Die Definition für Social-Engineering
Social-Engineering ist eine Manipulationstechnik, die menschliche Fehler ausnutzt, um an private Informationen, Zugang oder Wertgegenstände zu gelangen. Im Bereich der Cyberkriminalität werden ahnungslose Benutzer durch diese „Human Hacking“-Betrügereien dazu verleitet, Daten preiszugeben, Malware zu verbreiten oder Zugang zu geschützten Systemen zu gewähren. Angriffe können online, persönlich und durch andere Interaktionen erfolgen.
Social-Engineering-Betrügereien basieren darauf, wie Menschen denken und handeln. Daher sind Social-Engineering-Angriffe besonders nützlich, um das Verhalten eines Benutzers zu manipulieren. Sobald ein Angreifer die Beweggründe für die Handlungen eines Benutzers kennt, kann er ihn effektiv täuschen und manipulieren.
Darüber hinaus versuchen Hacker, die Unkenntnis der Nutzer auszunutzen. Dank der Geschwindigkeit der Technologie sind sich viele Verbraucher und Mitarbeiter bestimmter Bedrohungen wie Drive-by-Downloads nicht bewusst. Möglicherweise sind sich die Nutzer auch nicht des vollen Werts ihrer persönlichen Daten, wie z. B. ihrer Telefonnummer, bewusst. Daher sind viele Nutzer unsicher, wie sie sich und ihre Daten am besten schützen können.
Im Allgemeinen verfolgen Social-Engineering-Angreifer eines von zwei Zielen:
- Sabotage: Störung oder Verfälschung von Daten, um Schaden oder Unannehmlichkeiten zu verursachen.
- Diebstahl: Aneignung von Wertgegenständen wie Informationen, Zugang oder Geld.
Diese Definition von Social-Engineering kann noch erweitert werden, wenn man genau weiß, wie sie funktioniert.
Wie funktioniert Social-Engineering?
Die meisten Social-Engineering-Angriffe beruhen auf der tatsächlichen Kommunikation zwischen Angreifern und Opfern. Der Angreifer neigt dazu, den Benutzer zu motivieren, sich selbst zu kompromittieren, anstatt mit Brute-Force-Methoden in Ihre Daten einzudringen.
Der Angriffszyklus gibt diesen Kriminellen ein zuverlässiges Verfahren, um Sie zu täuschen. Der Zyklus eines Social-Engineering-Angriffs läuft in der Regel folgendermaßen ab:
- Die Vorbereitung beginnt damit, dass Hintergrundinformationen über Sie oder eine größere Gruppe, der Sie angehören, gesammelt werden.
- Die Infiltrierung folgt dann, indem eine Beziehung mit Ihnen aufgebaut oder eine Interaktion eingeleitet wird, die mit dem Aufbau von Vertrauen beginnt.
- Die Ausnutzung des Opfers beginnt, sobald Vertrauen aufgebaut und eine Schwachstelle gefunden wurde, um den Angriff voranzutreiben.
- Die Deaktivierung folgt, sobald der Benutzer die gewünschte Aktion durchgeführt hat.
Dieser Prozess kann in einer einzigen E-Mail oder über Monate hinweg in einer Reihe von Chats in den sozialen Medien stattfinden. Es könnte sich sogar um ein persönliches Gespräch handeln. Am Ende steht jedoch eine Handlung, die Sie ausführen, wie z. B. die Weitergabe Ihrer Daten oder die Gefährdung durch Malware.
Darüber hinaus wird Social-Engineering häufig auch zur Verwirrung eingesetzt. Viele Mitarbeiter und Verbraucher sind sich nicht bewusst, dass Hacker mit nur wenigen Informationen Zugang zu mehreren Netzwerken und Konten erhalten können.
Indem sie sich gegenüber IT-Support-Mitarbeitern als legitime Benutzer ausgeben, erbeuten sie Ihre privaten Daten — wie Name, Geburtsdatum oder Adresse. Und von hier aus ist es nur ein kleiner Schritt, um alle Passwörter zurückzusetzen und so nahezu endlosen Zugriff zu erhalten. Sie können Geld stehlen, Social-Engineering-Malware verbreiten und vieles mehr.
Merkmale von Social-Engineering-Angriffen
Bei Social-Engineering-Angriffen geht es darum, dass der Angreifer Überzeugungskraft und Vertrauen einsetzt. Wenn man diesen Taktiken ausgesetzt ist, ist die Wahrscheinlichkeit größer, dass man etwas tut, was man sonst nicht tun würde.
Bei den meisten Angriffen werden Sie zu den folgenden Verhaltensweisen verleitet:
Erhöhte Emotionen: Emotionale Manipulation gibt Angreifern die Oberhand in jeder Interaktion. In einem gesteigerten emotionalen Zustand ist es viel wahrscheinlicher, dass Sie irrationale oder riskante Handlungen vornehmen. Die folgenden Emotionen werden alle gleichermaßen eingesetzt, um Sie zu überzeugen.
- Angst
- Aufregung
- Neugierde
- Wut
- Schuld
- Traurigkeit
Dringlichkeit: Zeitkritische Gelegenheiten oder Anfragen sind ein weiteres zuverlässiges Werkzeug im Arsenal eines Angreifers. Unter dem Deckmantel eines ernsten Problems, das sofortige Aufmerksamkeit erfordert, könnten Sie sich selbst gefährden. Es kann aber auch sein, dass Sie einen Preis oder eine Belohnung erhalten, der/die verschwindet, wenn Sie nicht schnell handeln. In beiden Fällen wird Ihre Fähigkeit zum kritischen Denken außer Kraft gesetzt.
Vertrauen: Die Glaubwürdigkeit ist von unschätzbarem Wert und für einen Social-Engineering-Angriff unerlässlich. Da der Angreifer Sie letztlich anlügt, spielt Vertrauen eine wichtige Rolle. Sie haben genug über Sie recherchiert, um eine Geschichte zu entwerfen, die leicht zu glauben ist und kaum Verdacht erregen wird.
Es gibt einige Ausnahmen von diesen Merkmalen. In manchen Fällen nutzen Angreifer einfachere Social-Engineering-Methoden, um Zugriff auf ein Netzwerk oder einen Computer zu erlangen. Hacker können beispielsweise die öffentliche Kantine eines großes Bürogebäudes besuchen und dort Mitarbeitern, die an ihren Tablets oder Laptops arbeiten, über die Schulter schauen. Dies kann zu einer großen Anzahl von Kennwörtern und Benutzernamen führen, ohne dass eine E-Mail gesendet oder eine Zeile Virencode geschrieben werden muss.
Nachdem Sie nun das zugrunde liegende Konzept verstanden haben, fragen Sie sich wahrscheinlich: „Was ist ein Social-Engineering-Angriff und wie kann ich ihn erkennen?“
Arten von Social-Engineering-Angriffen
Fast jede Art von Cybersicherheitsangriff beinhaltet eine Art von Social-Engineering. Die klassischen E-Mail- und Virenbetrügereien zum Beispiel sind mit sozialen Untertönen versehen.
Social-Engineering kann Sie nicht nur über Desktop-Geräte, sondern auch über mobile Geräte angreifen. Sie können jedoch genauso gut persönlich mit einer Bedrohung konfrontiert werden. Diese Angriffe können sich überschneiden und aufeinander aufbauen, so dass ein Betrug entsteht.
Hier sind einige gängige Methoden, die von Social-Engineering-Angreifern verwendet werden:
Phishing-Angriffe
Phishing-Angreifer geben sich als vertrauenswürdige Institution oder Person aus, um Sie dazu zu bringen, persönliche Daten und andere wertvolle Informationen preiszugeben.
Phishing-Angriffe können auf zwei Arten erfolgen:
- Spam-Phishing oder Massenphishing ist ein weit verbreiteter Angriff, der auf viele Nutzer abzielt. Diese Angriffe sind nicht personalisiert und versuchen, jede ahnungslose Person zu erwischen.
- Spear-Phishing und im weiteren Sinne auch Whaling verwenden personalisierte Informationen, um bestimmte Nutzer anzusprechen. Whaling-Angriffe zielen speziell auf hochrangige Ziele wie Prominente, Führungskräfte und hohe Regierungsbeamte ab.
Egal, ob Sie direkt oder über ein gefälschtes Website-Formular kommunizieren, alles, was Sie weitergeben, fließt direkt in die Tasche eines Betrügers. Sie können sogar dazu verleitet werden, eine Malware herunterzuladen, die die nächste Stufe des Phishing-Angriffs enthält. Jede Phishing-Methode hat ihre eigene Art der Verbreitung, einschließlich, aber nicht beschränkt auf:
Bei Phishing-Anrufen (Vishing) kann es sich um automatische Nachrichtensysteme handeln, die alle Ihre Eingaben aufzeichnen. Manchmal spricht auch eine Person mit Ihnen, um das Vertrauen und die Dringlichkeit zu erhöhen.
SMS-Phishing (Smishing) oder mobile App-Nachrichten können einen Weblink oder eine Aufforderung zur Weiterleitung an eine betrügerische E-Mail oder Telefonnummer enthalten.
E-Mail-Phishing ist die traditionellste Form des Phishings, bei der eine E-Mail verwendet wird, die Sie auffordert, zu antworten oder auf andere Weise zu reagieren. Es können Weblinks, Telefonnummern oder Anhänge von Malware verwendet werden.
Angler-Phishing findet in sozialen Medien statt, wo ein Angreifer den Kundendienst eines vertrauenswürdigen Unternehmens imitiert. Sie fangen Ihre Kommunikation mit einem Unternehmen ab, und wandeln diese Kommunikation in private Nachrichten um, wo sie dann den Angriff vorantreiben.
Beim Suchmaschinen-Phishing wird versucht, Links zu gefälschten Websites an die Spitze der Suchergebnisse zu setzen. Dabei kann es sich um bezahlte Anzeigen handeln oder um legitime Optimierungsmethoden zur Manipulation von Suchergebnissen.
URL-Phishing-Links verleiten Sie dazu, auf Phishing-Websites zu gehen. Diese Links werden häufig in E-Mails, Texten, Nachrichten in sozialen Medien und Online-Anzeigen übermittelt. Die Angreifer verstecken Links in verlinktem Text oder Schaltflächen, verwenden Linkverkürzungs-Tools oder irreführend geschriebene URLs.
In-Session-Phishing erscheint als Unterbrechung des normalen Surfens im Internet. Zum Beispiel können Sie gefälschte Anmelde-Pop-ups für Seiten sehen, die Sie gerade besuchen.
Köder-Angriffe
Köder nutzen Ihre natürliche Neugierde aus, um Sie dazu zu bringen, sich einem Angreifer auszusetzen. In der Regel wird das Potenzial für etwas Kostenloses oder Exklusives als Manipulation genutzt, um Sie auszubeuten. Bei diesem Angriff werden Sie in der Regel mit Malware infiziert.
Beliebte Methoden des Köderns können sein:
- USB-Laufwerke, die an öffentlichen Orten wie Bibliotheken und Parkplätzen zurückgelassen werden.
- E-Mail-Anhänge mit Einzelheiten zu einem kostenlosen Angebot oder betrügerischer kostenloser Software.
Physikalische Angriffe durch Einbruch
Bei physischen Verstößen treten die Angreifer persönlich auf und geben sich als legitime Personen aus, um sich Zugang zu ansonsten nicht autorisierten Bereichen oder Informationen zu verschaffen.
Angriffe dieser Art sind am häufigsten in Unternehmensumgebungen zu beobachten, z. B. in Behörden, Unternehmen oder anderen Organisationen. Die Angreifer können sich als Vertreter eines bekannten, vertrauenswürdigen Anbieters für das Unternehmen ausgeben. Bei einigen Angreifern kann es sich sogar um kürzlich entlassene Mitarbeiter handeln, die einen Rachefeldzug gegen ihren ehemaligen Arbeitgeber führen.
Sie machen ihre Identität unklar, aber glaubwürdig genug, um Fragen zu vermeiden. Dies erfordert eine gewisse Recherche seitens des Angreifers und ist mit einem hohen Risiko verbunden. Wenn also jemand diese Methode ausprobiert, hat er ein klares Potenzial für eine sehr wertvolle Belohnung erkannt, wenn er erfolgreich ist.
Vortäuschungsangriffe
Beim Vortäuschen wird eine betrügerische Identität als „Vorwand“ verwendet, um Vertrauen zu schaffen, z. B. indem man sich direkt als Verkäufer oder Mitarbeiter einer Einrichtung ausgibt. Bei diesem Ansatz muss der Angreifer proaktiver mit Ihnen interagieren. Sobald sie Sie davon überzeugt haben, dass sie legitim sind, folgt die Ausnutzung.
Zugang zu Tailgating-Angriffen
Tailgating oder Huckepack bedeutet, dass man einem befugten Mitarbeiter in einen Bereich mit Zugangsbeschränkung folgt. Angreifer können auf soziale Höflichkeit setzen, um Sie dazu zu bringen, ihnen die Tür aufzuhalten oder Sie davon zu überzeugen, dass sie ebenfalls berechtigt sind, sich in der Gegend aufzuhalten. Auch hier kann das Vortäuschen eine Rolle spielen.
Quid Pro Quo-Angriffe
Quid pro quo bedeutet so viel wie „ein Gefallen für einen Gefallen“, was im Zusammenhang mit Phishing den Austausch Ihrer persönlichen Daten gegen eine Belohnung oder andere Entschädigung bedeutet. Werbegeschenke oder Angebote zur Teilnahme an Forschungsstudien könnten Sie dieser Art von Angriffen aussetzen.
Der Nutzen besteht darin, Sie für etwas Wertvolles zu begeistern, das mit einer geringen Investition Ihrerseits verbunden ist. Der Angreifer nimmt jedoch einfach Ihre Daten mit, ohne dass Sie dafür eine Gegenleistung erhalten.
DNS-Spoofing und Cache-Poisoning-Angriffe
Durch das DNS-Spoofing werden Ihr Browser und Ihre Webserver so manipuliert, dass sie bei der Eingabe einer legitimen URL auf schädliche Websites geleitet werden. Nach der Infektion mit diesem Exploit wird die Umleitung fortgesetzt, bis die ungenauen Routing-Daten von den betroffenen Systemen gelöscht werden.
DNS-Cache-Poisoning-Angriffe infizieren Ihr Gerät gezielt mit Routing-Anweisungen für die legitime URL oder mehrere URLs, um eine Verbindung zu betrügerischen Websites herzustellen.
Scareware-Angriffe
Scareware ist eine Form von Malware, die dazu dient, Sie zu einer bestimmten Handlung zu bewegen. Diese betrügerische Malware verwendet alarmierende Warnungen, die gefälschte Malware-Infektionen melden oder behaupten, eines Ihrer Konten sei kompromittiert worden.
Infolgedessen werden Sie durch Scareware dazu gebracht, betrügerische Cybersicherheitssoftware zu kaufen oder private Daten wie Ihre Kontodaten preiszugeben.
Watering-Hole-Angriffe
Watering-Hole-Angriffe infizieren beliebte Webseiten mit Malware, um viele Nutzer gleichzeitig zu schädigen. Es erfordert eine sorgfältige Planung seitens des Angreifers, um Schwachstellen in bestimmten Websites zu finden. Sie suchen nach bestehenden Schwachstellen, die noch nicht bekannt und ausgebessert sind — solche Schwachstellen werden als Zero-Day-Exploits bezeichnet.
In anderen Fällen stellen sie fest, dass eine Website ihre Infrastruktur nicht aktualisiert hat, um bekannte Probleme zu beheben. Website-Besitzer können sich dafür entscheiden, Software-Updates zu verzögern, um Software-Versionen beizubehalten, von denen sie wissen, dass sie stabil sind. Sie werden umsteigen, sobald sich die neuere Version durch ihre Systemstabilität bewährt hat. Hacker missbrauchen dieses Verhalten, um auf kürzlich ausgebesserte Sicherheitslücken abzuzielen.
Ungewöhnliche Social-Engineering-Methoden
In einigen Fällen nutzten Cyberkriminelle komplexe Methoden wie die folgenden für ihre Angriffe:
Phishing per Fax: Als die Kunden einer Bank eine gefälschte E-Mail erhielten, die angeblich von der Bank stammte und in der die Kunden aufgefordert wurden, ihre Zugangscodes zu bestätigen, erfolgte die Bestätigung nicht auf dem üblichen Weg über E-Mail oder Internet. Stattdessen sollten die Kunden das Formular in der E-Mail ausdrucken, ausfüllen und per Fax an die Telefonnummer des Cyberkriminellen senden.
Traditionelle Verteilung von Malware per Post: In Japan nutzten Cyberkriminelle einen Lieferdienst, um CDs zu verteilen, die mit Trojaner-Spyware infiziert waren. Diese CDs wurden an Kunden einer japanischen Bank geliefert. Die Kundenadressen waren zuvor aus der Datenbank der entsprechenden Bank gestohlen worden.
Beispiele für Social-Engineering-Angriffe
Malware-Angriffe verdienen besondere Aufmerksamkeit, da sie weit verbreitet sind und lang anhaltende Auswirkungen haben.
Wenn Malware-Entwickler Social-Engineering-Techniken nutzen, können Sie unachtsame Benutzer dazu bringen, eine infizierte Datei aufzurufen oder einen Link zu einer infizierten Webseite zu öffnen. Viele E-Mail-Würmer und andere Malware-Arten nutzen diese Methoden. Ohne eine umfassende Sicherheitssoftware-Suite für Ihre Mobil- und Desktop-Geräte setzen Sie sich wahrscheinlich einer Infektion aus.
Wurmangriffe
Cyberkriminelle versuchen, die Aufmerksamkeit des Benutzers auf den schädlichen Link oder die infizierte Datei zu lenken – und ihn dann dazu zu bringen, darauf zu klicken.
Hier finden Sie einige Beispiele für solche Angriffe:
- Der LoveLetter-Wurm, der 2000 die E-Mail-Server vieler Unternehmen überlastete. Opfer erhielten eine E-Mail, in der sie zum Öffnen des angehängten Liebesbriefes aufgefordert wurden. Wenn sie den infizierten Anhang öffneten, sendete sich der Wurm an alle Kontakte im Adressbuch des Opfers. Bezüglich des angerichteten finanziellen Schadens gilt dieser Wurm auch heute noch als einer der verheerendsten.
- Der E-Mail-Wurm Mydoom, der im Januar 2004 im Internet auftauchte, nutzte Texte, die technische Meldungen vom Mail-Server imitierten.
- Der Swen-Wurm verbreitete sich als Nachricht, die vermeintlich von Microsoft stammte. In ihr wurde behauptet, dass es sich bei dem Anhang um einen Patch handle, der Windows-Schwachstellen beseitigt. Es ist kaum verwunderlich, dass viele Leute die Behauptung ernst nahmen und versuchten, den gefälschten Sicherheitspatch zu installieren — obwohl es sich in Wirklichkeit um einen Wurm handelte.
Malware-Link-Übermittlungskanäle
Links zu infizierten Seiten können per E-Mail, ICQ und über andere IM-Systeme – oder sogar über IRC-Chatrooms – versendet werden. Mobile Viren werden oft per SMS-Nachricht verbreitet.
Unabhängig von der Bereitstellungsmethode enthält die Nachricht für gewöhnlich ansprechende Formulierungen und entsprechende Schlagwörter, die arglose Benutzer zum Aufrufen des Links bewegen sollen. Mit dieser Methode, in ein System einzudringen, kann die Malware die Antivirenfilter der Mail-Server umgehen.
Peer-to-Peer (P2P) Netzwerk-Angriffe
P2P-Netzwerke werden auch zur Verbreitung von Malware eingesetzt. Ein Wurm oder ein Trojaner taucht im P2P-Netzwerk auf, wird aber so benannt, dass er die Aufmerksamkeit der Benutzer auf sich zieht und sie dazu bringt, die Datei herunterzuladen und zu starten. Zum Beispiel:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- PlayStation Emulator Crack.exe
Infizierte Benutzer davon abhalten, einen Angriff zu melden
In einigen Fällen unternehmen Malware-Entwickler und -Verteiler Schritte, um Opfer am Melden der Infektion zu hindern:
Die Opfer reagieren möglicherweise auf ein gefälschtes Angebot für ein kostenloses Dienstprogramm oder einen Leitfaden, der illegale Vorteile verspricht:
- Kostenloser Internet- oder mobiler Datenzugriff
- Download eines Kreditkartennummern-Generators
- Eine Methode, um den Online-Kontostand des Opfers zu erhöhen.
Wenn sich in einem solchen Fall herausstellt, dass es sich beim heruntergeladenen Tool in Wahrheit um einen Trojaner handelt, wird das Opfer seine eigenen illegalen Absichten nicht preisgeben wollen. Infolgedessen wird das Opfer die Infektion wahrscheinlich nicht den Strafverfolgungsbehörden melden.
Ein Beispiel für diese Technik ist ein Trojanervirus, der an E-Mail-Adressen gesendet wurde, die von einer Website für Personalbeschaffung stammten. Benutzer, die sich auf der Seite angemeldet hatten, erhielten falsche Stellenangebote, die einen Trojaner enthielten. Der Angriff richtete sich hauptsächlich gegen E-Mail-Adressen von Unternehmen. Die Cyberkriminellen wussten, dass die Mitarbeiter, die den Trojaner erhalten hatten, ihren Arbeitgebern nicht mitteilen wollten, dass sie infiziert worden waren, während sie nach einer anderen Beschäftigung suchten.
Wie man Social-Engineering-Angriffe erkennt
Um sich gegen Social-Engineering zu wehren, müssen Sie sich in Selbsterkenntnis üben. Machen Sie immer langsam und denken Sie nach, bevor Sie etwas tun oder reagieren.
Angreifer erwarten, dass Sie Maßnahmen ergreifen, bevor sie die Risiken bedenken, was bedeutet, dass Sie das Gegenteil tun sollten. Im Folgenden finden Sie einige Fragen, die Sie sich stellen sollten, wenn Sie einen Angriff vermuten:
- Sind meine Emotionen verstärkt? Wenn Sie besonders neugierig, ängstlich oder aufgeregt sind, ist es weniger wahrscheinlich, dass Sie die Folgen Ihres Handelns abschätzen. Wahrscheinlich werden Sie die Rechtmäßigkeit der Situation, in der Sie sich befinden, nicht prüfen. Betrachten Sie dies als ein Warnsignal, wenn Ihr emotionaler Zustand erhöht ist.
- Kam diese Nachricht von einem rechtmäßigen Absender? Prüfen Sie E-Mail-Adressen und Profile in sozialen Medien sorgfältig, wenn Sie eine verdächtige Nachricht erhalten. Möglicherweise gibt es Zeichen, die andere nachahmen, z. B. „torn@example.com“ anstelle von „tom@example.com“. Auch gefälschte Social-Media-Profile, die das Bild Ihres Freundes und andere Details duplizieren, sind weit verbreitet.
- Hat mein Freund diese Nachricht tatsächlich an mich geschickt? Es ist immer gut, den Absender zu fragen, ob er der wahre Absender der fraglichen Nachricht ist. Egal, ob es sich um einen Mitarbeiter oder eine andere Person in Ihrem Leben handelt, fragen Sie sie persönlich oder wenn möglich per Telefon. Sie könnten gehackt worden sein und es nicht wissen, oder jemand könnte sich für ihre Konten ausgeben.
- Hat die Website, auf der ich mich befinde, seltsame Details? Unregelmäßigkeiten in der URL, schlechte Bildqualität, alte oder falsche Firmenlogos und Tippfehler auf der Webseite können auf eine betrügerische Website hindeuten. Wenn Sie eine gefälschte Website betreten, sollten Sie diese sofort verlassen.
- Klingt dieses Angebot zu schön, um wahr zu sein? Im Falle von Werbegeschenken oder anderen Targeting-Methoden sind Angebote eine starke Motivation, um einen Social-Engineering-Angriff voranzutreiben. Sie sollten sich überlegen, warum Ihnen jemand etwas Wertvolles anbietet, ohne dass er dafür einen Gewinn erhält. Seien Sie stets auf der Hut, denn selbst grundlegende Daten wie Ihre E-Mail-Adresse können gesammelt und an unseriöse Werbekunden verkauft werden.
- Sind die Anhänge oder Links verdächtig? Wenn ein Link oder ein Dateiname in einer Nachricht vage oder merkwürdig erscheint, sollten Sie die Authentizität der gesamten Kommunikation überprüfen. Überlegen Sie auch, ob die Nachricht selbst in einem merkwürdigen Kontext oder zu einer merkwürdigen Zeit verschickt wurde oder ob es andere Auffälligkeiten gibt.
- Kann diese Person ihre Identität nachweisen? Wenn Sie diese Person nicht dazu bringen können, ihre Identität bei der Organisation, der sie angeblich angehört, zu verifizieren, gewähren Sie ihr nicht den gewünschten Zugang. Dies gilt sowohl für den persönlichen als auch für den Online-Bereich, da bei physischen Sicherheitsverletzungen die Identität des Angreifers übersehen werden muss.
So verhindern Sie Social-Engineering-Angriffe
Sie können nicht nur einen Angriff erkennen, sondern auch proaktiv für Ihre Privatsphäre und Sicherheit sorgen. Das Wissen, wie man Social-Engineering-Angriffe verhindern kann, ist für alle Handy- und Computernutzer unglaublich wichtig.
Im Folgenden werden einige wichtige Maßnahmen zum Schutz vor allen Arten von Cyberangriffen vorgestellt:
Sichere Kommunikations- und Kontoverwaltungsgewohnheiten
Bei der Online-Kommunikation sind Sie besonders gefährdet. Soziale Medien, E-Mail und Textnachrichten sind häufige Ziele, aber Sie sollten auch persönliche Interaktionen berücksichtigen.
Klicken Sie niemals auf Links in E-Mails oder Nachrichten. Sie sollten eine URL immer manuell in die Adressleiste eingeben, unabhängig vom Absender. Gehen Sie jedoch einen Schritt weiter und suchen Sie nach einer offiziellen Version der betreffenden URL. Lassen Sie sich niemals auf eine URL ein, die Sie nicht als offiziell oder legitim verifiziert haben.
Verwenden Sie die Multi-Faktor-Authentifizierung Online-Konten sind viel sicherer, wenn sie nicht nur durch ein Passwort geschützt sind. Die Multi-Faktor-Authentifizierung verifiziert Ihre Identität bei der Kontoanmeldung auf zusätzlichen Ebenen. Diese „Faktoren“ können biometrische Daten wie Fingerabdruck- oder Gesichtserkennung oder temporäre Passwörter sein, die per Textnachricht gesendet werden.
Verwenden Sie sichere Passwörter (und einen Passwort-Manager). Jedes Ihrer Passwörter sollte einzigartig und komplex sein. Achten Sie darauf, verschiedene Zeichentypen zu verwenden, einschließlich Großbuchstaben, Zahlen und Symbole. Außerdem sollten Sie sich nach Möglichkeit für längere Passwörter entscheiden. Zur Verwaltung all Ihrer benutzerdefinierten Kennwörter können Sie einen Passwort-Manager verwenden, um sie sicher zu speichern und zu merken.
Vermeiden Sie es, Namen von Schulen, Haustieren, Geburtsort oder andere persönliche Details zu nennen. Sie könnten unwissentlich Antworten auf Ihre Sicherheitsfragen oder Teile Ihres Passworts preisgeben. Wenn Sie Ihre Sicherheitsfragen so einrichten, dass sie einprägsam, aber ungenau sind, machen Sie es Kriminellen schwerer, Ihr Konto zu knacken. Wenn Ihr erstes Auto ein „Toyota“ war, könnten Sie stattdessen eine Lüge wie „Clown-Auto“ schreiben, um neugierige Hacker abzuschrecken.
Seien Sie sehr vorsichtig beim Aufbau von reinen Online-Freundschaften. Das Internet kann zwar eine großartige Möglichkeit sein, mit Menschen auf der ganzen Welt in Kontakt zu treten, doch ist dies auch eine gängige Methode für Social-Engineering-Angriffe. Achten Sie auf Hinweise und rote Fahnen, die auf Manipulation oder einen eindeutigen Vertrauensmissbrauch hindeuten.
Gewohnheiten zur sicheren Netznutzung
Kompromittierte Online-Netzwerke können eine weitere Schwachstelle sein, die für Hintergrundrecherchen ausgenutzt wird. Um zu verhindern, dass Ihre Daten gegen Sie verwendet werden, ergreifen Sie Schutzmaßnahmen für jedes Netzwerk, mit dem Sie verbunden sind.
Lassen Sie niemals Fremde eine Verbindung zu Ihrem primären WLAN-Netzwerk herstellen. Zu Hause oder am Arbeitsplatz sollte der Zugang zu einer Gast-WLAN-Verbindung möglich sein. So bleibt Ihre verschlüsselte, passwortgeschützte Hauptverbindung sicher und abhörsicher. Sollte jemand auf der Suche nach Informationen „lauschen“, kann er nicht auf die Aktivitäten zugreifen, die Sie und andere für sich behalten möchten.
Nutzen Sie ein VPN. Für den Fall, dass jemand in Ihrem Hauptnetz — kabelgebunden, drahtlos oder sogar mobil — einen Weg findet, den Datenverkehr abzufangen, kann ein virtuelles privates Netzwerk (VPN) diese Person fernhalten. VPNs sind Dienste, die Ihnen einen privaten, verschlüsselten „Tunnel“ für jede von Ihnen genutzte Internetverbindung bieten. Ihre Verbindung ist nicht nur vor unerwünschten Blicken geschützt, sondern Ihre Daten werden auch anonymisiert, so dass sie nicht über Cookies oder andere Mittel zu Ihnen zurückverfolgt werden können.
Sichern Sie alle mit dem Netz verbundenen Geräte und Dienste. Viele Menschen sind sich der Internet-Sicherheitspraktiken für mobile und herkömmliche Computergeräte bewusst. Genauso wichtig ist es jedoch, neben all Ihren intelligenten Geräten und Cloud-Diensten auch Ihr Netzwerk selbst zu sichern. Achten Sie auf den Schutz von häufig übersehenen Geräten wie Infotainment-Systemen im Auto und Heimnetzwerk-Routern. Datenverletzungen auf diesen Geräten könnten die Personalisierung für einen Social-Engineering-Betrug fördern.
Gewohnheiten zur sicheren Gerätenutzung
Die Aufbewahrung Ihrer Geräte selbst ist genauso wichtig wie Ihr gesamtes digitales Verhalten. Schützen Sie Ihr Mobiltelefon, Tablet und andere Computergeräte mit den folgenden Tipps:
Verwenden Sie eine umfassende Internet-Sicherheitssoftware. Falls die sozialen Taktiken erfolgreich sind, sind Malware-Infektionen eine häufige Folge. Um gegen Rootkits, Trojaner und andere Bots vorzugehen, ist eine hochwertige Internet-Sicherheitslösung unerlässlich, die Infektionen beseitigen und ihre Quelle ermitteln kann.
Lassen Sie Ihre Geräte niemals ungesichert in der Öffentlichkeit liegen. Schließen Sie Ihren Computer und Ihre mobilen Geräte immer ab, insbesondere am Arbeitsplatz. Wenn Sie Ihre Geräte an öffentlichen Orten wie Flughäfen oder Cafés benutzen, sollten Sie sie immer bei sich tragen.
Halten Sie Ihre gesamte Software so schnell wie möglich auf dem neuesten Stand. Durch sofortige Aktualisierungen erhält Ihre Software wichtige Sicherheitskorrekturen. Wenn Sie Aktualisierungen Ihres Betriebssystems oder Ihrer Anwendungen auslassen oder verzögern, lassen Sie bekannte Sicherheitslücken für Hacker offen. Da sie wissen, dass dieses Verhalten bei vielen Computer- und Mobilfunknutzern anzutreffen ist, werden Sie zu einem bevorzugten Ziel für sozial motivierte Malware-Angriffe.
Prüfen Sie auf bekannte Datenschutzverletzungen bei Ihren Online-Konten. Dienste wie Kaspersky Premium überwachen aktiv neue und bestehende Datenschutzverletzungen für Ihre E-Mail-Adressen. Wenn Ihre Konten in den kompromittierten Daten enthalten sind, erhalten Sie eine Benachrichtigung und Hinweise, wie Sie vorgehen können.
Der Schutz vor Social-Engineering beginnt mit Bildung. Wenn sich alle Nutzer der Bedrohungen bewusst sind, wird sich unsere Sicherheit als kollektive Gesellschaft verbessern. Achten Sie darauf, das Bewusstsein für diese Risiken zu schärfen, indem Sie das Gelernte an Ihre Mitarbeiter, Familie und Freunde weitergeben.
Verwandte Artikel: