Social Engineering − Definition, Beispiele und wie du dich schützen kannst

|
Betrüger üben emotionalen Druck auf ihre Opfer aus
Amateure hacken Systeme, Profis hacken Menschen. So einfach, so brutal. Denn Menschen öffnen Kriminellen Wege in höchst sensible Bereiche − oftmals ohne große Gegenwehr. Dass dabei große Schäden entstehen, zeigen die spektakulären Fälle, die immer wieder die Schlagzeilen beherrschen. Darin spielen Deep Fakes eine genauso große Rolle wie Phishing oder Impersonation. Allen ist gemein, dass sie unter den Oberbegriff Social Engineering fallen − der emotionalen Beeinflussung von Personen, um bestimmte Verhaltensweisen hervorzurufen. Vor Social Engineering schützen dich und deine Kunden vor allem Wachsamkeit und die Kenntnis der Angriffsmethoden. Deshalb findest du hier alles Wichtige, das du über Social Engineering wissen musst.

Social Engineering − Definition 

Mit Social Engineering beschreibt man die emotionale Manipulation von Personen, um sie zu bestimmten Handlungen zu verleiten. Die Angreifer nehmen dabei illegalerweise die Identität eines Menschen oder eine Organisation an, um andere zu manipulieren. Ihr Ziel ist dabei, vertrauliche Informationen oder auch Passwörter zu erbeuten.

Für Social Engineering benötigen die Angreifer kein technisches Verständnis. Wird die Manipulation mit dem Ziel durchgeführt, die Kontrolle über Computersysteme zu erlangen, spricht man vom Social Hacking.

Methoden des Social Engineering

Alle Angriffsmethoden vereint, dass die Kriminellen versuchen, die Identität einer anderen Person oder Organisation anzunehmen. Das sind die meist verbreiteten Arten des Social Engineering:

  • Phishing:
    Phishing ist der Versuch, mit gefälschten E-Mails oder Webseiten Zugangsdaten, Kontodaten oder andere Daten zu erbeuten. Häufig ist es der erste Angriffspunkt eines weitreichenden Folgeangriffs.
  • Impersonation:
    Von Impersonation spricht man, wenn sich Betrüger als eine andere (fiktive) Person ausgeben. Ihre Opfer manipulieren sie so auf unterschiedlichste Art, etwa indem sie sich als Geschäftsführer ausgeben, um auf Mitarbeitende Druck auszuüben und im Anschluss Informationen zu erbeuten.
  • Deep Fake:
    Bei Deep Fakes sind die Weiterentwicklung der Impersonation. Man spricht dabei von manipulierten Fotos, Videos oder Sprachaufnahmen, die zum Teil täuschend echt aussehen. Durch die rasante Verbesserung der Technik werden die Deep Fakes immer realer und dadurch zu einer stetig wachsenden Bedrohung.
  • Quid pro quo:
    Angreifer, die ihren Opfern im Austausch gegen Informationen Vorteile in Aussicht stellen, handeln nach dem quid pro quo Prinzip. Die anfänglichen Versprechen der Betrüger sind dabei nur ein Vorwand, um das Opfer zu unüberlegten Handlungen zu verführen.
  • Scareware:
    Der Name hält, was er verspricht: Scareware jagt dem Opfer einen Schrecken ein, in dem sie zum Beispiel vorgibt, ein Sicherheitsrisiko entdeckt zu haben. Für das vermeintliche Sicherheits-Update bitten die Betrüger zur Kasse. Oftmals ist das Update erst das eigentliche Schadprogramm.
  • Honey Pot:
    Komplimente und flirten so beginnt ein Angriff mit der Honey Pot Methode. Fiktive, meist äußerst attraktive Personen bauen so Kontakt zu ihren Opfern auf. Oftmals wird zu einem späteren Zeitpunkt kompromittierendes Material versendet, zum Beispiel Nacktfotos. Dieses Material wird letztlich zur Erpressung der Opfer verwendet.

Beispiele für Social Engineering

Immer wieder tauchen spektakuläre Fälle von Social Engineering in den Medien auf. So fiel etwa der britische Verteidigungsminister Ben Wallace auf einen Deep Fake-Anruf eines russischen Comedians herein. Dieser hatte sich als ukrainischer Premierminister ausgegeben. 
Auch wenn kein faktischer Schaden entstanden ist, zeigt der Anruf, wie leicht Angriffe an sensiblen Punkten durchgeführt werden können. 

Täuschend echt: Deep Fake von Barack Obama

Mit der Wiedergabe dieses Videos werden Daten an Youtube übertragen.

Hinweise dazu erhältst du in der Datenschutzerklärung.
Inhalte von Youtube laden

Auch der Fall Robin Sage zeigt, welche Tragweite ein Social Engineering Angriff haben kann. Mit der Impersonation Methode wurden dabei unter anderem Mitarbeiter des US-Geheimdienstes und des Weißen Hauses kontaktiert. Ergebnis: Die Angreifer konnten sensible Daten der US-Regierung erbeuten. 


Von Zeit zu Zeit kommt es zu Phishing-Mails im Namen von Mittwald. Dabei behaupten die Betrüger etwa, dass das Mittwald Konto der E-Mail-Empfänger gesperrt sei und über einen Link in der Mail sein Konto freischalten soll. Wichtig: Mittwald fordert niemals Kunden per E-Mail auf, Zugangsdaten anzugeben. Derartige Mails kannst du direkt löschen.

Phishing: Die Hacker geben sich in der E-Mail als Mittwald aus.
Phishing: Die Hacker geben sich in der E-Mail als Mittwald aus.

So kannst du dich vor Social Engineering Angriffen schützen

Egal ob bei E-Mails, Anrufen oder Nachrichten über deine Social Media Accounts: Der beste Schutz vor Betrug ist, Inhalt und Aufmachung kritisch zu hinterfragen. Phishing Mails fallen oft durch Rechtschreibfehler oder seltsame Absenderadressen auf. Viele Deep Fakes haben eine schlechte Ton- oder Bildqualität. Gleichzeitig hilft es, diese Regeln zu befolgen:

  • Angreifer informieren sich auf Social Media Kanälen über ihre Opfer. Deshalb sei vorsichtig bei allem, was du öffentlich teilst.
  • Öffne keine Links, die dich zu einer Login-Seite führen sollen. Egal, was in der Mail steht.
  • Verwende Passwort Manager. Sie helfen nicht nur, starke Passwörter zu generieren und zu merken, sondern können Hinweise auf eine gefälschte Login-Maske liefern. Sie erkennen, wenn die Ziel-URL des Passwort Managers nicht mit der verlinkten Login-Maske übereinstimmt.
  • Nutze, wo immer möglich, eine Multi-Faktor-Authentifizierung.
  • Vertraue niemandem sensible Daten an, den du nicht kennst.

Social Engineering – Das tut Mittwald dagegen

Ein tiefgehendes Verständnis für die Gefahren ist in der Prävention essentiell. Deshalb schulen wir unsere Mitarbeiter*innen regelmäßig zu alle relevanten Security-Entwicklungen. Auch unseren Kund*innen stellen wir regelmäßig Informationen in unserem Blog und über unsere Social Media Kanäle zur Verfügung. 

Genau so wollen wir die direkte Zusammenarbeit zwischen dir und unserem Kundenservice so sicher wie möglich gestalten. Deshalb fragen wir dich am Telefon nach deinem Verifizierungscode.

Ähnliche Artikel:

mittwald

Phishing-E-Mails – so erkennst du den E-Mail-Betrug und schützt deine Daten

Wie du die Betrugs-E-Mails erkennst und dich und deine Daten schützt, erklären wir dir in diesem Blog-Beitrag.

Erscheinungsformen und Gefahren
Hosting

Phishing − welche Arten gibt es und welcher Schaden entsteht dadurch?

Phishing ist ein weit verbreitetes Phänomen. In welchen Formen kann es auftreten, welchen Schaden dabei anrichten? Antworten findest du hier.

Reidar Janssen und Katharina Hoffmann, beide aus unserem Security Team, halten das ISO 27001 Zertifikat in den Händen.
mittwald

Safety first: mittwald ist mit der ISO 27001 zertifiziert

Bei uns sind deine Daten sicher. Deshalb hat uns der TÜV Rheinland gemäß der international anerkannten Norm ISO 27001 zertifiziert. Alles Infos dazu hier.

mittwald

Kontaktformular als Spam-Schleuder? Nicht mit uns!

Eure Kontaktformulare sollen nicht zweckentfremdet und von Spammern gekapert werden. Darum überprüfen wir die Formulare regelmäßig.