Social Engineering ist ein Sicherheitsangriff, der sich auf menschliche Interaktion stützt, um Benutzer dazu zu bringen, Standard-Sicherheitsverfahren zu umgehen. Angreifer nutzen Social-Engineering-Techniken, um Menschen dazu zu bringen, vertrauliche Informationen wie Passwörter oder Kontonummern preiszugeben.

Geschichte des Social Engineering

Social Engineering gibt es schon seit Jahrhunderten, aber der Begriff wurde erst in den 1980er Jahren geprägt. Einer der frühesten dokumentierten Social-Engineering-Angriffe war der 1851 Großer Goldschwindelin dem zwei Männer die Menschen in San Francisco davon überzeugten, dass sie in den Bergen der Sierra Nevada Gold gefunden hatten. Die Männer verkauften Anteile an ihrem "Bergbauunternehmen" und machte sich mit dem Geld aus dem Staub.

Arten von Social Engineering

Es gibt viele verschiedene Arten von Social-Engineering-Angriffen, aber wir werden uns die 10 am häufigsten verwendeten Angriffe ansehen:

1. Phishing

Phishing ist eine Art von Social-Engineering-Angriff, bei dem E-Mails oder Textnachrichten verwendet werden, um Benutzer dazu zu verleiten, auf einen bösartigen Link oder Anhang zu klicken. Sobald das Opfer auf den Link oder den Anhang klickt, wird es auf eine bösartige Website umgeleitet oder sein Computer wird mit Malware infiziert. 

2. Vorwände

Pretexting ist eine Art von Social-Engineering-Angriff, bei dem der Angreifer ein falsches Szenario schafft, um persönliche Informationen vom Opfer zu erhalten. So kann sich ein Angreifer beispielsweise als Kundendienstmitarbeiter ausgeben und ein Opfer anrufen, um "Überprüfen" ihre Kontoinformationen. Der Angreifer nutzt dann die persönlichen Daten des Opfers, um auf dessen Konten zuzugreifen oder andere Straftaten zu begehen. 

3. Köder

Köder sind eine Art von Social-Engineering-Angriff, bei dem der Angreifer ein physisches Gerät, z. B. ein USB-Laufwerk, an einem öffentlichen Ort hinterlässt. Das Gerät enthält in der Regel Malware oder einen bösartigen Link. Wenn das Opfer das Gerät findet und es an seinen Computer anschließt, wird sein System mit Malware infiziert. 

4. Quid Pro Quo

Quid pro quo ist eine Art von Social-Engineering-Angriff, bei dem der Angreifer dem Opfer etwas im Gegenzug für persönliche Informationen oder den Zugang zu einem System anbietet. Ein Angreifer kann sich zum Beispiel als IT-Support-Mitarbeiter ausgeben und anbieten "fix" den Computer eines Opfers im Austausch für ihren Fernzugriff auf das System. Sobald der Angreifer Zugriff auf das System hat, kann er Malware installieren oder vertrauliche Informationen stehlen. 

5. Containertauchen

Beim Dumpster Diving handelt es sich um eine Art von Social-Engineering-Angriff, bei dem der Angreifer Mülltonnen oder Müllcontainer durchwühlt, um sensible Informationen zu finden, die er weggeworfen hat. Diese Informationen können verwendet werden, um auf Systeme zuzugreifen oder andere Straftaten zu begehen. 

6. Schultersurfen

Schulter-Surfen ist ein Sicherheitsangriff, bei dem der Angreifer ein Opfer dabei beobachtet, wie es sein Passwort oder seine PIN in einen Computer oder Geldautomaten eingibt. Der Angreifer kann dann diese Informationen nutzen, um auf die Konten des Opfers zuzugreifen oder andere Straftaten zu begehen. 

7. Hinterherfahren

Tailgating ist eine Art von Social-Engineering-Angriff, bei dem der Angreifer einem Opfer in einen sicheren Bereich folgt, z. B. in ein Bürogebäude oder ein Parkhaus. Der Angreifer kann sich dann Zugang zu den Konten des Opfers verschaffen oder andere Straftaten begehen. 

8. Vishing

Vishing ist eine Art von Social-Engineering-Angriff, bei dem die Opfer mit Hilfe von Anrufen oder Textnachrichten dazu gebracht werden, sensible Informationen preiszugeben. Der Angreifer gibt sich oft als vertrauenswürdige Einrichtung aus, z. B. eine Bank oder eine Regierungsorganisation, um das Vertrauen des Opfers zu gewinnen. Sobald das Opfer dem Angreifer die angeforderten Informationen zur Verfügung stellt, kann der Angreifer diese nutzen, um sich Zugang zu den Konten des Opfers zu verschaffen oder andere Straftaten zu begehen. 

9. Wasserloch

Beim Watering Hole handelt es sich um eine Art von Social-Engineering-Angriff, bei dem der Angreifer eine Website kompromittiert, die das Opfer häufig besucht. Der Angreifer kann dann den Computer des Opfers mit Malware infizieren oder sensible Informationen stehlen, wenn er die Website besucht. 

10. Walfang

Whaling ist ein Sicherheitsangriff, der es auf hochrangige Personen wie CEOs oder Prominente abgesehen hat. Um das Vertrauen des Opfers zu gewinnen, gibt sich der Angreifer oft als vertrauenswürdige Einrichtung aus, z. B. eine Bank oder eine Regierungsorganisation. Sobald das Opfer dem Angreifer die angeforderten Informationen zur Verfügung stellt, kann der Angreifer diese nutzen, um sich Zugang zu den Konten des Opfers zu verschaffen oder andere Straftaten zu begehen. 

Social-Engineering-Taktiken

Es gibt viele Taktiken, die Social Engineers anwenden, um ihre Opfer auszutricksen, aber einige der häufigsten sind:

• Impersonation: Diese Cyberkriminellen geben sich oft als vertrauenswürdige Personen aus, z. B. als Kundendienstmitarbeiter, um das Vertrauen des Opfers zu gewinnen.

• Autorität: Sie nutzen oft ihre Autoritätsposition aus, um die Opfer zu überzeugen, ihren Forderungen nachzukommen.

• Einschüchterung: Social Engineers setzen manchmal Einschüchterungstaktiken ein, wie z. B. die Drohung, das Konto eines Opfers zu löschen, um es dazu zu bringen, ihren Forderungen nachzukommen.

• Schmeichelei: Cyberkriminelle versuchen oft, ihren Opfern zu schmeicheln, um ihr Vertrauen zu gewinnen.

• Knappheit: Sie erzeugen oft ein Gefühl der Dringlichkeit, indem sie ein begrenztes Angebot an Produkten oder Dienstleistungen behaupten.

Beispiele für Social-Engineering-Angriffe

• Der Equifax-Zwischenfall 2017

2017 kam es bei der Kreditauskunftei Equifax zu einer Datenpanne, bei der die persönlichen Daten von über 140 Millionen Menschen offengelegt wurden. Die Angreifer nutzten eine Art von Social-Engineering-Angriff, der als Phishing bekannt ist, um Zugang zu den Systemen von Equifax zu erhalten. Sobald die Angreifer Zugang zu den Systemen hatten, konnten sie sensible Daten wie Sozialversicherungsnummern und Kreditkartennummern stehlen.

• Die US-Präsidentschaftswahlen 2016

Im Jahr 2016 nutzte die russische Regierung Social-Engineering-Angriffe, um die US-Präsidentschaftswahlen zu stören. Die Angreifer nutzten eine Art Phishing-Angriff, um Zugang zu den E-Mail-Konten von Hillary Clintons Wahlkampfleiter John Podesta zu erhalten. Die Angreifer gaben dann den Inhalt der E-Mails an die Öffentlichkeit weiter, um Clintons Präsidentschaftswahlkampf zu schaden.

• Der WannaCry-Ransomware-Angriff 2017

Im Jahr 2017 waren über 200 000 Computer in 150 Ländern von dem Ransomware-Angriff WannaCry betroffen. Die Angreifer nutzten eine als Phishing bekannte Social-Engineering-Attacke, um die Opfer dazu zu bringen, auf einen bösartigen Link zu klicken. Sobald die Computer der Opfer mit der Ransomware infiziert waren, forderten die Angreifer ein Lösegeld für die Entschlüsselung der Dateien.

• Die Facebook-Datenpanne 2018

Im Jahr 2018 kam es beim Social-Media-Riesen Facebook zu einer Datenpanne, bei der die persönlichen Daten von über 87 Millionen Menschen offengelegt wurden. Die Angreifer nutzten einen als Phishing bekannten Social-Engineering-Angriff, um Zugang zu den Systemen von Facebook zu erhalten. Sobald die Angreifer Zugang zu den Systemen hatten, konnten sie sensible Daten wie Namen, E-Mail-Adressen und Telefonnummern stehlen.

• Der Instagram-Hack 2018

2018 wurde die Foto-Sharing-App Instagram gehackt, und die persönlichen Daten von über 6 Millionen Nutzern wurden offengelegt. Die Angreifer nutzten einen als Phishing bekannten Social-Engineering-Angriff, um Zugang zu den Systemen von Instagram zu erhalten. Sobald die Angreifer Zugang zu den Systemen hatten, konnten sie sensible Daten wie Namen, E-Mail-Adressen und Telefonnummern stehlen.

Was sind die 6 Schritte für einen erfolgreichen Social-Engineering-Angriff?

1. Recherche: Der Angreifer erforscht das Zielunternehmen und seine Mitarbeiter, um so viele Informationen wie möglich zu sammeln.
2. Planung: Der Angreifer plant den Angriff und berücksichtigt dabei die Informationen, die er in der Recherchephase gesammelt hat.
3. Ausführung: Der Angreifer führt den Angriff mit den von ihm geplanten Methoden und Techniken aus.
4. Zustellung: Der Angreifer liefert die Nutzlast, bei der es sich um Malware, vertrauliche Informationen oder Anmeldedaten handeln kann.
5. Kontrolle: Der Angreifer übernimmt die Kontrolle über das System oder das Konto, indem er die Informationen oder den Zugang nutzt, die er erlangt hat.
6. Vertuschung: Der Angreifer verwischt seine Spuren, so dass es schwierig ist, den Angriff zu erkennen und zu ihm zurückzuverfolgen.

FAQs

Wie funktioniert das Social Engineering?

Social Engineering ist eine Angriffsart, die auf menschlicher Interaktion beruht, um Benutzer dazu zu bringen, Standard-Sicherheitsverfahren zu umgehen. Der Angreifer versucht, das Vertrauen des Benutzers zu gewinnen, und nutzt dieses Vertrauen dann, um den Benutzer dazu zu bringen, etwas zu tun, was dem Angreifer den Zugang zum System ermöglicht.

Wie schwerwiegend ist Social Engineering?

Social Engineering kann zwar zur Erreichung verschiedener Ziele eingesetzt werden, doch am häufigsten wird es verwendet, um Zugang zu Systemen oder Daten zu erhalten. Sobald ein Angreifer Zugang zu einem System hat, kann er es zu seinem eigenen Vorteil ausnutzen. Dies kann zu Datenverlusten, finanziellen Verlusten und sogar zur Beschädigung des Systems führen.

Was ist die häufigste Art von Social Engineering?

Eine der häufigsten Formen des Social Engineering ist das Phishing. Dabei sendet ein Angreifer eine E-Mail, die scheinbar von einer legitimen Quelle stammt, z. B. von einer Bank oder einer Website. Die E-Mail enthält einen Link, der den Benutzer auf eine gefälschte Website führt, die wie die echte aussieht. Der Benutzer wird dann aufgefordert, seine Anmeldedaten einzugeben, mit denen sich der Angreifer Zugang zum System verschaffen kann.

Wie kann ich Social Engineering verhindern?

Es gibt ein paar Dinge, die Sie tun können, um Sicherheitsangriffe zu verhindern. Erstens sollten Sie sich der Gefahren bewusst sein, die das Anklicken von Links in E-Mails mit sich bringt. Wenn Sie sich über die Quelle einer E-Mail unsicher sind, sollten Sie nicht auf die darin enthaltenen Links klicken. Zweitens sollten Sie niemals persönliche Informationen, wie z. B. Ihre Anmeldedaten, an jemanden weitergeben, den Sie nicht kennen und dem Sie nicht vertrauen. Und schließlich sollten Sie Ihre Systeme immer mit den neuesten Sicherheits-Patches auf dem neuesten Stand halten, damit Angreifer keine Schwachstellen ausnutzen können.

Wie viel Prozent der Hacker nutzen Social Engineering

Social Engineering ist eine beliebte Technik unter Hackern, die schätzungsweise bei rund 90 % der erfolgreichen Angriffe zum Einsatz kommt.

Wie hoch sind die Kosten für einen Social-Engineering-Angriff?

Ein durchschnittlicher Social-Engineering-Angriff kostet ein Unternehmen 1,6 Millionen Dollar und es dauert 4 Monate, ihn aufzudecken. Ein erheblicher Teil dieser Kosten ist darauf zurückzuführen, dass es schwierig ist, festzustellen, wann ein Mitarbeiter Opfer eines Angriffs wird. Jeder Mitarbeiter mit legitimem Zugang kann die Umgebung für Angreifer angreifbar machen, wenn er auf eine Social-Engineering-Kampagne hereinfällt und bösartige Software installiert, Angreifern Anmeldedaten zur Verfügung stellt oder sensible Informationen preisgibt.

Wie Sie Ihr Unternehmen vor Social Engineering-Angriffen schützen können

Skysnag automatisiert DMARC, SPF und DKIM für Sie und erspart Ihnen den Ärger und die Zeit, die für die manuelle Konfiguration erforderlich sind. Die automatisierte Software von Skysnag schützt den Ruf Ihrer Domain und bewahrt Sie vor kompromittierten Geschäfts-E-Mails, Passwortdiebstahl und potenziell erheblichen finanziellen Verlusten. Melden Sie sich über diesen Link für eine kostenlose Testversion an und schützen Sie Ihr Unternehmen vor Social Engineering-Angriffen.