11 Tipps zum Schutz vor Social Engineering

Im sich ständig weiterentwickelnden digitalen Zeitalter, in dem die Technologie zu einem integralen Bestandteil unseres Lebens geworden ist, ist eine neue Form der Bedrohung aufgetaucht - Social Engineering. Dabei handelt es sich um eine trügerische und gerissene Technik, die Firewalls und Verschlüsselung umgeht und stattdessen auf den verwundbarsten Aspekt eines jeden Systems abzielt: den menschlichen Geist.

In diesem Blogbeitrag erfahren Sie, was ein Social Engineering ist, die 6 häufigsten Arten von Social Engineering und 10 Tipps zur Vorbeugung gegen Social Engineering-Angriffe. Wir werden auch seine Methoden und Beispiele aus der Praxis aufdecken.

WAS IST Social Engineering?

Social Engineering (Soziale Manipulation) ist eine Vorgehensweise, bei der es darum geht, die Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit von Personen auszunutzen, um an vertrauliche Informationen zu gelangen oder die Opfer zu einer bestimmten Handlung zu bewegen. Die Taktiken können vielfältig sein, einschließlich Phishing-E-Mails, vorgeblicher Unternehmensrepräsentation am Telefon, Spear Phishing über soziale Medien oder das Ausnutzen von menschlicher Neugier und Vertrauen. Zum Beispiel die Verbreitung von Malware-Infektionen, die Gewährung von Zugang zu eingeschränkten Systemen oder sogar CEO-Betrug.

Um einen Betrug durch soziale Manipulation auszuführen, verwenden Betrüger unterschiedliche Kommunikationskanäle:

• persönlich,
• telefonisch,
• postalisch,
• digital per E-Mail, Messenger, Chat.

Ziele von Social-Engineering-Angriffen

Die Ziele des Social Engineering sind darauf ausgerichtet, menschliche Schwachstellen, Verhaltensmuster und soziale Interaktionen auszunutzen, um unbefugten Zugang zu Informationen, Systemen oder Ressourcen zu erhalten. Social Engineering ist eine Taktik, die von Angreifern verwendet wird, um Menschen zu manipulieren, zu täuschen oder zu überlisten, damit diese freiwillig vertrauliche Informationen preisgeben oder unautorisierte Handlungen durchführen. 

• Informationsdiebstahl: Ein häufiges Ziel des Social Engineering ist es, vertrauliche Informationen wie Passwörter, Benutzernamen, persönliche Identifikationsdaten, Bankdaten oder Unternehmensgeheimnisse zu erhalten. Angreifer nutzen oft menschliche Neugier, Gutgläubigkeit oder Druck aus, um die Opfer dazu zu bringen, solche Informationen preiszugeben.
• Phishing: Das Ziel des Phishing ist es, Opfer dazu zu bringen, auf gefälschte E-Mails, Links oder Anhänge zu klicken, die bösartige Software installieren oder zu gefälschten Websites führen können. Diese gefälschten Kommunikationen sehen oft offiziell und vertrauenswürdig aus, sind aber in Wirklichkeit Teil von betrügerischen Angriffen.
• Identitätsdiebstahl: Durch Manipulation oder Täuschung versuchen Angreifer, personenbezogene Informationen zu sammeln, um sich als das Opfer auszugeben. Dies kann zu finanziellen Verlusten oder Missbrauch der gestohlenen Identität führen.
• Betrug und Finanzmanipulation: Angreifer können Social Engineering verwenden, um Menschen dazu zu bringen, Geld zu überweisen, gefälschte Produkte zu kaufen oder andere Handlungen auszuführen, die finanziellen Schaden verursachen.
• Systemzugriff und Malware-Verbreitung: Social Engineering kann auch dazu verwendet werden, Menschen dazu zu bringen, bösartige Software herunterzuladen oder auszuführen, was den Angreifern ermöglicht, unautorisierten Zugriff auf Systeme zu erlangen oder Schadsoftware zu verbreiten.
• Manipulation von Mitarbeitern: In Unternehmensumgebungen kann Social Engineering dazu eingesetzt werden, Mitarbeiter dazu zu bringen, interne Informationen oder Systemzugänge preiszugeben. Dies kann zu Datenschutzverletzungen, Datenverlusten oder dem Zugriff auf geschützte Unternehmensressourcen führen.

Was ist der Unterschied zwischen Social-Engineering und Human Hacking?

Human Hacking ist ein spezifischerer Teil des Social Engineering. Es konzentriert sich direkt auf die Kunst, menschliche Schwachstellen auszunutzen und bezieht sich auf den gezielten Einsatz von psychologischen Techniken, um Menschen zu manipulieren und sensible Informationen oder Zugriff zu erhalten. Der Begriff "Human Hacking" hebt hervor, dass es sich um einen Angriff handelt, bei dem der Fokus auf der gezielten Beeinflussung von Menschen liegt, indem ihre natürlichen Instinkte, Emotionen und sozialen Interaktionen ausgenutzt werden.

Hier erfahren Sie, wie Sie Ihr Unternehmen und Ihre Mitarbeiter mit Firewalls schützen können.

Die beiden Begriffe sind eng miteinander verknüpft und gehen oft Hand in Hand, da erfolgreiche Social Engineering-Angriffe normalerweise auch Elemente des Human Hackings nutzen.

Wie gehen Social Engineers vor?

Die Gefahr von Social Engineering ist im privaten wie auch im geschäftlichen Bereich vorhanden. Besonders attraktiv sind Mitarbeitende von Firmen, um Informationen über die Firma zu erhalten und so durch Erpressung oder Betrug, Geld oder Daten zu erschleichen.

• Ein Angreifer kann zum Beispiel mittels Social Engineering versuchen, an Ihren Benutzernamen und Ihr Passwort zu gelangen, indem er sich am Telefon als Systemadministrator oder Sicherheitsspezialist ausgibt.
• Jeder Social Engineering Angriff beginnt mit umfangreicher Recherchearbeit. Je besser der Angreifer sein Opfer kennt und je mehr Informationen er über eine Firma im Vorfeld sammelt, desto erfolgreicher kann er einzelne Mitarbeitende später manipulieren.
• Wichtige Quellen sind in diesem Zusammenhang z.B. Jahresberichte, Marketingbroschüren oder Zeitungsartikel. Noch einfacher lassen sich Informationen im Internet finden, insbesondere in sozialen Netzwerken wie z.B. Facebook oder LinkedIn.
  
  

Social Engineering in Unternehmen

Social-Engineering-Angriffe auf Unternehmen stellen eine ernsthafte Bedrohung dar, da sie gezielt menschliche Schwachstellen ausnutzen, um Zugang zu vertraulichen Informationen zu erhalten. Diese Angriffe können verschiedene Formen annehmen, darunter Phishing-E-Mails, gefälschte Telefonanrufe oder manipulierte Identitäten, wobei das Ziel darin besteht, Mitarbeiter dazu zu verleiten, sensible Daten preiszugeben oder unbefugten Zugriff zu gewähren.

Oft verwenden Angreifer raffinierte Taktiken, die auf Vertrauen, Neugier, Angst oder den Wunsch nach Anerkennung abzielen, und sie sind schwer zu erkennen. Unternehmen können sich jedoch schützen, indem sie Schulungen und Sensibilisierungsprogramme für ihre Mitarbeiter durchführen, um sie für die Risiken des Social Engineering zu sensibilisieren und sie in der Erkennung verdächtiger Aktivitäten zu schulen. 

Eine ganzheitliche Sicherheitsstrategie, die Technologie, Schulung und eine Unternehmenskultur des Misstrauens gegenüber unerwarteten Anfragen kombiniert, kann dazu beitragen, die Gefahr von Social-Engineering-Angriffen zu minimieren.

6 METHODEN FÜR SOCIAL ENGINEERING-ANGRIFFE

Einer der ersten Schritte zur Verhinderung von Social-Engineering-Angriffen besteht darin, zu wissen, womit Sie oder Ihr Unternehmen es zu tun haben. Hier sind die 6 gängigsten Angriffe. 

• Phishing Angriff handelt es sich um eine betrügerische Methode im Bereich der Cyberkriminalität, bei der Angreifer gefälschte E-Mails, Websites oder Nachrichten verwenden, um sich als vertrauenswürdige Quelle auszugeben und Opfer dazu zu bringen, vertrauliche Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten preiszugeben.
• Baiting ist eine Social-Engineering-Technik, bei der Angreifer verlockende Köder wie gefälschte Dateien, USB-Sticks oder Links bereitstellen, um ahnungslose Opfer dazu zu verleiten, diese zu öffnen oder zu verwenden, was zu einem Sicherheitsverstoß führen kann. Es basiert auf der menschlichen Neugier und Unachtsamkeit, um Zugriff auf sensible Informationen zu erhalten oder Schadsoftware zu verbreiten.
• Quid pro quo ist eine Social-Engineering-Taktik, bei der ein Angreifer etwas Wertvolles (Dienstleistungen, Produkte oder Informationen) anbietet, um im Gegenzug persönliche oder vertrauliche Daten von einem Opfer zu erhalten. Es beruht auf einem "Geben und Nehmen"-Prinzip, bei dem das Opfer unwissentlich Zugeständnisse macht, die den Angreifer begünstigen.
• Pretexting ist eine Form des Social Engineering, bei der Angreifer eine glaubwürdige und oft erfundene Situation oder einen Vorwand erstellen, um das Vertrauen ihrer Opfer zu gewinnen und an vertrauliche Informationen zu gelangen. Sie verwenden geschicktes Storytelling und Manipulation, um die Opfer zu täuschen und dazu zu bringen, sensible Daten wie Passwörter, Finanzdaten oder andere persönliche Informationen preiszugeben. 
• Tailgating, auch bekannt als "Piggybacking", ist eine Social-Engineering-Technik, bei der ein nicht autorisierter Benutzer versucht, physisch Zutritt zu einem gesicherten Bereich oder Gebäude zu erlangen, indem er sich hinter einem autorisierten Benutzer versteckt und diesem direkt folgt, sobald die Tür geöffnet wird. Diese Methode nutzt die Höflichkeit oder das Nachlässigkeitsverhalten von Mitarbeitern aus, um unbefugten Zugang zu erhalten.
• DNS spoofing auch bekannt als DNS-Cache-Poisoning, ist eine Cyberangriffstechnik, bei der Angreifer die DNS-Antworten manipulieren, um Benutzer auf bösartige Websites umzuleiten oder sie von legitimen Servern zu trennen. Durch diese Manipulation können sie den Datenverkehr abfangen und Benutzer auf gefälschte Webseiten leiten, um Phishing-Angriffe oder andere betrügerische Aktivitäten durchzuführen.

Erfahren Sie hier mehr über andere Cyberangriffe und wie Sie Ihr Unternehmen schützen können. Wir haben einen Blog-Beitrag vorbereitet, der Sie darüber informiert, was Sie nach einem Cyberattacke tun sollten.

5 Beispiele für Social-Engineering-Angriffe

1. Phishing-E-Mails: Angreifer senden gefälschte E-Mails, die scheinbar von vertrauenswürdigen Quellen stammen, wie Banken, Regierungsbehörden oder bekannten Unternehmen. Diese E-Mails enthalten oft dringende Aufforderungen, auf einen Link zu klicken, um Anmeldedaten oder andere persönliche Informationen preiszugeben. Die Links führen zu gefälschten Websites, die dem Original sehr ähnlich sehen, um die Opfer zu täuschen.
2. Telefonischer Betrug (Vishing): Bei diesem Angriff ruft ein Angreifer potenzielle Opfer an und gibt sich als Mitarbeiter einer vertrauenswürdigen Organisation aus, um Informationen zu sammeln. Sie könnten vorgeben, von der IT-Abteilung, dem Kundendienst oder sogar von einer Behörde zu sein und nach persönlichen Daten, Passwörtern oder Zugriffscodes fragen.
3. Spear Phishing: Hier richtet sich der Angriff gezielt gegen bestimmte Einzelpersonen oder Organisationen. Der Angreifer verwendet vorherige Informationen über das Ziel, um personalisierte und glaubwürdige E-Mails zu erstellen. Diese enthalten oft spezifische Details oder Namen, um das Vertrauen des Opfers zu gewinnen und sie dazu zu bringen, vertrauliche Daten preiszugeben oder schädliche Anhänge zu öffnen.
4. Social-Media-Manipulation: Angreifer nutzen Informationen aus den sozialen Medien, um personalisierte Angriffe durchzuführen. Sie könnten gefälschte Profile erstellen, um Freundschaftsanfragen an das Ziel zu senden und Zugriff auf persönliche Informationen zu erhalten. Mit diesen Informationen können sie dann gezielte Angriffe starten oder das Opfer dazu bringen, schädliche Links anzuklicken.
5. USB-Dropping: Bei diesem Angriff lassen Angreifer manipulierte USB-Sticks an öffentlichen Orten wie Bürogebäuden, Cafés oder Parkplätzen liegen. Die USB-Sticks sind oft mit interessant aussehenden Etiketten versehen, um die Neugier der Personen zu wecken, die sie finden. Sobald ein Opfer den USB-Stick in einen Computer einsteckt, wird Schadsoftware installiert, die dem Angreifer Zugriff auf das System verschafft.
   
   

10 Tipps zur Vermeidung von Social Engineering Attacken

Es gibt Methoden, wie Sie Ihr Unternehmen und sich selbst vor Social Engineering Angriffen schützen können.

TIPP 1: SICH NICHT UNTER DRUCK SETZEN LASSEN. SICHERHEIT IST WICHTIGER ALS HÖFLICH ZU SEIN.

Social Engineers sind normalerweise sehr freundlich und kontaktfreudig. Durch Vortäuschen von Firmenkenntnissen (Name des Vorgesetzten, Prozesse usw.) bearbeiten sie das Opfer so lange, bis es die gesuchte Information preisgibt.

TIPP 2: SICH NICHT ÜBERREDEN LASSEN

Lassen Sie sich nicht dazu überreden, eine bestimmte Webseite zu besuchen oder eine bestimmte Software zu installieren. Die Webseite und die Software könnten mit Malware infiziert sein.

TIPP 3: UMGANG MIT ZWEIFELHAFTEN ANFRAGEN

Stellen Sie bei zweifelhaften Anfragen immer die Identität und Berechtigung des Fragenden sicher. Erkundigen Sie sich nach dem Grund für die Anfrage. Sprechen Sie im Zweifelsfall mit Ihrem Vorgesetzten oder der Person, über die Sie Auskunft erteilen sollen. Und fragen Sie nach, ob Ihnen der Absender bekannt ist.

TIPP 4: WEITERGABE VON INFORMATIONEN

Geben Sie NIE interne oder vertrauliche Informationen (Kunden- und Mitarbeiterdaten, Projektinformationen etc.) weiter. Weder am Telefon noch per E-Mail oder Briefpost.

TIPP 5: KONTAKTAUFNAHME VON „DIENSTLEISTUNGSANBIETERN“

Kein seriöser Dienstleistungsanbieter wird je nach einem Passwort und Zugangsdaten fragen. Auch nicht Systemadministratoren oder Sicherheitsspezialisten.

TIPP 6: VORSICHT AM TELEFON UND MIT E-MAILS

Versucht ein Social Engineer via Anruf an Informationen zu gelangen, nennt man dies „Phishing-Anrufe“. Angreifer geben sich hier als vertrauenswürdige Quelle aus. Mit sogenannten Phishing-E-Mails versuchen Betrüger, Informationen ihrer Opfer zu erlangen. Achten Sie daher auf folgende Merkmale, um eine Phishing-E-Mail erkennen zu können:

1. Merkwürdiger Absender,
2. Unübliche / Dubiose Mailanhänge,
3. Unpersönliche Ansprache.
   
   

TIPP 7: VORSICHT IN SOZIALEN MEDIEN

Social Engineering kann auch über die sozialen Medien erfolgen. Zum Beispiel werden private Nachrichten mit Links auf verseuchte Webseiten versendet oder Posts mit Links auf solche Seiten gepostet. Je mehr private Daten ein Mitarbeiter über sich veröffentlicht, desto leichter wird es auch Informationen über Ihn oder ein Unternehmen zu sammeln. Achten Sie also auf das, was Sie im Internet hinterlassen (wollen) und passen Sie gegebenenfalls Ihre Einstellungen zur Privatsphäre an.

TIPP 8: VORSICHT MIT MOBILEN DATENTRÄGERN

Kennen Sie noch USB-Sticks oder externe Laufwerke? Diese sind nicht mehr so oft in Gebrauch, dennoch stellen sie realistische Gefahrenquellen dar. Malware kann auch über mobile Datenträger verbreitet werden. Dieser Vorgang wird als Baiting bezeichnet.

TIPP 9: PASSWÖRTER UND UPDATES

Achten Sie auf sichere abwechslungsreiche Passwörter und aktualisieren Sie diese hin und wieder. Es ist auch hilfreich, die Patches für Ihre Systeme regelmäßig zu aktualisieren und sie auf dem neuesten Stand zu halten, um Sicherheitslücken zu vermeiden. Denken Sie auch an eine weitere Ebene des Cyberschutzes, nämlich einen BitLocker-Wiederherstellungsschlüssel.

TIPP 10: VORSICHT BEI PERSÖNLICHER KONTAKTAUFNAHME

Die wohl extremste Art des Social Engineerings ist das persönlich in Kontakt treten mit dem Opfer. Kann ein Social Engineer über die anderen Kanäle seine Zielperson nicht erreichen, kann es sein, dass persönlich Kontakt aufgenommen wird.

TIPP 11: ENDPOINT SECURITY

Eine wirksame Endpoint Security trägt entscheidend dazu bei, Social-Engineering-Angriffe abzuwehren, indem sie die Schwachstellen schließt, die durch diese manipulativen Taktiken ausgenutzt werden könnten. Durch umfassende Schutzmechanismen können Unternehmen die Wahrscheinlichkeit erfolgreicher Angriffe durch Phishing, Betrug und andere soziale Manipulationstechniken erheblich verringern und ihre Mitarbeiter und vertraulichen Daten wirksam schützen.

Sicheres Verhalten ist lernbar

Social Engineering ist eine ständige Bedrohung, der sowohl Privatpersonen als auch Unternehmen ausgesetzt sind. In einem ansonsten gut geschützten Sicherheitsnetzwerk wird beim Social Engineering der Mensch als schwächstes Glied der Sicherheitskette als Opfer ausgemacht. 

Testen Sie DriveLocks Lösung zum Schutz Ihrer sensiblen Daten für 30 Tage, um mögliche Social Engineering zu vermeiden!