Was ist Social Engineering?

Die Definition und 5 Hauptarten

Social Engineering

Wussten Sie, dass Hacker in Ihren Computer oder ein anderes mit dem Internet verbundenes Gerät eindringen können, ohne tatsächlich gehackt zu werden? Sie können mithilfe von Manipulation Vertrauen aufbauen und Sie dazu verleiten, Ihre privaten Informationen weiterzugeben. Möglicherweise werden Sie dies erst erkennen, wenn es zu spät ist. Wenn Sie Links in E-Mails öffnen ohne den Namen des Empfängers zu überprüfen oder eventuell sogar Ihre persönlichen Informationen in E-Mails weitergeben, besteht die Gefahr, dass Sie Opfer des Social Engineering werden.

Zusammenfassung: Unter Social Engineering versteht man die Verwendung nichttechnischer Methoden, um potenzielle Opfer dazu zu bringen, ihre persönlichen Informationen mit einem Hacker zu teilen. Hacker wenden täuschende Tricks bei dem Opfer an, um die Passwörter, Bankkontodetails und andere persönliche Informationen zu entlocken. Lesen Sie weiter, um mehr über die fünf häufigsten Arten von Social Engineering zu erfahren.

Social Engineering

Was ist Social Engineering?

Social Engineering ist ein Oberbegriff für eine Vielzahl von Methoden, die von Hackern und anderen Cyberkriminellen eingesetzt werden, um ahnungslose Opfer dazu zu bringen, ihre persönlichen Daten rauszugeben, Links zu infizierten Websites zu öffnen oder Hackern unbemerkt die Installation von Schadsoftware auf ihren Computern zu erlauben. Diese Hacker manipulieren ihre Opfer, indem sie die üblichen Cybersecurity-Verfahren umgehen, um Zugang zu den Computern und / oder persönlichen Informationen der Opfer zu erhalten, normalerweise aus finanziellen Gründen.

Der Begriff Social Engineering hat seinen Ursprung in der Sozialwissenschaft, wo er die Bemühungen der wichtigsten Veränderungsakteure (d. H. Medien, Regierungen oder private Gruppen) bezeichnet, um das Verhalten ihrer Zielbevölkerung zu beeinflussen oder zu gestalten. Vereinfacht ausgedrückt beinhaltet Social Engineering die Verwendung von Manipulation, um ein gutes (z. B. Toleranzförderung) oder ein schlechtes Ziel (z. B. Kriegstreiberei) zu erreichen. Obwohl der Begriff Social Engineering bis ins späte 19. Jahrhundert zurückreicht, ist er heute eher mit Cybersecurity verbunden.

Um ihre Social-Engineering-Angriffe erfolgreich durchführen zu können, verlassen sich viele Hacker auf die Hilfsbereitschaft ihrer potenziellen Opfer. Ebenso können sie versuchen, das mangelnde technische Wissen ihrer Opfer auszunutzen. In den meisten Fällen werden Hacker jedoch das potenzielle Ziel untersuchen. Für einzelne Ziele beinhaltet dies eine gründliche Überprüfung ihrer Social-Media-Konten auf alle persönlichen Daten, die sie geteilt haben, einschließlich Geburtstage, E-Mail-Adressen, Telefonnummern und die Orte, die sie am häufigsten besuchen.

Bei den Geschäftszielen ist der Prozess etwas anders. Hacker brauchen jemanden im Inneren, um Informationen über das Unternehmen, seine Abläufe, die Mitarbeiterstruktur und die Liste seiner Geschäftspartner zu erhalten. Die meisten von ihnen entscheiden sich daher für Angestellte mit niedrigem Niveau, die Zugriff auf diese Informationen haben. Sie werden das Ziel entweder dazu bringen, diese Informationen freiwillig zu teilen oder sie infizieren ihren Computer mit bösartiger Software, die ihre Netzwerkaktivität überwacht und detaillierte Berichte direkt an den Hacker sendet.

Welche Arten von Social Engineering gibt es?

Social Engineering kommt in unterschiedlichen Formen vor. Einige Angriffe können nur offline ausgeführt werden. Es gibt auch einige Social-Engineering-Angriffe, die über das Telefon ausgeführt werden. Bekannt als Vishing (Voice Phishing), handelt es sich dabei um eine Person, die sich fälschlicherweise als Mitarbeiter oder Vertrauensperson vorstellt und direkt nach den Informationen fragt, nach denen sie suchen.
Die fünf häufigsten Arten von Online-Social Engineering umfassen Folgendes:

1. Spear Phishing

Während die meisten Phishing-Kampagnen das Massenversenden von E-Mails an so viele zufällige Adressen wie möglich beinhalten, zielt das Spear-Phishing auf bestimmte Gruppen oder Personen. Hacker – auch Phisher genannt – nutzen Social Media, um Informationen über ihre Ziele (manchmal auch als Spear bezeichnet) zu sammeln, um ihre Phishing-E-Mails personalisieren zu können, wodurch sie realistischer wird und das Gelingen wahrscheinlicher macht.

In dem Bemühen, ihre Angriffe noch mehr wie eine wirkliche Angelegenheit aussehen zu lassen, werden sich Phisher als Freund, Geschäftspartner oder eine externe Einrichtung vorstellen, die irgendwie mit dem Opfer in Verbindung steht. Zum Beispiel kann ein Phisher als Vertreter der Bank des Opfers auftreten und sie auffordern, die gewünschten Informationen zur Verfügung zu stellen. Darüber hinaus können sie auch das offizielle Logo und die Bilder der betreffenden Bank verwenden, um es dem Opfer zu erschweren, zu erkennen, dass die Nachricht nicht echt ist.

2. Baiting

Das Ködern(=baiting) unterscheidet sich von den meisten anderen Arten des Online-Social-Engineering dadurch, dass es auch eine physische Komponente beinhaltet. Wie der Name schon sagt, beinhaltet das Ködern einen physischen Köder, den das Opfer nehmen muss, damit der Angriff erfolgreich sein kann. Zum Beispiel kann der Hacker einen mit Malware infizierten USB-Stick auf dem Schreibtisch des Opfers belassen, in der Hoffnung, dass er den Köder nimmt und ihn an den Computer anschließt. Um die Erfolgschancen zu erhöhen, kann der Hacker den USB-Stick auch als “wichtig” oder “vertraulich” kennzeichnen.
Wenn das Opfer den Köder nimmt und den USB-Stick in den Computer einsteckt, werden auf diesem Computer sofort schädliche Software installiert. Dies wiederum gibt dem Hacker Einblick in seine Online- und Offline-Aktivitäten sowie den Zugriff auf seine Dateien und Ordner. Wenn der infizierte Computer Teil eines Netzwerks ist, erhält der Hacker auch sofortigen Zugriff auf alle anderen Geräte, aus denen dieses Netzwerk besteht.

3. Pretexting

Pretexting beinhaltet die Verwendung eines fesselnden Vorwandes, der die Aufmerksamkeit des Zielopfers auf sich zieht und bindet. Sobald sie in die Geschichte eingetaucht sind, wird der Hacker hinter dem Angriff versuchen, das potenzielle Opfer dazu zu bringen, wertvolle Informationen bereitzustellen. Diese Art von Social Engineering wird häufig bei so genannten nigerianischen E-Mail-Scams gesehen, bei denen sie Ihnen viel Geld versprechen, wenn Sie Ihre Kontoinformationen angeben. Wenn Sie darauf hereinfallen, sehen Sie nicht nur keinen Cent, sondern verlieren möglicherweise sogar das Geld, das sich bereits auf Ihrem Konto befindet.

4. Contact Spamming

Contact Spamming ist vielleicht die am weitesten verbreitete Form des Online-Social-Engineering. Wie der Name vermuten lässt, verwenden Hacker diese Methode, um Spam-Nachrichten an alle Kontakte ihrer Opfer zu senden. Diese E-Mails werden von der Mailingliste des Opfers gesendet, sodass sie für den Empfänger realistischer aussehen. Noch wichtiger ist jedoch, dass sie viel seltener im Spam-Ordner ihres Posteingangs landen.

Diese Methode funktioniert auf sehr einfache Weise. Wenn eine E-Mail von einem Freund mit einer informellen Betreffzeile gesendet wird (z. B. „Check this out!“), können Sie sie öffnen, um einen Textlink zu finden. Der Link wird in der Regel gekürzt, so dass Sie ohne darauf zu klicken nicht sehen können, was sich dahinter verbirgt . Wenn Sie jedoch darauf klicken, wird eine genaue Kopie der E-Mail an alle Ihre Kontakte gesendet, um die Spam-Kette fortzusetzen. Darüber hinaus kann der Link Sie zu einer schädlichen Website führen und auf Ihrem Computer Spyware oder andere schädliche Software herunterladen.

5. Quid Pro Quo

Übersetzt vom Lateinischen „ einen Gefallen für einen Gefallen“ ist eine Art Social Engineering, bei der Gefallen und Dienste zwischen einem Hacker und seinem ahnungslosen Ziel ausgetauscht werden. In den meisten Fällen stellen sich Hacker als IT-Supporttechniker vor und fragen Sie nach Ihren Anmeldedaten, damit sie eine angeblich wichtige Sicherheitsüberprüfung durchführen können. Darüber hinaus werden Sie möglicherweise dazu aufgefordert, Ihre Antivirensoftware zu deaktivieren oder ein Programm zu installieren, das Sie an Sie senden. Dadurch erhalten sie Zugriff auf Ihren Computer und können Malware installieren.

Beispiele für Social Engineering-Angriffe

Zu den größten Social-Engineering-Angriffen der letzten Jahre gehören Folgende:

Im Jahr 2017 haben mehr als eine Million Nutzer von Google Docs Benutzer dieselbe Phishing-E-Mail erhalten, in der sie darüber informiert wurden, dass einer ihrer Kontakte versucht hat, ein Dokument mit ihnen zu teilen. Durch Klicken auf den in der E-Mail enthaltenen Link gelangten sie zu einer falschen Google Docs-Anmeldeseite, auf der viele der Opfer ihre Google-Anmeldedaten eingegeben haben. Auf diese Weise erhielten Hacker Zugriff auf mehr als eine Million Google-Konten, einschließlich E-Mails, Kontakten, Online-Dokumenten und Smartphone-Backups.

Im Jahr 2007 fiel ein Kassierer aus Michigan auf einen nigerianischen Betrug rein, bei dem es einen fiktiven Prinzen gab, der aus Nigeria fliehen wollte, aber Hilfe brauchte, um sein Vermögen aus dem Land zu bringen. In einigen Monaten zahlte der Kassierer den Hackern hinter diesem E-Mail-Betrug mehrere Zahlungen in Höhe von insgesamt 185.000 USD (72.000 USD seines eigenen Geldes). Später wurde bekannt, dass der Rest des Geldes von den 1,2 Millionen Dollar aus der Zeit während seines 13-jährigen öffentlichen Dienstes stammte, welches er unterschlagen hat.

Im Jahr 2013 gelang es Hackern, die Kreditkarteninformationen von mehr als 40 Millionen Target-Kunden zu stehlen. Nach offiziellen Angaben recherchierten die Hacker zunächst den Zulieferer für Klimaanlagen der großen Einzelhandelskette und richteten ihre Mitarbeiter mit Phishing-E-Mails an. Auf diese Weise konnten die Hacker auf das Netzwerk von Target zugreifen und die Zahlungsinformationen der Kunden stehlen. Obwohl der Täter nie gefasst wurde, musste Target im Jahr 2017 18,5 Millionen US-Dollar zahlen, um staatliche Forderungen zu begleichen.

So schützen Sie sich vor Social Engineering

Da die Hacker hinter Social Engineering-Betrügereien meist auf die Freundlichkeit und Hilfsbereitschaft ihrer Opfer angewiesen sind, besteht der beste Weg, sich selbst zu schützen, darin, in einer Online-Umgebung weniger Vertrauen zu haben. Die Verwendung der besten Antivirensoftware ist zwar wichtig, aber Sie müssen auch im Internet sehr vorsichtig sein.

Wenn Ihnen jemand eine E-Mail sendet, in der der Absender behauptet, dass er einer Ihrer Lieferanten oder Geschäftspartner ist, sollten Sie das Büro anrufen, bevor Sie auf Ihre E-Mail antworten oder die darin enthaltenen Links oder Anhänge öffnen. Wenn eine E-Mail, die angeblich von Ihrem Freund verschickt wurde, verdächtig aussieht, rufen Sie Ihren Freund an, um sicherzustellen, dass er die E-Mail gesendet hat. Unabhängig davon, mit wem Sie Nachrichten austauschen, geben Sie niemals Ihre Kreditkartendaten, Bankverbindung, Sozialversicherungsnummer oder andere persönliche Informationen in einer E-Mail an.

Hacker versuchen nicht nur, Ihre Emotionen zu manipulieren, sondern versuchen Sie auch dazu zu bringen, schädliche Software auf Ihrem Computer zu installieren. Je nach Art der Software können sie möglicherweise Ihre Aktivitäten überwachen, Ihre Dateien oder andere Informationen kopieren und löschen sowie Ihre Kennwörter, Kreditkartendetails und andere vertrauliche Informationen stehlen. Um dies zu verhindern, sollten Sie die beste Antivirensoftware verwenden, die bösartige Software leicht finden und entfernen und Ihren Computer somit vor allen potenziellen Bedrohungen schützen kann.

Quellen (auf Englisch)

 

Sind Sie geschützt?

Hacker verwenden häufig schädliche Software, um Ihre Aktivitäten zu überwachen, auf Ihre Dateien zuzugreifen und Ihre Informationen zu stehlen. Überlassen Sie Ihre Online-Sicherheit nicht dem Zufall.