringt, sie an den falschen Empfänger zu senden.
Diese Angriffsart umfasst häufig auch Spoofing, d. h. die Cyberkriminellen tarnen sich als eine bekannte oder vertrauenswürdige Quelle. Spoofing kann viele Formen annehmen: gefälschte E-Mails und Aufrufe, IP-Spoofing, DNS-Spoofing, GPS-Spoofing sowie Website Spoofing.
5. Business Email Compromise (BEC)
Business Email Compromise (BEC) ist eine Social-Engineering-Taktik, bei der sich der Angreifer als vertrauenswürdige Führungskraft ausgibt, die zur Regelung finanzieller Angelegenheiten im Unternehmen berechtigt ist.
Bei diesem Angriffsszenario überwacht der Betrüger aufmerksam das Verhalten der Führungskraft und erstellt mittels Spoofing ein gefälschtes E-Mail-Konto. Danach sendet der Angreifer über die gefälschte Identität eine E-Mail, in der er die Mitarbeiter der Führungskraft dazu auffordert, Überweisungen zu tätigen, Bankdaten zu ändern und andere finanzielle Transaktionen auszuführen.
BEC kann Unternehmen erhebliche finanzielle Verluste zufügen. Anders als andere Cyberbetrugsmethoden basieren BEC-Angriffe nicht auf schädlichen URLs oder Malware, die durch Cybersicherheitstools wie Firewalls oder Systeme zur endpunktbasierten Erkennung und Reaktion (EDR) abgefangen werden können. Stattdessen werden BEC-Angriffe genau auf persönliches Verhalten abgestimmt – dieses lässt sich vor allem in großen Unternehmen oft schlechter überwachen und handhaben.
6. Smishing / SMS-Phishing
SMS-Phishing (oder Smishing) ist ein Social-Engineering-Angriff mithilfe von SMS-Nachrichten. Bei dieser Art von Angriff versuchen Betrüger die Benutzer dazu zu verleiten, auf einen Link zu tippen, der sie auf eine schädliche Website führt. Sobald sich das Opfer auf der Website befindet, wird es zum Download schädlicher Software und Inhalte aufgefordert.
Smishing-Angriffe erfreuen sich bei Kriminellen zunehmender Beliebtheit, da die Menschen mehr Zeit mit Mobilgeräten zubringen. Die Benutzer wissen inzwischen zwar ziemlich gut, wie sie E-Mail-Phishing erkennen, allerdings sind sich viele der mit SMS-Nachrichten verbundenen Risiken deutlich weniger bewusst.
Ein Smishing-Angriff bereitet den Bedrohungsakteuren wenig Mühe. Zu seiner Ausführung reicht es oft, eine gefälschte Nummer zu kaufen und den schädlichen Link einzurichten.
7. Quid pro quo
Bei einem Quid-pro-quo-Angriff fordert der Angreifer das Opfer im Gegenzug für einen attraktiven Dienst zur Angabe sensibler Daten auf.
So gibt sich der Angreifer womöglich als Techniker im IT-Support aus und ruft einen Computerbenutzer an, um ein gängiges IT-Problem zu beheben (z. B. ein langsames Netzwerk oder System-Patches) und auf diese Weise an die Anmeldedaten des Benutzers zu gelangen. Die weitergegebenen Anmeldedaten werden genutzt, um Zugriff auf andere sensible Daten zu erlangen, die auf dem Gerät und in den Anwendungen gespeichert sind – oder sie werden im Dark Web verkauft.
8. Pretexting
Pretexting ist eine Form von Social Engineering, bei der plausible Szenarien oder Vorwände (engl. „pretext“) erfunden werden, mit denen sich die Opfer wahrscheinlich überzeugen lassen, wertvolle und sensible Daten weiterzugeben.
Angreifer, die mit Pretexting arbeiten, nehmen unter Umständen die Identität einer Autoritätsperson (z. B. Strafverfolgungsmitarbeiter, Steuerbeamter) oder einer interessanten Person (z. B. Talentsucher, Gewinnspielveranstalter) an. Die Angreifer erläutern dem Opfer den Kontext und stellen ihm anschließend Fragen, um an personenbezogene und sensible Daten zu gelangen, mit denen sie dann andere Angriffsszenarien fortführen oder auf die privaten Konten des Opfers zugreifen können.
9. Honeytrap
Ein Honeytrap-Angriff ist eine Social-Engineering-Technik, die speziell auf Menschen abzielt, die auf Online-Dating-Websites oder in den sozialen Medien nach der großen Liebe suchen. Der Kriminelle kreiert eine fiktive Person und richtet ein gefälschtes Online-Profil ein, um sich mit dem Opfer anzufreunden. Im Laufe der Zeit nutzt der Kriminelle die Beziehung aus und verleitet das Opfer, ihm Geld zu geben, personenbezogene Daten offenzulegen oder Malware zu installieren.
10. Tailgating/Piggybacking
Tailgating (engl. für „drängeln“), auch Piggybacking (engl. für „sich an jemanden oder etwas dranhängen“) genannt, ist eine physische Kompromittierung, durch die ein Angreifer Zugang zu einer physischen Einrichtung erhält, indem er die vor ihm eintretende Person bittet, ihm die Tür offenzuhalten oder ihn hereinzulassen. Um seine Chancen zu erhöhen, schlüpft der Angreifer womöglich auch in die Rolle eines Kurierfahrers oder einer anderen plausiblen Identität. Sobald er sich im Gebäude befindet, kann er in aller Ruhe alles auskundschaften, unbeaufsichtigte Geräte stehlen oder auf vertrauliche Akten und Dateien zugreifen.
Tailgating kann auch den Verleih eines Mitarbeiter-Laptops oder anderen Geräts an eine unberechtigte Person umfassen, die dann Malware darauf installieren kann.
Wie können Sie sich vor Social-Engineering-Angriffen schützen?
Es ist unmöglich, Social-Engineering-Angriffe an sich zu verhindern. Benutzer und Unternehmen können sich jedoch durch verantwortungsvolles Verhalten, Sicherheitsbewusstsein, Schulung und Wachsamkeit schützen.
Nachfolgend finden Sie Überlegungen, an denen Sie sich orientieren können, wenn Sie aus unbekannter oder verdächtiger Quelle über irgendeinen Kommunikationskanal kontaktiert werden:
Privatnutzer
Empfohlen | Nicht empfohlen |
---|---|
Prüfen Sie die Gültigkeit der Quelle. Sehen Sie sich den E-Mail-Header genau an und prüfen Sie, ob er mit den vorherigen E-Mails desselben Absenders übereinstimmt. Suchen Sie nach Rechtschreib- und Grammatikfehlern. Sie deuten häufig auf Betrug hin. | Klicken Sie bei einem unbekannten oder verdächtigen Absender nicht auf Links bzw. laden Sie keine Dateien herunter. Bewegen Sie den Mauszeiger über den Link (ohne zu klicken), um seine Gültigkeit zu prüfen. |
Aktualisieren und patchen Sie regelmäßig Ihr Betriebssystem und Ihre Anwendungen. Auf diese Weise verringern Sie das Risiko bekannter Schwachstellen. | Geben Sie keine persönlichen Daten weiter (einschließlich Kontonummern, Kennwörter oder Kreditkartendetails). |
Bleiben Sie wachsam, wenn Sie von Dritten kontaktiert werden. Namhafte Unternehmen bitten Benutzer nie um die Weitergabe von Kennwörtern oder Anmeldedaten. Jeder Austausch mit einem Unternehmensmitarbeiter sollte damit beginnen, dass Sie von diesem gebeten werden, Ihre Identität zu bestätigen und dazu eine früher ausgewählte Sicherheitsfrage zu beantworten. | Reagieren Sie nicht sofort auf dringende Anfragen. Betrüger versuchen oft, ein Gefühl der Dringlichkeit zu erzeugen und eine sofortige Handlung zu bewirken. Sagen Sie immer, dass Sie mehr Zeit benötigen, um die Informationen zu besorgen, und überprüfen Sie die Anfrage über eine andere Kontaktmethode. |
Installieren Sie Popup-Blocker und Spam-Filter. Dadurch werden viele Bedrohungen erkannt und es wird sogar verhindert, dass infizierte E-Mails auf Ihr Gerät gelangen. | Stecken Sie keine unbekannten USB- oder anderen Geräte an Ihrem Computer ein. Wenn Sie ein USB-Gerät oder anderes Endgerät finden, das scheinbar niemandem gehört, übergeben Sie es einem IT-Experten oder Mitglied eines Cybersicherheitsteams. |
Investieren Sie in Cybersicherheitssoftware. Sie sollte von einem namhaften Sicherheitsanbieter stammen und regelmäßig aktualisiert werden. | Gewähren Sie anderen Benutzern keinen Zugriff auf Ihre privaten Geräte oder Konten. Malware ist in Sekundenschnelle installiert. Nutzen Sie Ihre Geräte niemals gemeinsam mit anderen Benutzern bzw. lassen Sie Freunde oder Mitarbeiter Ihre Geräte niemals unbeaufsichtigt verwenden. |
Rufen Sie nur URLs auf, die mit HTTPS beginnen. Wenn Sie Links aufrufen, die sicheres Surfen ermöglichen, minimieren Sie die Wahrscheinlichkeit, dass Sie auf eine schädliche oder gefälschte Website zugreifen. | |
Aktivieren Sie Multifaktor-Authentifizierung (MFA), um die Kompromittierung von Konten einzugrenzen. | |
Melden Sie sich über Ihr Konto oder eine offiziellen Website an. Greifen Sie nur auf diese Weise und nicht über eingebettete Links oder Popup-Anzeigen auf Websites zu. Dies ist eine Möglichkeit, um Legitimität zu gewährleisten. | |
Verwenden Sie einen Kennwort-Manager. Mit diesem Tool wird ein gespeichertes Kennwort auf einer gültigen Website automatisch eingegeben. Eine gefälschte Website wird dagegen nicht erkannt. |
Firmennutzer
- Schulen Sie alle Mitarbeiter in den Best Practices der Cybersicherheit. Die Mitarbeiter sollten auf allen ihren Geräten die Sicherheitsanweisungen befolgen. Dazu sollten sie zum Beispiel starke Kennwörter verwenden, sich nur mit sicheren WLANs verbinden und jederzeit auf Phishing achten.
- Halten Sie das Betriebssystem und andere Software mit Patches und Updates immer auf dem aktuellen Stand. Damit minimieren Sie die Anfälligkeit für bekannte Schwachstellen.
- Verwenden Sie Software, die unbekannte Bedrohungen erkennen und abwehren kann. Die CrowdStrike Falcon®-Plattform bietet mithilfe von KI-gestütztem Machine Learning Virenschutz der nächsten Generation (NGAV) vor bekannter und unbekannter Malware. Falcon sucht nach Angriffsindikatoren, um Ransomware zu stoppen, bevor sie ausgeführt werden und Schaden verursachen kann.
- Überwachen Sie die Umgebung kontinuierlich auf böswillige Aktivitäten und IOAs. Die endpunktbasierte Detektion und Reaktion (EDR) von CrowdStrike® Falcon Insight™ überwacht permanent alle Endgeräte. Sie erfasst Rohereignisse, damit automatisch böswillige Aktivitäten erkannt werden können, die den Präventionsmaßnahmen entgangen sind. Darüber hinaus bietet Falcon Insight den erforderlichen Überblick für eine proaktive, fortschrittliche Bedrohungssuche.
- Integrieren Sie Bedrohungsdaten in die Sicherheitsstrategie. Überwachen Sie Systeme in Echtzeit und bleiben Sie bei Bedrohungsdaten auf dem neuesten Stand. Auf diese Weise können Sie Angriffe schnell erkennen, optimale Reaktionsmöglichkeiten bestimmen und die weitere Ausbreitung verhindern. CrowdStrike Falcon Intelligence automatisiert die Analyse von Bedrohungen und Untersuchung von Zwischenfällen, sodass alle Bedrohungen untersucht und innerhalb von Minuten proaktiv Gegenmaßnahmen eingeleitet werden können.