Sechs Wege, wie Cyberkriminelle Social Engineering einsetzen
Veröffentlicht am: 23 Aug. 2022
Zuletzt geändert am: 22 Sep. 2025
In Berichten wie dem Data Breach Investigations Report (DBIR) von Verizon aus dem Jahr 2022 wird der Mensch als zentrale Komponente bei 82 % der Cyberangriffe genannt. Betrüger verwenden Techniken, die auf Social Engineering basieren, um Menschen dazu zu bringen, Aktionen auszuführen, die einem Hacker nützen.
Social Engineering ist ein Sammelbegriff für viele Taktiken, mit denen Mitarbeiter und andere Benutzer manipuliert werden. Hier finden Sie sechs der gängigsten Arten von Social Engineering und wie Sie verhindern können, dass Hacker sie in Ihrem Unternehmen erfolgreich ausnutzen.
Sechs der häufigsten Social-Engineering-Angriffe
1. Phishing und Social Engineering
Spear-Phishing, eine gezielte Form des Phishings, ist laut DBIR 2018 in 93 % der Cyberangriffe verwickelt . Die weniger gezielte Form des Phishings ist laut Cisco immer noch die zweithäufigste Taktik bei Cyberangriffen.
Phishing ist das perfekte Medium, das es Hackern ermöglicht, Menschen zu manipulieren, und fällt daher unter den Begriff Social Engineering. Phishing tritt in verschiedenen Formen auf. Bereits erwähnt wurden Phishing und Spear-Phishing, aber Hacker nutzen jedes Kommunikationsmittel, einschließlich Textnachrichten und Telefonanrufe (SMShing und Vishing), um Menschen dazu zu bringen, auf einen Link zu einer bösartigen Website zu klicken, persönliche Daten anzugeben oder einen infizierten Anhang herunterzuladen.
2. Soziale Medien für Social Engineering
Soziale Medien sind eine wahre Goldgrube an Informationen, die Cyberkriminelle nutzen können, um Menschen, Anwendungen, Netzwerke und Daten anzugreifen: Betrüger benötigen Daten, um Cyberangriffe durchzuführen, einschließlich Business Email Compromise (BEC).
Wenn Mitarbeiter oder andere Personen Informationen über soziale Medien weitergeben, werden Betrüger sie beobachten. Einem Forschungsbericht zufolge haben Unternehmen mit folgenden Problemen zu kämpfen, wenn Mitarbeiter Informationen in sozialen Medien teilen:
- zu viele Informationen weitergeben
- Verlust von vertraulichen Informationen
- erhöhte Anfälligkeit für Rechtsstreitigkeiten
Das Papier kommt zu dem Schluss, dass soziale Medien ein offenes Medium für den Austausch bieten, das die Herausforderungen des Social Engineering erschwert.
3. Hinterherfahren und Huckepackfahren
Tailgating ist einer der ältesten Social-Engineering-Betrügereien, die es gibt. Tailgating, oder Huckepack, wird oft als physischer Betrug angesehen, kann aber auch digital sein. In der physischen Welt wird das Tailgating durch den Betrüger veranschaulicht, der sich unbemerkt in das Bürogebäude eines Unternehmens schleicht. Betrüger wissen, wie sie unauffällig aussehen müssen, damit sie sich unbefugt Zugang zu einem Gebäude verschaffen oder jemanden „huckepack“ nehmen können, der ein Gebäude betritt.
Sobald sie im Unternehmen sind, können sie Mitarbeiter dazu bringen, Zugangsdaten wie Passwörter weiterzugeben, oder sie verwenden Hacking-Tools, um Daten direkt von den Computern zu stehlen. Sie können sogar den alten Trick anwenden, jemandem über die Schulter zu schauen, der in einem sensiblen Bereich des Netzwerks angemeldet ist.
4. Vorwände
Betrüger benötigen oft Daten, um einen erfolgreichen Social-Engineering-Betrug durchzuführen. Wie bereits erwähnt, kann der Hacker Informationen sammeln, um eine Person mithilfe von sozialen Medien, Phishing und Tailgating auszutricksen. Pretexting nutzt Social Engineering, um Menschen glauben zu machen, dass es sich bei dem Betrüger um eine Autoritätsperson oder eine Person handelt, die berechtigt ist, sich an einem bestimmten Ort aufzuhalten: Mit anderen Worten, der Betrüger gibt sich als jemand anderes aus.
Sie können sich zum Beispiel als Unternehmer oder leitender Angestellter ausgeben. Das mag unwahrscheinlich erscheinen, aber ein selbstbewusster Betrüger kann dies in einem großen Unternehmen mit mehreren Niederlassungen erreichen.
5. Köder
Die Menschen lieben kostenlose Dinge, und Köder nutzen dieses Verhalten, um Mitarbeiter zur Herausgabe von Informationen wie sensiblen Daten oder finanziellen Details zu verleiten. Der Betrüger wählt beispielsweise einen Mitarbeiter aus oder schickt eine Massen-E-Mail, in der er ein kostenloses Produkt, z. B. einen Film-Download, anbietet. Wenn der Mitarbeiter auf die Download-Schaltfläche drückt, ist das Ergebnis ein infiziertes Gerät.
Dies ist ein effektiver Weg, um Malware zu installieren. Ein Beispiel dafür ist die Raubkopie von Game of Thrones, die sich 2018 zur am häufigsten mit Malware infizierten Fernsehserie aller Zeiten entwickelte. Insgesamt wurden 126.340 Nutzer mit Malware infiziert, als sie die Raubkopie der Fernsehserie herunterluden.
6. Quid Pro Quo
Quid Pro Quo ist eine lateinische Redewendung (dies für das), die einen Austausch von etwas gegen Waren oder Dienstleistungen beschreibt. Cyberkriminelle wollen Daten, und ein Quid Pro Quo ist eine Möglichkeit, an diese Daten zu gelangen.
Ein typischer Quid Pro Quo-Angriff würde folgendermaßen ablaufen: Ein Angestellter erhält einen Anruf vom „technischen Support“, der ihm mitteilt, dass ein Ransomware-Angriff im Gange ist und er den Virus entfernen muss, bevor er die Arbeit des Angestellten beschädigt. Dazu benötigt der Hacker den Benutzernamen und das Passwort des Mitarbeiters. Wenn der Angestellte auf diesen Trick hereinfällt, hat der Hacker Zugang zum Firmennetzwerk, den er nutzen kann, um seine Privilegien auf sensiblere Bereiche auszuweiten.
Drei Möglichkeiten, Ihre Mitarbeiter vor Social Engineering-Angriffen zu schützen
1. Einführung von Prozessen und Richtlinien
Oft müssen sich Social Engineers auf mangelhafte Prozesse verlassen, die es ihnen ermöglichen, Sicherheitslücken auszunutzen. Beim Tailgating zum Beispiel kann der Eindringling darauf angewiesen sein, dass die Personen, die ein Gebäude betreten, nicht kontrolliert werden. Social Engineers verlassen sich oft auf das Vertrauen in Autoritätspersonen, um einen Mitarbeiter zu einer Handlung zu bewegen, z. B. zu einer Geldüberweisung, wie bei einem BEC-Betrug.
Die meisten Social-Engineering-Betrügereien benötigen Daten. Daher wenden sich die Betrüger an soziale Medien oder Phishing, um an die Informationen zu gelangen, die sie für einen Cyberangriff benötigen. Robuste Prozesse, die bei jeder Aktion, wie z.B. Geld- oder Datentransfers, zusätzliche Kontrollen und Abgleiche vorsehen, können dazu beitragen, einen Social Engineering-Angriff zu verhindern. Richtlinien, die sicherstellen, dass Mitarbeiter nicht zu viel auf Social-Media-Plattformen preisgeben, helfen, diese Form des Datensammelns zu vermeiden.
2. Mitarbeiter in Social Engineering-Taktiken schulen
Social Engineering gibt es in vielen Formen, und die Cyberkriminellen, die hinter Social-Engineering-Angriffen stecken, passen diese Betrügereien an, um nicht entdeckt zu werden. Daher sollten Schulungspakete für das Sicherheitsbewusstsein auch Schulungen zu Social Engineering-Tricks enthalten, einschließlich der sechs oben beschriebenen Betrügereien.
Die Schulungen müssen ansprechend gestaltet sein und Schulungsmodule enthalten, die interessant, unterhaltsam und informativ sind.
Die Plattform für das Sicherheitsbewusstsein sollte auch Möglichkeiten zur Erfassung der Erfolgsquote eines Schulungspakets bieten, damit Ihr Unternehmen die Schulungen aktualisieren und anpassen kann, um die bestmöglichen Ergebnisse zu erzielen. Die Schulung von Mitarbeitern zur Erkennung von Social-Engineering-Angriffen sollte regelmäßig durchgeführt werden, um Veränderungen in den Bedrohungsmustern zu erfassen.
3. Verwenden Sie simulierte Phishing-Programme
Phishing ist eine der Haupttechniken, auf die sich viele Social Engineering-Angriffe stützen. Das Erkennen der verräterischen Anzeichen einer Phishing-E-Mail oder einer anderen Phishing-Nachricht ist eine wichtige erste Verteidigungslinie gegen Social Engineering-Angriffe.
Phishing-Simulationssoftware bietet Vorlagen, die auf aktuelle Social Engineering-Tricks zugeschnitten werden können. Diese werden dann wie gewohnt an Mitarbeiter und andere Geschäftspartner verschickt. Wenn ein Benutzer auf einen bösartigen Link klickt oder einen Anhang herunterlädt, schaltet sich die simulierte Phishing-Plattform mit einer Lektion darüber ein, was passieren würde, wenn er diese Aktion fortsetzt.
