Was ist Social Engineering?
Die meisten von uns denken beim Thema Cybersicherheit an Hacker, die über technologische Schwachstellen Datennetzwerke angreifen. Kriminelle können aber auch menschliche Schwächen ausnutzen, um sich in Unternehmen und Netzwerke einzuschleusen. Diese Taktik wird Social Engineering genannt: Menschen werden geschickt dazu gebracht, Informationen preiszugeben oder Zugriff auf Datennetzwerke zu gewähren.
In Unternehmen könnten sich Eindringlinge beispielsweise als Mitarbeiter des IT-Helpdesk ausgeben und so Benutzernamen und Passwörter in Erfahrung bringen. Sie wären überrascht, wie viele Menschen bereitwillig Auskunft geben, insbesondere, wenn ihr Gegenüber authentisch wirkt.
Kurz gesagt: Beim Social Engineering werden Menschen durch Täuschung dazu gebracht, Zugriff zu gewähren oder Informationen und Daten preiszugeben.
Social-Engineering-Varianten
Kriminelle nutzen ganz unterschiedliche Social-Engineering-Methoden. Um sich zu wappnen, müssen Sie daher wissen, was Social Engineering ist und wie es funktioniert. Sobald Sie das Grundprinzip verstanden haben, sind Angriffsversuche sehr viel einfacher zu entlarven.
Baiting
Bei dieser Methode legt der Angreifer einen Köder aus, beispielsweise in Form eines USB-Sticks mit vorinstallierter Malware. Sobald jemand den Stick aus Neugier an einem System anschließt, wird es kompromittiert. Es gibt sogar einen USB-Stick, der Computer schwer beschädigen oder völlig zerstören kann: Das Gerät zieht eine gewisse Strommenge über den USB-Anschluss und gibt sie dann in einem einzigen hohen Stromstoß wieder an das System ab. Ein solches Gerät ist schon für 54 $ zu haben.
Pretexting
Bei dieser Methode versuchen Angreifer unter einem Vorwand, das Vertrauen ihres Opfers zu gewinnen und es zur Herausgabe von Informationen zu bewegen. Ein solcher Vorwand kann zum Beispiel eine Internetumfrage sein, die zunächst harmlos erscheint, dann aber Bankdaten abfragt. Manche Hacker sind dreist genug, sich vor Ort in Unternehmen als Systemprüfer auszugeben, um gutgläubigen Mitarbeitern wertvolle Informationen zu entlocken.
Phishing
Bei Phishing-Angriffen werden im Namen vertrauenswürdiger Quellen gefälschte E-Mails oder Textnachrichten verschickt, in denen die Empfänger nach Informationen gefragt werden. Sehr häufig geben sich Kriminelle als Bank aus und fordern Kunden zur Bestätigung ihrer Sicherheitsinformationen auf. Die Opfer landen auf einer gefälschten Website, wo ihre Anmeldedaten aufgezeichnet werden. Beim sogenannten Spear Phishing konzentrieren sich die Angreifer auf eine bestimmte Person innerhalb eines Unternehmens. Sie erhält eine gefälschte E-Mail, in der ein Vorgesetzter sich nach vertraulichen Informationen erkundigt.
Vishing und Smishing
Diese Angriffsmethoden sind Varianten des Phishing: Beim Voice Phishing werden Sie telefonisch um Informationen gebeten. Häufig geben sich die Kriminellen als Kollegen aus, beispielsweise als Mitarbeiter des IT-Helpdesk, die Ihre Anmeldedaten benötigen. Smishing funktioniert nach demselben Prinzip, nutzt aber SMS.
Quid-pro-Quo
Tausch ist kein Raub – dieses Sprichwort mag generell stimmen, nicht aber beim Thema Cybersicherheit. Bei vielen Social-Engineering-Angriffen wird den Opfern suggeriert, dass sie für die bereitgestellten Informationen oder Anmeldedaten eine Gegenleistung erhalten. Ein Beispiel hierfür ist Scareware: Computernutzern wird ein Update zur Behebung eines gefährlichen Sicherheitsproblems angeboten. In Wahrheit ist die Scareware selbst die Sicherheitsbedrohung.
Contact Spamming und E-Mail-Hacking
Bei dieser Methode haben die Angreifer es auf die Kontakte ihres Opfers abgesehen und hacken sich in sein E-Mail-Konto oder seine Konten in den sozialen Netzwerken. Dann geben sie sich gegenüber den Kontakten als das Opfer aus. Manchmal behaupten sie, man hätte sie ausgeraubt und ihre Brieftasche gestohlen. Kann der Freund nicht schnell ein bisschen Geld auf dieses Konto überweisen? Oder sie schicken einen Link, den der Kontakt sich unbedingt anschauen soll. Tut er es, wird Malware oder ein Keylogging-Trojaner installiert.
Pharming und Hunting
Einige Social-Engineering-Strategien sind noch weitaus raffinierter. Die meisten der oben beschriebenen Methoden sind recht unkompliziert und fallen unter den Oberbegriff Hunting. Die Kriminellen verschaffen sich Zugang, stehlen alle Informationen, die sie kriegen können, und verschwinden wieder.
Bei manchen Social-Engineering-Angriffen wird jedoch in den Aufbau einer Beziehung zum Opfer investiert, um über einen längeren Zeitraum an mehr Informationen zu gelangen. Diese Vorgehensweise wird als Pharming bezeichnet und ist für die Angreifer sehr viel riskanter, da die Wahrscheinlichkeit steigt, dass sie entlarvt werden. Gelingt ihnen die Infiltrierung jedoch, ist die Informationsausbeute deutlich größer als bei anderen Methoden.
Tipps gegen Social Engineering
Jetzt wissen wir, dass Social-Engineering-Angriffe so schwer abzuwehren sind, weil sie gezielt die Schwächen der menschlichen Natur ausnutzen: Wir sind neugierig, wir haben Respekt vor Vorgesetzten und wir möchten unseren Freunden helfen. Trotz aller Raffinesse der Täter sind Sie Social Engineering dennoch nicht hilflos ausgeliefert.
Prüfen Sie die Quelle.
Vertrauen Sie niemals blind. Nehmen Sie sich stattdessen immer einen Moment Zeit, die Dinge zu hinterfragen. Auf Ihrem Schreibtisch liegt ein USB-Stick, den Sie nicht kennen? Ihr Telefon klingelt und jemand behauptet, Sie hätten 5 Millionen Euro geerbt? Ihr CEO fragt Sie plötzlich per E-Mail nach Informationen zu bestimmten Kollegen? Solche Situationen sollten Sie sofort misstrauisch machen.
Dann ist es ganz leicht, Absender und Herkunft zu prüfen. Bei E-Mails müssen Sie nur den E-Mail-Header mit authentischen E-Mails desselben Absenders vergleichen. Klicken Sie nie direkt auf Links – platzieren Sie den Cursor stattdessen auf dem Link, ohne zu klicken, und schauen Sie sich die URL an. Gefälschte Links sind in der Regel leicht zu erkennen. Wie steht es um die Rechtschreibung im Text? In Banken sind professionelle Teams für die Kundenkommunikation zuständig. Eine vor Fehlern strotzende E-Mail ist also mit hoher Wahrscheinlichkeit eine Fälschung.
Sobald Sie Zweifel haben, sollten Sie die offizielle Website aufrufen und sich mit der Bank oder dem Unternehmen in Verbindung setzen. Die Mitarbeiter können Ihnen schnell sagen, ob die Nachricht authentisch ist.
Was weiß der Absender oder Anrufer?
Hat die Person alle Daten, die sie haben sollte, beispielsweise Ihren vollen Namen? Ihre Bank sollte Ihre Daten schon kennen und wird Ihnen immer Sicherheitsfragen stellen, bevor Sie Änderungen an Ihrem Konto vornehmen dürfen. Werden Ihnen keine Sicherheitsfragen gestellt oder sind grundlegende Informationen nicht bekannt, ist die E-Mail, der Anruf oder die Nachricht mit hoher Wahrscheinlichkeit nicht seriös.
Durchbrechen Sie das Muster.
Beim Social Engineering wird häufig ein Gefühl von Dringlichkeit aufgebaut. Die Angreifer hoffen, dass ihre Opfer dann ihre Vorsicht verlieren und die Situation nicht hinterfragen. Nehmen Sie sich immer Zeit zum Nachdenken – schon das kann die Angreifer abschrecken oder als Betrüger entlarven.
Rufen Sie die offizielle Nummer an oder besuchen Sie die offizielle Website, statt Daten am Telefon preiszugeben oder auf einen Link zu klicken. Nutzen Sie zur Prüfung der Glaubwürdigkeit immer einen anderen Kommunikationsweg. Bittet ein Freund Sie beispielsweise überraschend per E-Mail um eine Geldüberweisung, sollten Sie ihn auf dem Handy anrufen oder ihm eine Textnachricht schreiben, um nachzufragen.
Verlangen Sie nach einem Ausweis oder einem anderen Identitätsnachweis.
Eine der einfachsten Social-Engineering-Varianten zur Umgehung von Sicherheitspersonal ist ein großes Paket oder ein Stapel Akten im Arm. Irgendjemand wird hilfsbereit sein und dem Eindringling die Tür aufhalten. Lassen Sie sich von so etwas nicht täuschen. Verlangen Sie ausnahmslos von jedem, sich zu legitimieren.
Das gilt auch bei anderen Kommunikationswegen Der prüfende Blick auf Namen und Nummer des Anrufers sollte bei jedem Klingeln des Telefons selbstverständlich sein. Fragt Sie jemand nach Informationen, sollten Sie sich grundsätzlich zuerst erkundigen, wer der Vorgesetzte Ihres Gesprächspartners ist. Dann verrät Ihnen das Organigramm oder das Telefonverzeichnis, ob Sie die gewünschten persönlichen Informationen oder Daten wirklich unbesorgt preisgeben können. Wenn Sie die Person nicht kennen, die um Informationen bittet, und immer noch unsicher sind, sagen Sie, Sie müssen zuerst Rücksprache mit jemandem halten und werden sich wieder melden.
Verwenden Sie einen guten Spam-Filter.
Falls Sie das Gefühl haben, Ihr E-Mail-Programm lässt zu viele Spam-Nachrichten durch oder erkennt nicht alle verdächtigen E-Mails, sollten Sie die Einstellungen anpassen. Gute Spam-Filter prüfen anhand einer ganzen Reihe von Informationen, ob es sich bei einer E-Mail um eine Spam-Nachricht handelt. Möglicherweise erkennen sie auch verdächtige Dateien oder Links, nehmen einen Abgleich mit einer Liste verdächtiger IP-Adressen oder Absender-IDs vor oder analysieren die Nachrichteninhalte auf wahrscheinliche Fälschungen.
Kann das wirklich wahr sein?
Einige Social-Engineering-Angriffe setzen darauf, ihre Opfer zu überrumpeln. Sie wollen verhindern, dass Sie nachdenken. Sich dann die Zeit zu nehmen und zu überlegen, wie realistisch eine Nachricht ist, entlarvt viele Angriffe. Hier nur einige Beispiele:
- Wenn einer Ihrer Freunde tatsächlich in China festsäße, würde er wirklich nur eine E-Mail schicken oder nicht auch anrufen oder eine SMS schreiben?
- Wie hoch stehen die Chancen wohl wirklich, dass Ihnen ein nigerianischer Prinz eine Million Dollar vererbt hat?
- Warum sollte Ihre Bank Sie am Telefon nach Ihren Kontodaten fragen? Viele Banken dokumentieren E-Mails und Anrufe an Kunden sehr genau. Fragen Sie nach, wenn Sie Zweifel haben.
Lassen Sie sich niemals drängen.
Besonders vorsichtig sollten Sie sein, wenn Ihr Gesprächspartner betont, wie dringend sein Anliegen ist. Das ist eine Standardmethode, mit der Angreifer die Vorsicht ihrer Opfer umgehen möchten. Nehmen Sie sofort das Tempo aus dem Gespräch, wenn Sie sich unter Druck gesetzt fühlen. Sagen Sie, dass Sie Zeit brauchen, die Informationen zusammenzustellen, dass Sie Rücksprache mit Ihrem Vorgesetzten halten müssen oder dass Sie die Informationen gerade nicht zur Hand haben – was immer Ihnen einfällt, um sich Zeit für eine Denkpause zu verschaffen.
In den meisten Fällen brechen die Angreifer den Social-Engineering-Versuch ab, wenn sie bemerken, dass sie das Überraschungsmoment verloren haben.
Schutzmaßnahmen für Ihre Geräte
Damit sich der Schaden bei einem erfolgreichen Social-Engineering-Angriff in Grenzen hält, müssen Sie Ihre Geräte unbedingt absichern. Ob Smartphone, Heimnetzwerk oder Unternehmensinfrastruktur – es gelten überall die gleichen grundlegenden Prinzipien.
- Halten Sie Antivirensoftware und Anti-Malware-Software immer auf dem neuesten Stand. Dadurch können Sie verhindern, dass Malware über Phishing-E-Mails auf Ihrem System installiert wird. Ein Lösungspaket wie Kaspersky Antivirus schützt Ihr Netzwerk und Ihre Daten.
- Aktualisieren Sie Software und Firmware regelmäßig. Installieren Sie insbesondere alle Sicherheitspatches.
- Rooten Sie Ihr Smartphone nicht und arbeiten Sie an Ihrem PC nicht mit Administratorrechten. Selbst wenn ein Angreifer durch Social Engineering das Benutzerpasswort für das Benutzerkonto in Erfahrung bringen sollte, kann er das System dann nicht neu konfigurieren oder Software installieren.
- Verwenden Sie niemals dasselbe Passwort für mehrere Konten. Sollte sich ein Angreifer per Social Engineering das Passwort für ein Konto in einem sozialen Netzwerk erschleichen, hat er dann nicht gleich auch Zugriff auf alle Ihre übrigen Konten.
- Nutzen Sie bei wichtigen Konten Zwei-Faktor-Authentifizierung, damit für den Kontozugriff das Passwort allein nicht ausreicht. Der zweite Faktor kann Stimmerkennung sein, ein Sicherheitsgerät, Ihr Fingerabdruck oder ein per SMS versendeter Bestätigungscode.
- Wenn Sie das Passwort eines Kontos doch schon herausgegeben haben und befürchten, ausgetrickst worden zu sein, sollten Sie es sofort ändern.
- Halten Sie sich über neue Cybersicherheitsrisiken auf dem Laufenden. In unserem Resource Center informieren wir Sie regelmäßig über die neuesten Entwicklungen. Dann wissen Sie sofort Bescheid, wenn sich neue Angriffsmethoden ankündigen, und können sich effektiver schützen.
Reduzierung des digitalen Fußabdrucks
Ihr digitaler Fußabdruck ist ein wichtiger Faktor. Wenn Sie zu viele persönliche Informationen im Internet preisgeben, beispielsweise in den sozialen Netzwerken, machen Sie es Angreifern leicht. Beispielsweise ist bei vielen Banken der Name des ersten Haustiers eine beliebte Sicherheitsfrage. Wenn Sie genau den schon einmal auf Facebook erwähnt haben, steigt damit Ihr Risiko. Manche Social-Engineering-Angreifer beziehen sich sogar gezielt auf kürzliche Geschehnisse, über die Sie in den sozialen Netzwerken gesprochen haben, um sich damit glaubwürdiger zu machen.
Wir empfehlen, Konten in sozialen Netzwerken nur für Freunde sichtbar zu lassen und sich sehr genau zu überlegen, was Sie posten. Paranoia ist nicht nötig, wohl aber eine gesunde Vorsicht.
Machen Sie sich klar, welche Bereiche Ihres Lebens im Internet zu finden sind. Wenn Sie einen Online-Lebenslauf pflegen, sollten Sie Ihre Adresse, Ihre Telefonnummer und Ihr Geburtsdatum unkenntlich machen. Sie sind sehr nützlich für jeden, der einen Social-Engineering-Angriff plant. Nicht jeder Angriff zielt auf eine enge Beziehung zum Opfer ab. Manchmal gehen die Täter jedoch ausgesprochen akribisch vor. Solchen Personen sollten Sie so wenig Munition geben wie möglich.
Social Engineering ist gerade deshalb so gefährlich, weil die Angreifer ganz normale Alltagssituationen für ihre betrügerischen Zwecke ausnutzen. Wenn Sie sich über ihre Strategien im Klaren sind und einige grundlegende Vorsichtsmaßnahmen beachten, können Sie die Wahrscheinlichkeit, Opfer von Social Engineering zu werden, jedoch sehr stark reduzieren.
Weitere interessante Artikel:
Social Engineering – Definition