Social Engineering ist ein Begriff, den wir ständig in den Nachrichten im Zusammenhang mit Cyberangriffen hören, aber was genau bedeutet er?
Social Engineering ist die Kunst, Menschen zu manipulieren, damit sie bestimmte Handlungen ausführen oder vertrauliche Informationen preisgeben.
Anstatt herkömmliche Hackerangriffe zu nutzen, machen sich Cyberkriminelle unser menschliches Vertrauen zunutze, um uns dazu zu bringen, normale Sicherheitspraktiken zu verletzen.
Diese Art von Angriffen hat an Häufigkeit und Raffinesse zugenommen und erweist sich als sehr erfolgreicher Weg für Betrüger, sich unbefugten Zugang zu Computernetzwerken und sensiblen Daten zu verschaffen.
Social-Engineering-Angriffe gibt es in vielen verschiedenen Formen, aber der rote Faden, der sich durch alle Angriffe zieht, ist die Ausnutzung des menschlichen Verhaltens. Die folgenden Beispiele sind die am häufigsten verwendeten Angriffsformen.
Phishing
Phishing ist aufgrund seiner hohen Erfolgsquote nach wie vor der beliebteste Social-Engineering-Angriff überhaupt. Die Mehrheit aller Cyberangriffe lässt sich auf eine Phishing-E-Mail zurückführen. Der Online-Betrug funktioniert, indem er Menschen dazu verleitet, sensible Informationen preiszugeben oder bösartige Malware herunterzuladen.
Phishing-E-Mails sind so gestaltet, dass sie echt aussehen und den Anschein erwecken, von einer legitimen Quelle zu stammen. Die E-Mail enthält einen Link oder einen Anhang, der, sobald er angeklickt wird, den Computer mit Malware infiziert.
Vishing
Vishing ist eine Kombination aus den Wörtern Voice und Phishing und bezieht sich auf Phishing-Betrügereien, die über das Telefon erfolgen. Von allen Social-Engineering-Angriffen ist die menschliche Interaktion am stärksten ausgeprägt, aber das Täuschungsmuster ist das gleiche. Die Betrüger erwecken oft ein Gefühl der Dringlichkeit, um das Opfer zur Preisgabe vertraulicher Informationen zu bewegen.
Der Anruf erfolgt oft über eine gefälschte ID, so dass es so aussieht, als käme er von einer vertrauenswürdigen Quelle. Ein typisches Szenario ist, dass sich der Betrüger als Bankangestellter ausgibt, um auf verdächtiges Verhalten bei einem Konto hinzuweisen. Sobald sie das Vertrauen des Opfers gewonnen haben, fragen sie nach persönlichen Informationen wie Anmeldedaten, Passwörtern und PIN. Diese Daten können dann verwendet werden, um Bankkonten zu leeren oder Identitätsbetrug zu begehen.
Smishing
Smishing ist eine Form des Phishings, bei der SMS-Nachrichten anstelle von E-Mails verwendet werden, um Personen anzusprechen. Es wird von Kriminellen verwendet, um Personen dazu zu bringen, persönliche Informationen wie Kontodaten, Kreditkartendaten oder Benutzernamen und Passwörter preiszugeben. Bei dieser Methode senden die Betrüger eine Textnachricht an die Telefonnummer einer Person und enthalten in der Regel eine Aufforderung zum Handeln, die eine sofortige Reaktion erfordert. Die Nachrichten geben oft vor, von Banken, Finanzämtern und sogar von Ihren eigenen Freunden zu stammen. Sie können Sie auffordern, auf einen Link zu klicken, eine Nummer anzurufen oder Ihnen sogar mitteilen, dass Sie gleich einen Anruf von einem Mitarbeiter des Kundendienstes erhalten werden.
Speer - Phishing
Spear-Phishing ist ein gezielterer Versuch, sensible Informationen zu stehlen, und konzentriert sich in der Regel auf eine bestimmte Person oder Organisation. Bei dieser Art von Angriffen werden persönliche Informationen verwendet, die sich auf die betreffende Person beziehen, um legitim zu erscheinen. Erfahren Sie mehr über Spear-Phishing.
Die Betrüger nutzen häufig die sozialen Medien, um ihre Opfer ausfindig zu machen. Sobald sie ihr Ziel besser kennen, versenden sie personalisierte E-Mails mit Links, die, sobald sie angeklickt werden, den Computer mit Malware infizieren.
Whaling
Was diese Kategorie von Phishing von anderen unterscheidet, ist die Wahl des Ziels auf höchster Ebene. Ein Whaling-Angriff ist ein Versuch, sensible Informationen zu stehlen, und zielt oft auf die Führungsebene oder andere hochrangige Ziele wie Politiker oder Prominente. Der Begriff "Whaling" wird verwendet, um darauf hinzuweisen, dass es sich bei dem Ziel um einen großen Fisch handelt, den es zu fangen gilt.
Whaling-E-Mails sind viel raffinierter als gewöhnliche Phishing-E-Mails und viel schwerer zu erkennen. In der Regel enthalten die E-Mails personalisierte Informationen über die Zielperson oder das Unternehmen, und die Sprache ist im Unternehmenston gehalten. Aufgrund des hohen Gewinns für die Betrüger wird bei der Erstellung dieser E-Mails viel mehr Aufwand betrieben.
Baiting
Wie der Name schon sagt, geht es darum, jemanden in eine Falle zu locken, um seine persönlichen Daten zu stehlen oder seinen Computer mit Malware zu infizieren.
Um ihre Opfer in die Falle zu locken, bieten die Köder oft kostenlose Musik- oder Filmdownloads an, wenn die Benutzer ihre Anmeldedaten angeben. Ein anderer beliebter Ködertrick besteht darin, ein mit Malware infiziertes Gerät, z. B. einen USB-Stick, an einem Ort zu hinterlassen, an dem es jemand finden kann.
Die Betrüger setzen auf die menschliche Neugier, um den Betrug zu vervollständigen, und indem sie das Gerät in den Computer einführen, um zu sehen, was darauf ist, wird wiederum Malware installiert.
Tailgating
Beim Tailgating folgt jemand einem Mitarbeiter in einen gesperrten Bereich. Diese Angriffe werden oft offline durchgeführt, können aber zu künftigen Online-Angriffen führen.
Ein gängiges Beispiel für diese Art von Angriffen ist, dass sich jemand als Lieferfahrer ausgibt und wartet, bis ein Angestellter das Gebäude betritt. Der Angreifer bittet diesen dann, ihm die Tür aufzuhalten, damit er sich Zugang verschaffen kann. Sobald er drinnen ist, kann der Angreifer Zugang zu sensiblen Unternehmensdaten erlangen.
Um zu verhindern, dass Sie Opfer dieser Art von Angriffen werden, können Sie eine Reihe von Maßnahmen ergreifen. Öffnen Sie niemals E-Mails aus unbekannten Quellen, klicken Sie nicht auf verdächtige Links, installieren Sie Antiviren-Software und lesen Sie die Datenschutzrichtlinien Ihres Unternehmens.
Um herauszufinden, wie MetaCompliance Ihnen helfen kann, sich vor dieser Art von Social Engineering-Angriffen zu schützen, klicken Sie hier