Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

Social Engineering: Funktionsweise, Beispiele und Prävention

Erfahren Sie, wie die adaptiv Multi-Faktor-Authentifizierung Datenschutzverletzungen, schwache Passwörter und Phishing-Angriffe bekämpft.

Aktualisiert: 02. September 2024 Lesezeit: ~

Topics

Threat Detection, Cybersecurity, Phishing Resistance

Inhalt

Social Engineering ist eine Art der psychologischen Manipulation, bei der Angreifer Menschen dazu bringen, sensible, sichere Informationen preiszugeben. Ein Angreifer nutzt soziale Kompetenzen, um die Anmeldedaten einer Person oder eines Unternehmens für böswillige Zwecke zu kompromittieren. Fast alle (98 Prozent) der Cyberangriffe nutzen Social Engineering. 

Beim Social Engineering verleitet ein Angreifer jemanden dazu, private Informationen wie ein Passwort, Bankdaten, Sozialversicherungsnummer oder andere personenbezogene Daten (PII) preiszugeben. Der Angreifer gibt sich oft als vertrauenswürdige Entität, bekannte Person oder seriöse Partei aus. Sie können gezielte Fragen stellen, um das Opfer dazu zu bringen, diese Informationen preiszugeben. 

Social-Engineering-Systeme können verheerende Folgen haben, die von finanziellen Verlusten und Unterbrechungen von Diensten bis hin zu Reputationsschäden und mehr reichen. Es ist wichtig zu verstehen, wie Social Engineering funktioniert, um sich vor einem potenziellen Angriff zu schützen. 

Was ist Social Engineering?

Unter Social Engineering versteht man im Kontext der Informationssicherheit die Manipulation einer Person durch menschliches Verhalten und soziale Kompetenzen, um sie zur Preisgabe kompromittierender Informationen zu bewegen. Ein Angreifer gibt sich oft als jemand aus, den Sie kennen, oder als ein Unternehmen, dem Sie vertrauen und das Sie respektieren, um Sie davon zu überzeugen, persönliche Informationen preiszugeben, die er dann verwenden kann, um Zugriff auf Ihr Konto zu erhalten, Ihr Geld zu stehlen oder Ihre Dienste zu stören. 

Das schwache Glied in der Cybersicherheit ist der menschliche Faktor. Angreifer nutzen den natürlichen menschlichen Instinkt des Vertrauens aus, um die notwendigen Informationen für einen Cyberangriff zu sammeln. Social-Engineering-Angriffe können über E-Mail-Adressen, Telefonanrufe, Textnachrichten, bösartige Websites, Okta-Community-zu-Okta-Community-Sites oder Social-Networking-Sites initiiert werden.  

Bei Social-Engineering-Angriffen stellt ein Angreifer häufig Fragen, um Informationen zu erhalten. Sie können seriös und bescheiden wirken, aber wenn sie die richtigen Fragen stellen und genügend Informationen einholen, können sie diese nutzen, um auf Ihr Konto zuzugreifen und möglicherweise Ihren Computer und/oder Ihr Unternehmen zu kompromittieren. Social-Engineering-Programme können auch das Anlocken von Personen oder das Reagieren auf betrügerische Hilfsangebote beinhalten. 

6 Prinzipien von Social-Engineering-Angriffen

Social Engineering zielt auf den menschlichen Verstand ab und sucht nach potenziellen Schwachstellen, anstatt einen Computer oder ein Gerät direkt anzugreifen. Social Engineering ist eine Betrugsform, die auf der Psychologie der Überzeugung beruht. Angreifer nutzen Manipulation, um Personen dazu zu bringen, persönliche Informationen preiszugeben, die sie dann nutzen können, um auf sichere Ressourcen zuzugreifen. 

Social Engineering beruht auf den folgenden sechs Schlüsselprinzipien:

  1. Autorität: Der Angreifer kann sich als Autoritätsperson ausgeben, um das Opfer davon zu überzeugen, seine Anmeldedaten freizugeben oder die Einhaltung des Schemas zu erwirken. Wenn es zum Beispiel so aussieht, als würde Ihr Chef Ihre persönlichen Daten für etwas nach Ihren persönlichen Daten fragen, werden Sie wahrscheinlich eher geneigt sein, die IT preiszugeben.
  2. Einschüchterung: Ein Angreifer setzt oft Drohungen oder subtile Einschüchterungstaktiken ein, um das Opfer davon zu überzeugen, entsprechend zu handeln. Dazu kann gehören, dass Kommunikation abgefangen, manipuliert und damit gedroht wird, sie an einen Chef oder Freund weiterzugeben, um Misstrauen zu schüren.
  3. Knappheit: Hierbei wird das Konzept von Angebot und Nachfrage ausgenutzt. Je größer die Nachfrage nach einem Produkt und je geringer das Angebot, desto wahrscheinlicher ist es, dass eine Person ES haben möchte. Durch Social Engineering können bösartige Links auf Websites gepostet werden, die für eine begrenzte Menge von etwas werben, wodurch ein Gefühl der Dringlichkeit erzeugt wird. Das Opfer klickt auf den schädlichen Link, gibt seine Daten ein und der Angreifer stiehlt sie.
  4. Dringlichkeit: Ähnlich wie bei der Knappheit ist der Trick, dass etwas nur für eine "begrenzte Zeit" verfügbar ist, eine Form der zeitbasierten psychologischen Manipulation, die eine Person davon überzeugen kann, schnell zu handeln oder zu riskieren, etwas zu verpassen.
  5. Konsens: Als eine Form des sozialen Beweises ist es wahrscheinlicher, dass Menschen an etwas teilnehmen, das sie auch bei anderen Menschen sehen. Dies kann bedeuten, dass ein Angreifer mit größerer Wahrscheinlichkeit erfolgreich sein wird, wenn er ein Opfer davon überzeugen kann, dass seine Okta-Community ebenfalls an einem bestimmten System teilnimmt. Angreifer können gefälschte Bewertungen für Dienstleistungen oder Produkte einrichten, um Menschen davon zu überzeugen, sich ebenfalls einzukaufen.
  6. Vertrautheit: Es liegt in der Natur des Menschen, sich mehr davon überzeugen zu lassen, sich auf jemanden einzulassen oder etwas von jemandem zu kaufen, den man mag oder respektiert. Angreifer können daraus Kapital schlagen, und Social-Engineering-Schemata scheinen oft aus einer Quelle zu stammen, die dem Opfer bekannt ist oder von ihm respektiert wird.

Arten von Social-Engineering-Angriffen

Es gibt eine breite Palette von Social-Engineering-Angriffen. Im Folgenden sind einige der häufigsten aufgeführt:

  • Phishing: Bei diesem Social-Engineering-Angriff werden betrügerische E-Mail-Adressen versendet oder bösartige Websites erstellt, um Personen davon zu überzeugen, ihre privaten Anmeldedaten preiszugeben. Phishing Angriffe nehmen weiter zu und gehören mit über 300.000 Phishing-Angriffen allein im Dezember 2021 zu den häufigsten Cyberangriffsvektoren.

Phishing Angriffe scheinen in der Regel von einer seriösen oder vertrauenswürdigen Quelle zu kommen, indem sie den Benutzer auffordern, einen Anhang herunterzuladen oder auf einen einbetten Link zu klicken, um sich bei einem System anzumelden, wodurch seine Anmeldedaten unwissentlich an einen Angreifer weitergegeben werden. Dies kommt oft in der Form einer E-Mail-Adresse vor, und die IT kann den Anschein erwecken, dass sie von einem Unternehmen kommt, das Sie nutzen und dem Sie vertrauen.

Finanzinstitute sind häufig das Ziel von Angreifern, die betrügerische E-Mail-Adressen versenden und behaupten, sie seien von Ihrer Bank oder Ihrem Kreditkartenunternehmen. Sie werden häufig aufgefordert, sich bei Ihrem Konto anzumelden.

Phishing Programme können auch auf aktuelle Ereignisse abzielen, wie z. B. die COVID-19-Pandemie, humanitäre Bemühungen, Feiertage, eine Wahl, wirtschaftliche Probleme oder eine Naturkatastrophe. Diese E-Mail-Adressen können um Hilfe bitten und eine Person davon überzeugen, mit spezifisch angeforderten Informationen oder finanzieller Unterstützung zu antworten.

  • Smishing: Eine Form des Phishing-Angriffs. Beim Smishing werden SMS oder Textnachrichten verwendet, um betrügerische Links oder Websites zu versenden und eine Person dazu zu verleiten, darauf zu klicken und ihre Anmeldedaten einzugeben. Ein Beispiel hierfür wäre eine SMS, die scheinbar von Ihrem Telefonanbieter stammt und Sie aus einem scheinbar triftigen Grund auffordert, sich über einen enthaltenen Link bei Ihrem Konto anzumelden. Der Link führt Sie zu einer bösartigen Site, die von einem Angreifer betrieben wird, der diese dazu nutzen wird, Ihre Anmeldedaten zu stehlen.
  • Vishing: Eine weitere Form von Phishing, bei der es um Sprachkommunikation geht, ist die Ausnutzung der Telefonkommunikation. Vishing verlangt, dass eine Person eine bestimmte Nummer anruft, oft indem sie vorgibt, die Bank des Opfers zu sein, und PIN-Nummern und Passwörter preisgibt.

Bei Vishing-Angriffen können VoIP-Lösungen (Voice over Internet Protocol) manipuliert werden, beispielsweise die Anrufer-ID, was leicht zu Spoofing führen kann. Opfer vertrauen wahrscheinlich auf die Sicherheit eines Telefondienstes und vermuten daher keinen Betrug.

  • Spear-Phishing: Phishing geht es typischerweise darum, eine große Anzahl von Personen mit Spam zu belästigen und darauf zu hoffen, einen Treffer zu landen. Ziel der Bemühungen ist es, jemanden dazu zu bewegen, mit den angeforderten Informationen zu antworten. Spear-Phishing hingegen ist ein gezielterer Ansatz.

Die betrügerischen E-Mail-Adressen sind auf einige wenige Personen zugeschnitten, indem eine detailliertere Recherche der Opfer durchgeführt wird. Diese Angriffe sind für den Angreifer zeitaufwändiger. Sie haben aber oft auch eine höhere Erfolgswahrscheinlichkeit.

  • Scareware: Hierbei handelt es sich um eine Form von Schadsoftware, die die Wahrnehmung einer Bedrohung ausnutzt und mit der daraus resultierenden Angst, Furcht oder dem Schock des Benutzers spielt. Scareware beinhaltet oft eine Popup-Anzeige oder eine Spam-E-Mail-Adresse, die einen Benutzer dazu verleitet, Malware herunterzuladen oder eine infizierte Website zu besuchen.
  • Hetze: Diese Schemata sind auf bösartigen Websites, Social-Networking-Sites oder Okta-Community-to-Okta-Community-Sites zu finden und beinhalten die Verlockung des Benutzers mit etwas Wünschenswertem. Dabei kann es sich um einen neuen Film, neue Musik oder ein schwer zu findendes Produkt handeln. Das Opfer wird den Köder schlucken, auf den bösartigen Link oder die bösartige Website klicken oder versuchen, das Produkt zu kaufen.
  • Pretexting: Ein vorgeschobenes Social-Engineering-Schema verwendet eine überzeugende Geschichte, um ein Opfer davon zu überzeugen, Hilfe anzubieten oder mit den angeforderten Informationen zu antworten. Diese Programme können ein Hilferuf sein und oft um Geld bitten, um einen Freund zu retten, der inhaftiert wurde oder Schlimmeres. Sie können auch humanitäre Bemühungen, Wohltätigkeitsorganisationen, Fundraising oder Hilfe bei Naturkatastrophen umfassen. 

Diese Nachrichten stammen in der Regel aus Quellen, denen der Benutzer vertraut und die aus einem seriösen Hintergrund zu stammen scheinen. Sie können auch von jemandem stammen, der sich als Ihr Arbeitgeber ausgibt.

Pretexting-Systeme können behaupten, dass Sie ein Gewinner sind, und Sie auffordern, Ihre Bankdaten anzugeben, damit sie Ihnen Ihre Einnahmen auszahlen können. Diese Schemata können sehr aufwendig sein, mit Nachrichten, die aussehen, als kämen sie von Ihrer Bank oder Institution, bis hin zu den richtigen Logos.

Ein Pretexting-Schema kann Ihnen mitteilen, dass es ein Problem gibt, das Sie beheben müssen, indem Sie auf den einbettenden Link klicken und die angeforderten Informationen bereitstellen, wodurch der Angreifer Zugriff auf Ihre personenbezogenen Daten und damit auf Ihr Konto und/oder Gerät erhält.

  • Tailgating: Auch Piggybacking genannt. Diese Form eines Social-Engineering-Angriffs tritt auf, wenn eine Person ohne die richtige Authentifizierung oder Freigabe jemandem folgt, der über den entsprechenden autorisierten Zugriff verfügt. Dadurch können Angreifer Zugang zu physischen Orten erhalten, die oft mit einer Smartcard oder einem Token geschützt sind, indem sie einfach hinter jemandem hineingehen, der eine solche Karte besitzt.
  • Gegenleistung: Das bedeutet "etwas für etwas". Bei einer Quid-pro-quo-Attacke manipuliert der Angreifer das Opfer dazu, sensible Informationen preiszugeben, indem er ihm eine Gegenleistung anbietet. Dies ist häufig in der Form einer Dienstleistung oder eines Gewinns enthalten, die der Angreifer verspricht, wenn das Opfer die angeforderten sensiblen Informationen zuerst preisgibt. 

Best Practices zur Verhinderung von Social-Engineering-Angriffen

Um Social-Engineering-Angriffe zu verhindern, ist es hilfreich, sich der Taktiken der Betrüger bewusst zu sein. Mitarbeiter sollten an einer Schulung zur Cybersicherheit teilnehmen, um gängige Cyberangriffe und deren Entstehung zu verstehen.

Es ist wichtig, sich daran zu erinnern, dass fast alle Cyberangriffe (99 Prozent) auf menschliches Zutun beruhen. Phishing und E-Mail-Adressen-Betrug sind gängige Methoden, um einen Social-Engineering-Angriff zu starten. 

Hier sind einige Dinge, die Sie sich merken sollten:

  • Öffnen Sie keine verdächtigen Anhänge. Cyberkriminelle versenden Malware oft in E-Mail-Adress-Anhängen.
  • Überprüfen Sie die E-Mail-Adresse des Absenders sorgfältig. Angreifer geben sich in der Regel als seriöse Unternehmen oder Unternehmen aus, aber die E-Mail-Adresse ist in der Regel um einige Zeichen falsch.
  • Hüten Sie sich vor bösartigen Websites und Spoofing-Hyperlinks. Geben Sie die URL der Website immer direkt ein, anstatt auf einen einbetten Link zu klicken. Wenn Sie den Mauszeiger über den Hyperlink bewegen und der URL nicht mit dem Text übereinstimmt, könnte es sich um Spoofing handeln. 
  • Lass dir Zeit. Angreifer versuchen oft, Benutzer zum Handeln zu bewegen, ohne dabei ein Gefühl der Dringlichkeit oder drohenden Bedrohung zu beanspruchen. Verlangsamen Sie und überprüfen Sie die Informationen trotz aller Verkaufstaktiken mit hohem Druck sorgfältig.
  • Achten Sie auf Rechtschreibfehler, schlechte Grammatik und seltsame Layouts. Bei seriösen Unternehmen kommt es selten zu Grammatik-, Satzbau- oder Rechtschreibfehlern, bei betrügerischen E-Mail-Adressen ist dies jedoch häufig der Fall.
  • Achten Sie auf allgemeine Begrüßungen und/oder Unterschriften. Betrüger spammen häufig mehrere Konten gleichzeitig mit derselben Nachricht zu, während eine legitime Nachricht von einem Unternehmen Sie eher mit Namen begrüßt und die E-Mail-Adresse mit den Kontaktinformationen unterschreibt.
  • Wenn Sie sich nicht sicher sind, ob die E-Mail-Adresse legitim ist, wenden Sie sich direkt an ein Unternehmen. Suchen Sie nach den Kontaktinformationen des Unternehmens, von dem Sie wissen, dass es seriös ist, anstatt die Angebote einer verdächtigen E-Mail-Adresse oder Website zu verwenden.
  • Vorsicht vor verdächtigen Downloads. Achten Sie darauf, dass Sie nichts herunterladen, von dem Sie nicht sicher wissen, dass es von einer vertrauenswürdigen Quelle stammt. Sie können die Nachricht jederzeit an Ihre IT Abteilung melden, um sicherzustellen, dass die IT-Abteilung sicher ist, bevor Sie sie herunterladen.
  • Vorsicht vor unerwünschten E-Mail-Adressen. Wenn Sie eine E-Mail-Adresse erhalten, die eine Frage beantwortet, die Sie nicht gestellt haben, oder Dienste anbietet, die Sie nicht angefordert haben, prüfen Sie dies gründlich. Recherchieren Sie selbst, auch wenn die Informationen scheinbar von einem Unternehmen stammen, das Sie kennen und nutzen.
  • Seien Sie sich bewusst, dass ausländische Angebote betrügerisch sind. Jedes Angebot oder jede Forderung eines ausländischen Unternehmens ist betrügerisch, und Sie sollten nicht an die IT antworten. 
  • Reagieren Sie nicht auf E-Mail-Adressen oder Anfragen nach persönlichen Informationen oder solchen, die Hilfe anbieten oder um Hilfe bitten. Dabei handelt es sich um Betrügereien, die darauf abzielen, Ihre Identität und/oder Ihr Geld zu stehlen.
  • Hüten Sie sich vor verdächtigen Anrufen oder Textnachrichten. Klicken Sie nicht auf Links und rufen Sie diese Nummern nicht zurück. Überprüfen Sie die Identität einer Person oder eines Unternehmens, bevor Sie personenbezogene Daten preisgeben. 

Darüber hinaus sollten Sie darauf achten, Ihr Gerät und Ihr Netzwerk zu schützen. Verwenden Sie Antivirensoftware, Firewall und Spam-Filter und halten Sie alle Ihre Cybersicherheitsfunktionen auf dem neuesten Stand. Verwenden Sie MFA (Multi-Faktor-Authentifizierung), um Ihr Konto zu schützen, da dies einen zusätzlichen Authentifizierungsfaktor neben einem Benutzernamen und einem Passwort erfordert, was das Hacken der IT erschwert. 

Geben Sie keine sensiblen Informationen in einer E-Mail-Adresse oder über ungesicherte Websites weiter. Überprüfen Sie die URL auf "HTTPS" statt nur auf "HTTP", da dies auf ein höheres Sicherheitsniveau hinweist.

Wenn Sie glauben, Opfer eines Social-Engineering-Angriffs geworden zu sein, melden Sie dies umgehend Ihrem Unternehmen. Wenn Sie glauben, dass Ihr Finanzkonto kompromittiert wurde, melden Sie dies umgehend Ihrem Finanzinstitut. Ändern Sie alle Passwörter für das Konto, die möglicherweise kompromittieren. Erstatten Sie gegebenenfalls Anzeige bei der Polizei und melden Sie Identitätsbetrug der Federal Trade Commission (FTC).

Key Erkenntnis

Social Engineering basiert auf menschlichen Interaktionen und psychologischer Manipulation, um einen Cyberangriff einzuleiten. Zu den gängigen Formen von Social-Engineering-Angriffen zählen Phishing, Baiting, Smishing und Vishing. 

Social-Engineering-Angriffe werden häufig durch Spam-E-Mail-Adressen, Telefonanrufe oder Textnachrichten initiiert. Sie fordern Einzelpersonen oft auf, auf einen einbettenden Link zu klicken, einen Anhang herunterzuladen oder auf die Nachricht mit persönlichen Informationen zu antworten. 

Diese Angriffsversuche sind häufig äußerst ausgeklügelt und können scheinbar aus legitimen Quellen stammen. 

Ein Social-Engineering-Angriff ist ein Versuch, einen Benutzer dazu zu bringen, persönliche oder vertrauliche Informationen preiszugeben, die dann zum Zwecke des Betrugs oder der Störung verwendet werden können. Angreifer können Social-Engineering-Angriffe nutzen, um Anmeldedaten zu stehlen, sich in ein Finanzkonto zu hacken, um Geld zu stehlen, oder den Geschäftsbetrieb zu stören. 

Um sich vor einem Social-Engineering-Angriff zu schützen, sollten Sie wachsam bleiben und auf verdächtige E-Mail-Adressen, Telefonanrufe und Textnachrichten achten. Klicken Sie nicht auf verdächtige Links, laden Sie keine Anhänge herunter, rufen Sie keine Telefonnummern zurück und antworten Sie nicht auf E-Mail-Adressen mit persönlichen Informationen. Recherchieren Sie und stellen Sie sicher, dass die Nachricht, auf die Sie antworten, legitim ist und überprüft wurde, bevor Sie mit der IT interagieren. 

Social Engineering Angriffe sind einer der häufigsten Angriffspunkte für Angreifer und können mit guter Cyberhygiene und Verhaltensweisen verhindert werden. 

Referenzen

Cyber Security Statistics 2021 Die ultimative Liste von Statistiken, Daten und Trends. PurpleSec.

Bericht über Trends bei Phishing-Aktivitäten. (Februar 2022). APWG.

Cybersicherheit: 99% der Angriffe auf E-Mail-Adressen beruhen darauf, dass Benutzer auf Links klicken. (September 2019). ZDNet.

Cybersicherheit für kleine Unternehmen. Federal Trade Commission (FTC).

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt