Was ist Social Engineering?

Social Engineering beschreibt eine Methode, bei der ein Opfer manipuliert, beeinflusst oder getäuscht wird, sodass es unüberlegt handelt, persönliche oder finanzielle Informationen preisgibt oder dem Angreifer Zugriff auf ein Computersystem ermöglicht.

Social Engineering ist eine Wissenschaft für sich: verschiedene Social Engineering Methoden wie psychologische Manipulation, Überredung und Ausbeutung kommen dabei zum Einsatz. Allen gemein ist, dass sie auf menschlicher Interaktion beruhen und das Opfer häufig dazu verleiten, Sicherheitsverfahren zu umgehen. Solche Angriffe können äußerst effektiv sein, da sie auf der menschlichen Tendenz beruhen, anderen zu vertrauen. Oft wird auch die eigene Neugierde auf neue Angebote oder Informationen als Köder genutzt.

Die Grenzen zwischen Social Engineering und Phishing lassen sich nicht klar ziehen, weil sie normalerweise miteinander Hand in Hand gehen. Bei Social Engineering gibt sich ein Angreifer oft als legitimer Angestellter (z.B. der CFO oder CEO) oder Kunde aus, mit dem Ziel, dass der Mitarbeiter dem Angestellten sensible Informationen schickt oder Accounts verändert (z.B. das Austauschen einer SIM-Karte).

Egal, welche Ziele der Angreifer verfolgt: Es gibt einige eindeutige Anzeichen, dass hinter einer Kommunikation Social Engineering steckt.

Ein Hauptmerkmal von Social Engineering ist das Anspielen auf Ängste und Emotionen eines Nutzers. Der Angreifer will verhindern, dass der Nutzer genauer über die Anfrage nachdenkt und versucht deshalb, Angst und ein Gefühl der Dringlichkeit hervorzurufen. Fortschrittliche Systeme zur Erkennung solcher Angriffe nutzen heute maschinelles Lernen, um emotionale Manipulation und ungewöhnliche Muster in der Kommunikation zu analysieren.

Nachfolgend einige Beispiele und Merkmale von Social-Engineering-Attacken:

• Erhöhte Emotionen: Ein Angreifer droht zum Beispiel mit dem Verlust eines Accounts, um Nutzer dazu zu verleiten, ihre Zugangsdaten herauszugeben, oder der Angreifer gibt sich beispielsweise als Vorgesetzte aus, die eine dringende Geldüberweisung anfordert. Der Mitarbeiter fühlt sich unter Druck gesetzt, aus Angst, seinen Job zu verlieren.
• Gespoofte Absenderadresse: Die meisten Nutzer sind sich nicht bewusst, dass eine E-Mail-Adresse gespooft, also gefälscht werden kann. E-Mail-Sicherheitsmaßnahmen sind jedoch mittlerweile in der Lage, gespoofte Absender davon abzuhalten, in den Posteingang eines Nutzers zu gelangen. Um dies zu umgehen, registriert der Angreifer stattdessen eine Domain, die ähnlich aussieht wie die offizielle Domain und hofft, dass der Nutzer den Unterschied nicht bemerkt.
• Ungewöhnliche Freundschaftsanfragen: Es ist nicht unüblich, dass ein Angreifer einen E-Mail-Account kompromittiert und schädliche Spam-Nachrichten an die Kontaktliste des Opfers versendet. Eine weitere verbreitete Taktik ist Catfishing, bei dem Angreifer gefälschte Identitäten in sozialen Netzwerken nutzen, um das Vertrauen von Opfern zu gewinnen und sie gezielt zu manipulieren. Die Nachrichten sind normalerweise kurz und es fehlen die personalisierten Elemente, die eine Nachricht von einer Freundin normalerweise auszeichnen. Seien Sie deshalb vorsichtig, auf Links in E-Mails von Freunden zu klicken, wenn die Nachricht nicht personalisiert ist.
• Unprofessionelle Website-Links: Phishing-Links kommen manchmal gleichzeitig mit Social Engineering zum Einsatz, um Nutzer dazu zu bringen, sensible Informationen preiszugeben. Geben Sie niemals Zugangsdaten ein, wenn der Link zur Website direkt aus einer E-Mail kommt, auch wenn es nach einer offiziellen Website aussieht (z.B. PayPal).
• Zu gut, um wahr zu sein: Scammer versprechen oft Geld im Austausch für finanzielle Entschädigung. Einer Zielperson wird so beispielsweise ein kostenloses iPhone versprochen, wenn sie die Lieferkosten selbst trägt. Wenn ein Angebot zu gut klingt, um wahr zu sein, dann handelt es sich wahrscheinlich um einen Scam.
• Schädliche Anhänge: Anstatt einen Nutzer auszutricksen und ihn dazu zu bringen, sensible Informationen bereitzustellen, kann eine fortschrittlichere Social Engineering Attacke darauf abzielen, mithilfe schädlicher E-Mail-Anhänge Malware auf einem Firmengerät zu installieren. Führen Sie niemals Makros oder ausführbare Dateien aus, die Sie von einer E-Mail erhalten haben, auch wenn sie scheinbar harmlos aussieht.
• Fragwürdiger Absender: Viele Social-Engineering-Techniken imitieren vertraute Quellen, wie Freunde, Vorgesetzte oder Kollegen. Falls Sie eine verdächtige E-Mail-Nachricht erhalten, die wie eine Social Engineering Attacke wirkt, halten Sie einen Moment inne und fragen Sie sich: „Hat mir meine Chefin/Freund/Kollege diese Nachricht tatsächlich geschickt?“ Bevor Sie auf die betreffende E-Mail antworten, kontaktieren Sie die Person über einen anderen Kommunikationskanal (per Telefonanruf, SMS oder Social-Media-Nachricht), um zu überprüfen, ob es sich um eine Nachahmung handelt oder nicht.
• Weigerung, auf Fragen zu antworten: Wenn eine Nachricht verdächtig wirkt, antworten Sie auf die Nachricht und fordern Sie den Absender auf, sich zu identifizieren. Ein Angreifer wird versuchen, dies zu verhindern, oder ignoriert schlicht und ergreifend die Nachfrage.
• Nicht identifizierbarer Absender: Wenn der Absender nicht in der Lage ist, oder nicht willens ist, seine Identität überprüfen zu lassen, geben Sie keine zusätzlichen Informationen heraus und akzeptieren Sie keine Zugriffsanfragen. Während E-Mail-Nachrichten am häufigsten vorkommen, gilt dies auch für andere Social-Engineering-Taktiken wie Textnachrichten, Telefonanrufe usw.

Die Technik, die alle Methoden des Social-Engineering nutzt, ist das Anspielen auf Emotionen zur Täuschung von Nutzern. Zusätzlich nutzen Angreifer diverse Standardtechniken, um das Opfer zu bestimmten Handlungen zu bewegen (z. B. das Überweisen von Geld auf ein fremdes Bankkonto) und den Angriff glaubwürdig erscheinen zu lassen. Häufig erfolgen solche Angriffe über E-Mails oder Textnachrichten, da sie keine direkte Interaktion erfordern.

Einige häufige Techniken sind:

• Phishing: Hierbei gibt sich der Angreifer oft als Vorgesetzte aus, um das Opfer dazu zu bringen, Geld auf ein Offshore-Bankkonto zu überweisen.
• Vishing und Smishing: Diese Angriffe erfolgen über Textnachrichten oder automatisierte Telefonanrufe, oft mithilfe stimmverändernder Software. Dabei spricht man von Vishing (Voice-Phishing) bei Anrufen und Smishing (SMS-Phishing) bei Textnachrichten.
• CEO-Betrug (Chefmasche): Nutzer verspüren oft ein Gefühl der Dringlichkeit, wenn ein hoher Vorgesetzter sie zu einer Handlung auffordert, weshalb ein Angreifer sich oft als CEO oder eine andere ranghohe Führungskraft ausgibt, um der Zielperson zu vermitteln, das Ausführen einer bestimmten Handlung sei besonders dringlich. Diese Masche ist als CEO-Betrug oder Chefmasche bekannt.
• Vorschieben eines Vorwands: Angreifer schaffen möglicherweise einen falschen Vorwand, um vertrauliche Informationen zu erhalten oder Zugang zu einem System zu erlangen. So könnte sich ein Angreifer beispielsweise als Bankangestellter ausgeben und eine Zielperson kontaktieren, um zu behaupten, dass auf ihrem Konto verdächtige Aktivitäten stattgefunden haben, und sie bitten, vertrauliche Informationen zur Bestätigung ihres Kontos preiszugeben.
• Ködern: Angreifer locken mit unrealistischen Versprechungen, wie einem Preis oder Geld im Austausch für eine kleine Vorauszahlung, z. B. Lieferkosten. Solche Angebote klingen oft zu gut, um wahr zu sein – und sind es in der Regel auch.
• Sich an jemanden dranhängen: Diese Technik betrifft Unternehmen, die Sicherheitsscanner einsetzen, um unautorisierten Zugang zum Firmengebäude zu verhindern. Der Angreifer hängt sich dann an einen Mitarbeiter dran und läuft dicht hinter ihm durch die Tür, nachdem der Mitarbeiter sie mit seinem Sicherheitsausweis geöffnet hat. Dadurch bekommt der Angreifer physischen Zugang zu einem Gebäude. Mehr zu dieser Methode erfahren Sie in unserem Eintrag über Tailgating-Angriffe in der Cybersicherheit.
• Quid pro quo: Angestellte mit einem Groll gegen das Unternehmen sind besonders anfällig für Versuche, gegen Geld oder andere Versprechen sensible Informationen preiszugeben.
• Watering Hole: Bei dieser Form eines Social-Engineering-Angriffs werden bestimmte Gruppen gezielt angegriffen, indem Angreifer Websites infizieren, die diese Gruppe wahrscheinlich besucht. Beispielsweise könnte ein Angreifer eine beliebte Nachrichtenseite mit Malware infizieren, mit der Absicht, dass Mitarbeiter eines bestimmten Unternehmens die Website besuchen und die Malware versehentlich herunterladen.
• Auf eine nie gestellte Frage antworten: Das Opfer erhält eine E-Mail, die auf eine Frage „antwortet“. Die Antwort enthält jedoch eine Anfrage nach persönlichen Informationen, einen Link zu einer bösartigen Website oder einen Malware-Anhang.
• Drohungen mit Geldverlust oder Strafen: Angst ist ein mächtiges Werkzeug im Social Engineering. Angreifer nutzen sie, um Opfer zu manipulieren, etwa durch Drohungen wie Geldverlust, Kontosperrungen oder strafrechtliche Konsequenzen, falls Anweisungen nicht befolgt werden.

Die durch Social-Engineering-Angriffe hervorgerufene Dringlichkeit führt oft dazu, dass Opfer unüberlegt handeln. Doch durch Aufklärung und das Befolgen grundlegender Verhaltensregeln können solche Angriffe vermieden werden. Es ist entscheidend, Ruhe zu bewahren, die Situation zu prüfen und die Identität des Absenders zu verifizieren – unabhängig davon, ob die Kommunikation per E-Mail oder Telefon erfolgt.

Die wichtigsten Verhaltensregeln sind:

• Recherchieren Sie, bevor Sie antworten: Bei verbreiteten Scams finden Sie oft Erfahrungsberichte oder Warnungen online.
• Interagieren Sie niemals mit einer Website, auf die Sie über einen Link gekommen sind: Wenn eine E-Mail behauptet, von einer offiziellen Firma zu stammen, klicken Sie nicht auf den Link und authentifizieren Sie sich nicht. Tippen Sie stattdessen die offizielle Domain in den Browser ein.
• Achten Sie auf unübliches Verhalten von Freunden: Angreifer nutzen gestohlene E-Mail-Accounts, um Nutzer zu täuschen. Seien Sie deshalb wachsam, wenn eine Freundin eine E-Mail mit einem Link auf eine Website schickt, ohne dass es im Vorfeld andere Kommunikation dazu gegeben hat.
• Vermeiden Sie unautorisierte Datei-Downloads: Ignorieren Sie E-Mails, die Sie auffordern, dringend Dateien herunterzuladen. Verifizieren Sie zuerst, ob die Anfrage legitim ist.

In der Cybersicherheitswelt ist es nicht neu, dass Angreifer versuchen, Nutzer zu täuschen, um sensible Informationen zu erlangen. Was sich jedoch verändert, sind die Methoden und Taktiken, die immer raffinierter werden. Besonders organisierte Gruppen führen zunehmend komplexe Angriffe durch, die unterschiedliche Bedrohungen, wie Phishing, kombinieren.

Der Begriff „Social Engineering“ an sich tauchte 1894 das erste Mal auf, als ihn der Niederländische Industrielle JC Van Marken das erste Mal verwendete. Als Methode von Cyberangriffen ist er seit den 1990ern in Umlauf.

In den 1990ern bedeutete Social Engineering, Nutzer anzurufen, um sie dazu zu bringen, ihre Zugangsdaten oder ihre Einwahl-Festnetznummer zu verraten, die einem Bedrohungsakteur Zugriff auf den internen Unternehmensserver verschaffte. Mittlerweile nutzen Angreifer Social Engineering, um Zielpersonen dazu zu verleiten, Geldsummen mitunter in Millionenhöhe an Offshore-Bankkonten zu senden, was bei Unternehmen einen enormen finanziellen Schaden verursacht. In manchen Fällen haben Mitarbeiter im Nachgang eines Angriffs ihren Job verloren.

Social Engineering ist eine der häufigsten und effektivsten Methoden, um Zugang zu sensiblen Informationen zu erlangen. Statistiken belegen, dass in Verbindung mit Phishing Angreifer enorme Schäden an Unternehmen verursachen können.

Einige Statistiken über Social Engineering sind unter anderem:

• 98 % aller Cyberangriffe gehen auf Social Engineering zurück.
• Im Jahr 2020 berichteten 75 % der Unternehmen von Phishing-Angriffen und war damit der häufigste Cybersicherheitsvorfall.
• Der durchschnittliche Schaden einer Datenverletzung beträgt 150 Dollar pro betroffenen Datensatz.
• Über 70 % aller Datenverletzungen beginnen mit Phishing oder Social Engineering.
• Im Jahr 2021 verzeichnete Google mehr als 2 Millionen Phishing-Webseiten.
• Etwa 43 % aller Phishing-E-Mails imitieren große Firmen wie Microsoft.
• 60 % aller Unternehmen berichteten Datenverluste nach einem erfolgreichen Phishing-Angriff. 18 % der Zielpersonen fallen dem Phishing-Angriff auch tatsächlich zum Opfer.

Unternehmen sind ebenso wie Privatpersonen anfällig für Social Engineering. Daher ist es entscheidend, dass Angestellte sowohl die Anzeichen erkennen als auch wissen, wie sie auf einen Angriff reagieren müssen. Es liegt in der Verantwortung des Unternehmens, seine Mitarbeiter entsprechend weiterzubilden. Nutzen Sie die folgenden Schritte, um ihre Angestellten in die Lage zu versetzen, eine akute Social Engineering Attacke zu erkennen:

• Achten Sie darauf, welche Daten öffentlich zugänglich sind: Angestellte sollten genau wissen, welche Informationen sie teilen und ob es sich um sensible Daten handelt, die vertraulich behandelt werden müssen, sei es in sozialen Netzwerken oder per E-Mail.
• Identifizieren Sie wertvolle Informationen: Personenbezogene Daten dürfen niemals mit einer dritten Partei geteilt werden. Angestellte sollten wissen, was personenbezogene Daten ausmacht.
• Erhöhen Sie Ihre Sicherheit durch Multifaktor-Authentifizierung: Zusätzliche Sicherheitsstufen zur Identitätsverifizierung machen Online-Konten sicherer und schwerer zugänglich.
• Nutzen Sie starke Passwörter und verwenden Sie einen Passwort-Manager: Die Verwendung starker, eindeutiger Passwörter mit unterschiedlichen Zeichentypen macht sie schwerer zu knacken. Ein Passwort-Generator hilft beim Erstellen starker Passwörter und ein zuverlässiger Passwort-Manager kann Ihre Passwörter sicher verwalten.
• Reduzieren Sie die Menge an persönlichen Informationen, die online über Sie verfügbar sind: Vermeiden Sie es, persönliche Daten wie den Namen Ihrer Haustiere oder besuchte Schulen zu teilen, die als Antwort auf Sicherheitsfragen oder zur Entschlüsselung von Passwörtern dienen könnten.
• Bewahren Sie Geräte sicher auf und behalten Sie sie unterwegs jederzeit in Ihrer Nähe: Sperren Sie Ihren Computer und Ihre Mobilgeräte, insbesondere an öffentlichen Orten wie Flughäfen oder Cafés. Geben Sie Ihre Geräte nicht aus der Hand und behalten Sie sie nahe bei sich, um Diebstahl zu verhindern.
• Seien Sie misstrauisch bei Anfragen nach Daten, besonders wenn sie wie ein typisches Beispiel für Social Engineering erscheinen: Jede Datenanfrage sollte mit Vorsicht entgegengenommen werden. Stellen Sie Fragen und überprüfen Sie die Identität des Absenders, bevor Sie der Anfrage nachkommen.
• Erstellen Sie Schulungsrichtlinien: Eine klare Richtlinie hilft den Nutzern, betrügerische Anfragen zu erkennen und zu wissen, wie sie mit aktuellen Social-Engineering-Angriffen umgehen und diese melden können.
• Aktualisieren Sie regelmäßig Ihre Anti-Malware-Software: Sollte ein Mitarbeiter versehentlich schadhafter Software ausgesetzt werden, wird die Antiviren-Software in den meisten Fällen die Bedrohung erkennen und blockieren.
• Bilden Sie Ihre Angestellten weiter: Angestellte können Angriffe nicht erkennen, wenn sie nicht über das Wissen verfügen, das ihnen dabei hilft. Führen Sie deshalb Schulungen durch, bei denen Angestellte echte Beispiele für Social Engineering sehen. Ein strukturiertes Security Awareness Training hilft Mitarbeitenden dabei, typische Muster zu erkennen und richtig zu reagieren.

Proofpoint ist sich bewusst, dass Social-Engineering-Angriffe höchst effektiv darin sind, menschliche Emotionen und Fehler auszunutzen. Wir bieten deshalb Schulungen zur Steigerung des Sicherheitsbewusstseins sowie Weiterbildungsprogramme an, die Mitarbeiter darin unterstützen, Social Engineering und die Phishing-E-Mails, die damit meistens einhergehen, zu erkennen.

Wir bereiten Mitarbeiter auf fortgeschrittene Angriffe vor und statten sie mit den nötigen Werkzeugen aus, um angemessen zu reagieren. Durch realistische Beispiele versetzen wir sie in die Lage, Social Engineering zu erkennen und im Einklang mit den Unternehmensrichtlinien zu handeln.