Du hast den Begriff sicher schon öfter gehört: Social Engineering. Aber was genau ist darunter zu verstehen? Und vor allem: Welche Gefahr stellt es für dich persönlich und deine Daten dar? Wir verraten dir, was sich hinter Social Engineering verbirgt. Leider jede Menge Risiken für Menschen wie dich und mich! Aber du kannst dich dagegen schützen – mit unseren Tipps.
Unter Social Engineering versteht man die Kunst, jemanden anderen meist durch Technologie davon zu überzeugen, seine Daten herauszugeben oder bestimmte Aktivitäten zu setzen. Die Idee dahinter ist, aus den natürlichen Beweggründen und emotionalen Reaktionen eines potenziellen Opfers Vorteile zu ziehen.
Inhaltsverzeichnis
Manipulation mit Psycho-Tricks
Um Zugang zu einem Computer-Netzwerk zu erhalten, sucht ein typischer Hacker meist nach einer Schwachstelle. Ein Social Engineer hingegen könnte sich als technischer Support-Mitarbeiter ausgeben, um einen Mitarbeiter davon zu überzeugen, seine Zugangsdaten herauszugeben. Der Betrüger hofft darauf, dass sein Opfer einem Kollegen helfen möchte und vielleicht erst handelt und dann nachdenkt. Wenn es zu spät ist … Es geht also quasi um psychologische Manipulations-Tricks.
Menschliche Fehler statt Sicherheitslücken
Was Social Engineering besonders gefährlich macht ist, dass es sich auf menschliches Versagen verlässt anstatt auf Sicherheitslücken. Fehler, die von legitimierten Usern gemacht werden, sind weitaus weniger vorhersagbar und damit auch schwieriger auszumachen und zu vereiteln, als Angriffe mit Malware.
Angriffstechniken von Social Engineering
Social Engineering kommt in vielen verschiedenen Formen daher. Es ist überall dort möglich, wo menschliche Interaktion eine Rolle spielt. Im Folgenden findest du die gebräuchlichsten Formen von Social Engineering-Angriffen:
Scareware
Scareware bombardiert das Opfer mit Falschalarmen und Fake-Bedrohungen. Dadurch soll der User glauben, dass sein System mit Malware infiziert ist. Als Lösung überredet der Angreifer sein Opfer, seine Software zu installieren. Die hat allerdings nur für den Social Engineer selbst Vorteile oder bringt tatsächlich Malware auf den Computer.
Andere Begriffe für Scareware sind auch Fraudware, Rogue Scanner-Software oder Deception-Software. Ein sehr gängiges Scareware-Beispiel sind Popup-Banner, die immer wieder mal beim Surfen im Web aufscheinen und Warnungen wie „Ihr Computer könnte mit böswilligen Spyware-Programmen infiziert sein“ zeigen. Der Banner bietet an, entweder ein entsprechendes Tool für dich zu installieren (meist mit Malware infiziert) oder es führt dich auf eine böswillige Seite, auf der dein Computer infiziert wird.
Außerdem wird Scareware via Spam E-Mails verbreitet, die gefälschte Warnungen beinhalten oder dem User den Kauf von wertlosen oder gar böswilligen Services als Hilfe anbieten.
Baiting
Diese Methode wendet sich an die Gier oder zumindest Neugier in uns: Hier versucht der Angreifer, seine Opfer mit falschen Versprechen zu locken. Gehen sie in die Falle, stiehlt der Social Engineer persönliche Informationen oder infiziert das System seines Opfers mit Malware.
Meistens verwendet der Angreifer beim Baiting ein physisches Lockmittel. Beispielsweise lässt er einen Malware-infizierten USB-Stick dort liegen, wo er garantiert von potenziellen Opfern gefunden wird. Im WC, Aufzug, Parkplatz einer Firma etc. Der USB-Stick sieht meist sehr offiziell aus. Mit Firmenlogo und vielleicht einer verführerischen Aufschrift wie „Gehaltslisten Firma XY“. Das weckt natürlich die Neugier. Der „Finder“ wills wissen, gibt den USB-Stick in seinen Computer und schwupps – schon ist er automatisch infiziert.
Phishing
Wir kennen es alle: Phishing zählt zu den beliebtesten und häufigsten Social Engineering-Attacken. Dabei handelt es sich um E-Mails, die beim Opfer Druck, Neugier oder Angst auslösen. Anschließend versuchen die Texte das Opfer davon zu überzeugen, sensible Informationen zu enthüllen. Entweder indem sie auf Links zu böswilligen Webseiten klicken oder Attachments öffnen, die Malware beinhalten.
Beispielsweise erhält der User ein sehr echt wirkendes E-Mail seiner (vermeintlichen) Bank. Darin wird er aufgefordert, dringend seine Zugangsdaten zu ändern, da es bei seinem Konto Auffälligkeiten gegeben hätte. Natürlich inklusive Link, um den Vorgang gleich direkt durchzuführen. Die Webseite dahinter sieht ebenfalls täuschend echt aus. Der User geht dadurch umso leichter in die Falle.
Spear Phishing
Im Gegensatz zum klassischen Massen-Phishing richtet sich Spear Phishing ganz gezielt an spezielle Personen oder Firmen. Die E-Mails werden entsprechend individuell maßgeschneidert. Basierend auf Position, Charaktereigenschaften und Kontakte des Opfers, damit das Spear Phishing weniger verdächtig wirkt.
Diese Form des Phishing ist natürlich weitaus aufwändiger für den Angreifer und nimmt oft Monate an Vorbereitungszeit in Anspruch. Diese Attacken sind aber auch weitaus schwieriger auszumachen und auch erfolgreicher.
Ein Spear Phishing-Szenario könnte beispielsweise folgendermaßen ablaufen: Der Angreifer gibt sich als IT-Konsulent aus und schickt an einen oder mehrere Mitarbeiter einer Firma ein E-Mail. Dieses sieht ganz gleich aus und klingt auch wie die üblichen E-Mails des „echten“ Konsulenten. Die Nachricht fordert die Empfänger dazu auf, ihr Passwort zu ändern. Wiederum inklusive eines Links zu einer böswilligen Seite, wo der Hacker die Zugangsdaten schlussendlich abgreift.
Pretexting
Hierbei handelt es sich um einen besonders gefinkelten Angriff. Der Angreifer erschleicht sich bei seinem Opfer durch eine Reihe von Lügen wertvolle Informationen. Er startet meist damit, das Vertrauen seines Opfers zu gewinnen, indem er sich als Polizist, Bankmitarbeiter oder andere Autoritätsperson ausgibt. Um den Nachweis seiner Identität zu erbringen, muss das Opfer dem Angreifer allerhand Informationen aushändigen. Diese werden natürlich fleißig gesammelt – von Sozialversicherungsnummern, Adressen und Telefonnummern, Bankdaten bis hin zu Sicherheitsinfos ist alles dabei.
So schützt du dich vor Social Engineering
Du siehst, Social Engineering kann ganz schön ausgefeilt und tückisch sein. Gut gemacht könntest auch du in die Falle tappen. Um dem vorzubeugen, beachte unbedingt die folgenden Tipps.
Social Engineers manipulieren die menschlichen Gefühle wie Angst oder Neugier, um ihre Opfer in die Falle zu locken. Deswegen sollten bei dir alle Alarmglocken läuten, wenn du dich von einer E-Mail oder einem Banner auf einer Webseite besonders angezogen fühlst. Achtsamkeit kann dir dabei helfen, dich gegen die meisten Social Engineering-Attacken zu schützen.
- Verwende Zwei-Faktor-Authentifizierung: Sie hilft dir dabei, den Schutz deiner Zugangsdaten bei einem Systemangriff zu sichern.
- Sei bei extrem tollen Angeboten kritisch: Wenn ein Angebot allzu verlockend klingt, solltest du zwei Mal nachdenken, bevor du es annimmst. Einmal schnell das Thema googeln und schon weißt du, ob es sich um ein echtes oder gefaktes Angebot handelt.
- Öffne keine E-Mails und schon gar keine Attachments von verdächtigen Absendern: Wenn du den Absender nicht kennst, antworte nicht auf das E-Mail. Und selbst wenn du ihn kennst und dir die Nachricht trotzdem eigenartig vorkommt: Mache den Doppel-Check und lasse dir den Inhalt von einer anderen Quelle bestätigen. Beispielsweise durch einen Telefonanruf oder direkt auf der Seite des Service-Providers. Denk daran, dass E-Mail-Adressen permanent gespooft werden. Selbst ein E-Mail, das anscheinend von einer vertrauenswürdigen Quelle kommt, könnte in Wirklichkeit von einem Angreifer stammen.
- Halte deine Antivirus-/Antimalware Software up-to-date: Stelle sicher, dass automatische Updates aktiviert sind oder mache es dir zur Gewohnheit, jeden Tag die neuesten Updates downzuloaden. Prüfe außerdem regelmäßig, ob die Updates wirklich durchgeführt wurden und scanne dein System auf mögliche Infektionen. df
- Auch deine E-Mail-Software kann dir helfen: Die meisten filtern Junk Mail, auch Scams. Wenn du das Gefühl hast, dass deine Software nicht ausreichend filtert, checke doch mal deine Einstellungen. Das Ziel ist, den Junk-Filter so hoch einzustellen, dass möglichst viel Spam gar nicht erst zu dir durchdringt.
Quelle: norton.com, incapsula.com; Foto: pixabay.com
Erstellt am: 22. Februar 2019