Infomaterial Download

SOCIAL ENGINEERING

Die meisten Betrugsarten zielen darauf ab, durch Social Engineering Taktiken Emotionen zu wecken und logische Entscheidungen zu erschweren. Neben falschen Liebesversprechen ist das Ausnutzen von Empathie durch gefälschte Spendenaktionen ein weiteres berühmtes Beispiel. Bei dieser Internet-Betrugsmasche starten Kriminelle eine Online-Spendenaktion und hinterlegen sie mit einer rührseligen Geschichte. Das gespendete Geld behalten sie dann natürlich selbst.

Social Engineering nimmt in fast jeder Form von Betrug eine entscheidende Rolle ein. Auf der Grundlage von glaubwürdigen Behauptungen verwenden Kriminelle eine Reihe von sozialen Interaktionen, um Opfern Geld zu entwenden oder andere Wirtschaftsdelikte zu begehen. Da Social Engineering in der Regel versucht, Menschen unvorbereitet zu erwischen, ist Aufmerksamkeit die beste Form der Prävention. Dieser Artikel gibt dir alle wichtigen Informationen über Social Engineering, damit du dich sowohl online als auch offline schützen kannst.

Was ist Social Engineering?

Mit Social Engineering können Kriminelle vertrauliche Informationen entwenden, ohne komplexe Sicherheitssysteme zu hacken. Dabei setzen sie eine Reihe von manipulativen Verfahren ein, um Vertrauen aufzubauen und ahnungslose Personen zu betrügen. Bei diesen Verfahren werden Aspekte der menschlichen Psychologie genutzt, um den Entscheidungsfindungsprozess zu „manipulieren“ und die Opfer unter Druck zu setzen, damit sie Informationen freiwillig herausgeben, ohne dabei die drohende Gefahr zu erkennen.Im Social Engineering wird zunächst eine überzeugende Geschichte aufgebaut, damit sich die Opfer in einem falschen Gefühl von Sicherheit wähnen. Dabei geben sich die Täter unter Umständen als Autoritätsperson aus, also zum Beispiel als Polizist oder Regierungsbeamter. Vor den Zeiten des Internets wurde Social Engineering meist in Form von direkter persönlicher Interaktion betrieben – wie in Hollywood-Filmen, in denen sich Betrüger mit Charme und Witz Zugang zu Hochsicherheitsgebäuden verschaffen. Nicht alle Akteure im Social Engineering kommen jedoch so freundlich daher. Viele von ihnen entscheiden sich für aggressive und manchmal auch bedrohliche Vorgehensweisen, da sich diese unter Zeitdruck als sehr effektiv erweisen können.In der heutigen Zeit ist Social Engineering im Internet zu einer ernsthaften Bedrohung geworden. Es ist einfacher, eine scheinbar offizielle E-Mail zu versenden oder jemanden dazu zu verleiten, auf einen Link zu klicken, als eine offizielle Uniform zu tragen oder zu versuchen, sich körperlich Zugang zu einem geschützten Bereich zu verschaffen. Bei Angriffen online sind die Risiken viel tiefer als bei Methoden, bei denen man persönlich präsent sein muss.Unabhängig von den eingesetzten Verfahren zielt Social Engineering immer darauf ab, Zugang zu etwas zu gewinnen, mit dem man sich persönlich bereichern kann – in der Regel finanziell.

Social-Engineering-Methoden

Wie läuft das Ganze konkret ab? Im Folgenden haben wir die häufigsten Angriffsarten aufgeführt, auf die du achten solltest, wenn du online unterwegs bist.

Pretexting (“Vorwand”)

Mit dieser Taktik werden potenzielle Opfer zur Preisgabe vertraulicher persönlicher Informationen gedrängt. Dafür wird ein Gefühl der Dringlichkeit erzeugt, das Opfer dazu nötigt, bestimmten Forderungen innerhalb eines gewissen Zeitrahmens nachzukommen. Manchmal fordern sie nicht immer sofort Informationen an: Geübte Akteure im Bereich Social Engineering lassen etwas Zeit verstreichen, um Vertrauen aufzubauen.In den meisten Fällen gibt es noch keine Möglichkeit, diese Art von Social Engineering vorauszusehen oder sie zu identifizieren. Du solltest dir jedoch bewusst sein, dass du immer das Recht hast, die Identität von Personen in Frage zu stellen, die sich als Organisationen jeglicher Art ausgeben.

Baiting (“Ködern“)

Beim Ködern werden Menschen mit einem falschen Versprechen von einem unwiderstehlichen Angebot in eine Falle gelockt. Online-Köder werden oft in Form von verführerischer Werbung oder Angeboten ausgelegt, die zu gut sind, um wahr zu sein. Zum Beispiel ein Link, mit dem du den neuesten Hollywood-Blockbuster kostenlos herunterladen kannst, oder ein blinkendes Pop-up-Banner, auf dem behauptet wird, du hättest einen Geldpreis gewonnen.

Phishing

Phishing ist eine der gängigsten Betrugsarten, mit denen man heutzutage online in Berührung kommt. Der Erfolg des Betrugs hängt in hohem Maße von Social-Engineering-Strategien ab. Einem Phishing-Versuch kann ein vorgetäuschtes Szenario vorausgehen oder sogar folgen.

Gegenleistung („quid pro quo“)

Bei dieser Methode verleiten Kriminelle ihre Opfer dazu, vertrauliche Informationen auszuhändigen und versprechen im Austausch eine Gegenleistung, entweder eine Dienstleistung oder Materielles. Eine gängige Methode ist die Kontaktaufnahme durch eine Person, die sich als Mitarbeiter eines technischen Kundendienstes ausgibt. Die Person gibt dann vor, dass sie gebeten wurde, ein Problem zu beheben. Mit etwas Glück erwischen sie tatsächlich jemanden, der mit technischen Problemen zu kämpfen hat, greifen auf dessen Computer zu und stehlen persönliche Informationen.

E-Mail-Hacking und Kontakt-Spam

Kann man sich eine bessere Form der sozialen Interaktion vorstellen als eine Nachricht, die dem Anschein nach von einem engen Freund stammt? Dies ist tatsächlich eine beliebte Methode für Betrüger, mit der E-Mail-Konten gehackt und dann Spam-Nachrichten an die Kontaktliste einer Person gesendet werden. Solche Nachrichten enthalten in der Regel eine auffällige Betreffzeile wie „Schau dir mal diese coole Website an!“ oder verweisen auf angeblich beliebte Social-Media-Plattformen. Wenn der Empfänger davon ausgeht, dass die E-Mail von einem Freund versendet wurde, wird er dem Link vermutlich begeistert folgen. Doch anstatt ein lustiges Meme oder ein fragwürdiges Foto auf Facebook vorzufinden, wird man auf eine betrügerische Website umgeleitet. Auch in diesem Fall können von der Zielseite persönliche Daten gestohlen oder bösartige Software heruntergeladen werden.

Beispiele für Social Engineering

Social Engineering kann ganz unterschiedlich aussehen. Was die Kreativität angeht, sind Hackern bei ihren Täuschungsversuchen keine Grenzen gesetzt. Nachfolgend haben wir einige konkrete Beispiele für Social Engineering aus dem echten Leben aufgeführt, um dir eine klare Vorstellung davon zu vermitteln, worauf du achten solltest:

• Baiting: Lokale und staatliche Behörden in den Vereinigten Staaten wurden 2018 geködert. Sie erhielten altmodische Umschläge, frankiert von der chinesischen Post, mit einem Brief und einer CD-Rom. Auf den CDs waren neben harmlos erscheinenden Dokumenten schädliche Viren versteckt.
• Pretexting: In einem Bericht von Verizon aus dem Jahr 2019 kam heraus, dass sich Kriminelle oft als Mitarbeiter ausgeben, um Opfer zu täuschen – zum Beispiel durch Nachahmung der Personal- oder Finanzabteilung eines Unternehmens.
• Phishing: Im Jahr 2020 wurden im Rahmen einer Phishing-Kampagne Massen-E-Mails versendet, die angeblich von der Weltgesundheitsorganisation (WHO) stammten. Darin waren Falschinformationen über Präventionsmaßnahmen gegen die Ausbreitung des Coronavirus enthalten. Wenn Opfer versuchten, das beigefügte Dokument herunterzuladen, wurden sie auf eine betrügerische Website umgeleitet.
• Gegenleistung („quid pro quo“): Eine groß angelegte Studie der Universität Luxemburg zum Thema Social Engineering aus dem Jahr 2016 ergab, dass die Wahrscheinlichkeit, dass Menschen ihr Passwort weitergeben, deutlich höher ist, wenn sie ein kleines Geschenk erhalten. Die Effektivität dieses Verfahrens lässt sich mit der Ausnutzung der Reziprozität erklären, dem psychologischen Konzept für die Verpflichtung, die Menschen empfinden, Gefälligkeiten zu erwidern. Es ist sogar so effektiv, dass sich Teilnehmer mit einem Stück Schokolade zum Herausgeben von Informationen verleiten ließen!

Wie kann ich mich schützen?

Zum Glück sehen die Gegenmaßnahmen beim Social Engineering trotz unterschiedlicher Betrugsstrategien meist gleich aus. Die Wachsamkeit ist von entscheidender Bedeutung, ebenso wie der Umgang mit sämtlichen Formen der Kontaktaufnahme von unbekannten Absendern, die verdächtig erscheinen. Weitere Möglichkeiten, dich selbst zu schützen, findest du im Folgenden.

• Du solltest immer die Herkunft von E-Mails hinterfragen, die dich um etwas bitten. Achte dabei besonders auf die Informationen zum Absender und auf eventuelle URLs.
• Auch wenn eine Nachricht dringend wirkt, solltest du dir Zeit nehmen und dich nicht unter Druck setzen lassen. Die Täter setzen nämlich genau darauf, dass Menschen zuerst handeln und erst später nachdenken.
• Wenn ein Angebot – egal ob online oder offline – zu gut erscheint, um wahr zu sein, ist das wahrscheinlich auch der Fall. Bleib wachsam.
• Schütze deine Geräte mit einem echten, anerkannten Virenschutz oder einer Firewall.
• Nutze die Multi-Faktor-Authentifizierung (auch bekannt als 2-Faktor-Authentifizierung oder „2FA“), die dein Smartphone oder ein anderes Gerät und ein zusätzliches Kennwort verwendet, um auf deine Konten zuzugreifen.
• Überprüfe Links, die du per E-Mail erhältst, immer zweimal. Besuche im Zweifelsfall die Website direkt, indem du die Adresse in deinen Browser eingibst.
• Lade keine Dateien herunter, gib keine persönlichen Informationen weiter und klicke nicht auf Links von unbekannten Absendern.

Wie wir am Anfang des Artikels erwähnt haben, ist Aufmerksamkeit die wichtigste Verteidigungsform gegen Social Engineering. Kriminelle zielen darauf ab, dich auf kaltem Fuß zu erwischen. Mit diesen Infos kannst du dir aber sicher sein, dass du den Betrügern immer einen Schritt voraus bist.

Quelle: https://n26.com/de-de/blog/wie-du-dich-gegen-social-engineering-schuetzt