Social Engineering: Das Hacken des Menschen
Veröffentlicht am: 15 Juni 2021
Zuletzt geändert am: 24 Juli 2025
Social Engineering ist nichts Neues. Lange bevor Computer in unser Leben traten, wurden Menschen mit psychologischen Tricks betrogen. Bereits 1947 wurde ein Buch mit dem Titel„Illustriertes Rundschreiben über Hochstapler und erfahrene Verbrecher“ veröffentlicht. Dieses Buch war ein „Who’s who der internationalen Schwindler“. Spulen Sie ins Jahr 2021 vor, und internationale Verbrecherbanden gehen digitaler vor, um Geld, Daten und Zugangsdaten von Unternehmen zu erschwindeln. Obwohl zwischen den Betrugskampagnen der Betrüger Jahrzehnte, ja sogar Jahrhunderte liegen können, haben sie alle eines gemeinsam: Die alten und neuen Betrüger nutzen Social Engineering, um zu bekommen, was sie wollen.
Social Engineering: Die Tricks der Phishing-Branche
Ein einziger Klick genügt, um möglicherweise ein infiziertes Gerät zu erhalten. Diese Infektion kann sich wie ein Lauffeuer über das Unternehmensnetzwerk und alle angeschlossenen Geräte verbreiten. Die Infektion kann ein Unternehmen am Ende viel Geld für Ausfallzeiten, Datenverluste und einen beschädigten Ruf kosten.
Das Erlebnis eines einzigen Klicks ist das, was sowohl Vermarkter als auch Cyberkriminelle anstreben. Indem Sie eine Situation schaffen, in der die Menschen nicht lange nachdenken müssen, bevor sie handeln, können Sie ein Publikum erfolgreicher einfangen.
Marketingspezialisten wollen eine emotionale Reaktion auf eine Marketingkampagne hervorrufen, indem sie den Menschen so sehr mit einem Produkt in Kontakt bringen, dass er auf weitere Informationen klickt oder – noch besser – auf den Kauf.
Auch Cyberkriminelle wollen diese ‚reflexartige Reaktion‘ erreichen, also verwenden sie ähnliche Taktiken, um Menschen zum Klicken zu bewegen.
Digitale Kriminelle haben Vorteile gegenüber ihren nicht-digitalen Pendants, den Scammern. Die Reichweite ist z. B. größer, denn Cyberkriminelle nutzen Massen-Phishing-Kampagnen, um Millionen von Zielpersonen zu erreichen, und gehen dabei nach dem Prinzip „spray and pay“ vor. Oder Betrüger können persönlich werden und gezieltes Spearphishing einsetzen, das sich auf eine Einzelperson konzentriert.
Phishing-Angriffe bauen auf dem menschlichen Verhalten auf – was uns ticken lässt, bringt uns zum Klicken. Vieles davon ist auf die stille Schulung zurückzuführen, die wir alle im Umgang mit dem Internet erhalten haben. Web- und App-Designer konzentrieren sich darauf, eine „nahtlose UX“ zu schaffen, d. h. eine einfache Benutzererfahrung, die auf einer nahtlosen Interaktion zwischen Technologie und Mensch basiert. Das Ergebnis ist, dass wir alle daran gewöhnt sind, bestimmten Verhaltensmustern in der digitalen Welt zu folgen. Es sind diese Muster, die Cyberkriminelle nutzen, um uns zum Klicken zu verleiten.
Erkennen der Anzeichen für Social Engineering
Die Techniken, mit denen Cyberkriminelle das menschliche Gehirn dazu bringen, auf einen Auslöser zu reagieren, sind typisch dafür, wie wir normalerweise menschliche Beziehungen aufbauen:
Vertrauen: Die Verwendung einer bekannten Marke als Grundlage für eine Phishing-E-Mail ermöglicht es dem Betrüger, das Vertrauen zu nutzen, um einen Menschen zu hacken. Beliebte Marken für Massen-Phishing-Kampagnen sind Office 365, Facebook, Google und eBay. Bei gezielteren Kampagnen kann jedoch auch eine Marke gewählt werden, die enger mit einem Unternehmen verbunden ist, z. B. eine bestimmte Web-App oder ein Anbieterportal. Diese Kampagnen können die Entdeckung von Phishing-E-Mails noch schwieriger machen und dem Angriff ein zusätzliches Element des Vertrauens verleihen, wenn die gefälschte Marke eng mit dem Zielunternehmen verbunden und für dieses leicht erkennbar ist. Sogar Sicherheitsanbieter können Opfer von Phishing-Kampagnen mit gefälschten Marken werden: Check Point Software, ein vertrauenswürdiger Sicherheitsanbieter, ließ seine Marke auf einer Phishing-Website verwenden.
Neugierde und Dringlichkeit: Dies sind typische Elemente einer Phishing-Kampagne. Die Betrüger verleiten die Benutzer dazu, ihre Aufträge auszuführen, indem sie ihnen das Gefühl geben, sie hätten es mit einer vertrauenswürdigen Instanz zu tun und die Aufgabe sei dringend. Ein Beispiel hierfür ist eine Office 365 Phishing-Kampagne aus dem Jahr 2020. Die Forscher identifizierten eine Kampagne, die damit begann, dass ein Mitarbeiter eine E-Mail mit einer „verpassten Sprachnachricht“ erhielt. Die Benutzer wurden aufgefordert, auf eine Schaltfläche zu klicken, um ihr Office 365-Konto aufzurufen, um die verpasste Nachricht abzurufen. Die Nachricht enthielt außerdem den Hinweis „Nachricht von einem vertrauenswürdigen Server“ am Anfang der E-Mail, um das Element „Vertrauen“ zu stärken. Wenn der Benutzer auf die Schaltfläche klickte und seine Zugangsdaten auf der gefälschten Office 365-Website eingab, wurden diese Zugangsdaten gestohlen.
Die persuasive Stimme: Überredungskunst spielt eine wichtige Rolle beim Phishing-Erfolg. Laut der Marketingforschung von Cialdini gibt es sechs Grundprinzipien, um das Verhalten von Kunden zu beeinflussen. Diese Prinzipien wurden zusammen mit ähnlichen Forschungen über Überzeugung und Beeinflussung von einem Forschungsteam verwendet , das untersucht hat, wie Social Engineering beim Phishing funktioniert. Die Forscher fanden fünf Schlüsselelemente für sehr überzeugende und daher erfolgreiche Phishing-Kampagnen:
- Autorität: Verwendung eines autoritären Namens, z.B. eines Firmenchefs
- Sozialer Beweis: Entwickeln Sie eine Kampagne, die durch Gruppenzwang zum Verhalten ermutigt
- Sympathie, Ähnlichkeit, Täuschung: Erfolgreiche Überzeugungsarbeit funktioniert, wenn Menschen oder Themen vertraut sind
- Verbindlichkeit, Gegenseitigkeit und Beständigkeit: Menschen sind gerne konsequent und glauben gerne an das, was andere sagen und tun: z.B. einen Gefallen erwidern
- Ablenkung: Indem er ein Gefühl der Dringlichkeit vermittelt, z. B. dass ein Artikel teurer wird, wenn Sie nicht sofort handeln, kann ein Betrüger von den Anzeichen eines Betrugs ablenken.
Die Emotionen des Social Engineering
Emotionale Reaktionen sind diejenigen, die in uns allen tief verwurzelt sind. Der Einsatz von Überredung und emotionaler Manipulation in Phishing-Kampagnen wurde in einer 2018 von der American Psychological Society veröffentlichten Studie untersucht. Die Forscher untersuchten die „emotionale Erregung als Betrugstaktik“. Die Studie ergab, dass Menschen aller Altersgruppen sowohl auf positive als auch auf negative Überredungsbotschaften reagierten und bei der Reaktion schlechte Entscheidungen trafen. In der Studie heißt es, dass „emotionale Erregung die Anfälligkeit für irreführende Informationen beeinflussen kann und dass dieser Effekt sowohl bei älteren als auch bei jüngeren Erwachsenen auftritt.“ Dieses Verhalten spielt den Betrügern in die Hände. Phishing-Nachrichten enthalten oft eine Komponente, die eine emotionale Reaktion hervorruft, wie in den obigen Beispielen zu sehen ist.
Wie Sie sich vor Social Engineering schützen können
Social Engineering ist gefährlich, weil es unser natürliches Verhalten ausnutzt, um uns dazu zu bringen, auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen. Aber Phishing-Betrüger passen auch ihre Techniken und Werkzeuge an, um ihren Erfolg zu sichern. Die wechselnden Muster des Phishings, gepaart mit einer ausgeklügelten Manipulation der Ziele, machen diese heimtückische Art der Cyberkriminalität zu einer der am schwierigsten zu bekämpfenden. Es gibt keine Einzellösung, um den Erfolg von Phishing zu verhindern. Stattdessen ist eine Mischung aus Sicherheitsschulung und technischen Lösungen erforderlich, um einen Phishing-Versuch zu erkennen und zu verhindern.
