Was ist Social Engineering? 

Social Engineering Bedeutung 

Cyberkriminelle „Social Engineering“ ist eine Taktik, die im Kern einem Benutzer obliegt, indem sie eine falsche Erzählung erstellt, die die Glaubwürdigkeit, Gier, Neugier oder andere sehr menschliche Merkmale des Opfers ausnutzt. Das Endergebnis ist, dass das Opfer dem Angreifer willentlich private Informationen weitergibt – ob persönlich (z. B. Name, E-Mail), finanziell (z. B. Kreditkartennummer, Krypto-Wallet) oder durch versehentliche Installation von Malware/Backdoors auf seinem eigenen System. 

Moderne Angriffe können wir je nach Ziel in zwei sehr breite Kategorien einteilen: Entweder greifen sie die Maschine an oder sie greifen den Benutzer an. „Attacking the Machine“ begann 1996 mit Schwachstellen-Exploiting-Angriffen mit dem bahnbrechenden Artikel „Smashing the Stack for Fun and Profit“. Der „Angriff auf den Menschen“ (Social Engineering) war jedoch – und ist immer noch – überwiegend weit verbreiteter. Alle bekannten nichtvulnerabilitätsbasierten Angriffe haben ein Social Engineering-Element, bei dem der Angreifer versucht, das Opfer davon zu überzeugen, etwas zu tun, das ihnen am Ende aufdringlich wird. 

Arten von Social Engineering-Angriffen 

Obwohl es sich nicht um eine vollständige Liste handelt, sind die folgenden wichtigen Social Engineering-Angriffe zu beachten: 

Phishing

Phishing ist eine der häufigsten Arten von Social Engineering-Angriffen. Es verwendet E-Mail- und Textnachrichten, um Opfer dazu zu bewegen, auf bösartige Anhänge oder Links zu schädlichen Websites zu klicken. 

Ködern 

Dieser Angriff nutzt ein falsches Versprechen, um ein Opfer über Gier oder Interesse zu locken. Opfer werden in eine Falle gelockt, die ihre sensiblen Informationen gefährdet oder ihre Geräte infiziert. Ein Beispiel wäre, ein Malware-infiziertes Flash-Laufwerk an einem öffentlichen Ort zu lassen. Das Opfer interessiert sich möglicherweise für seine Inhalte und fügt sie in sein Gerät ein – und installiert die Malware unwissentlich. 

Vortexting 

Bei diesem Angriff liegt ein Schauspieler bei einem anderen, um Zugriff auf Daten zu erhalten. Zum Beispiel kann ein Angreifer vorgeben, finanzielle oder personenbezogene Daten zu benötigen, um die Identität des Empfängers zu bestätigen. 

Scareware

Bei Scareware haben Opfer Angst vor falschen Alarmen und Bedrohungen. Anwender könnten täuschen, dass ihr System mit Malware infiziert ist. Sie installieren dann den vorgeschlagenen Software-Fix – diese Software kann jedoch die Malware selbst sein, z. B. ein Virus oder Spyware. Häufige Beispiele sind Pop-up-Banner, die in Ihrem Browser erscheinen und Text wie „Ihr Computer ist möglicherweise infiziert.“ anzeigen. Es bietet Ihnen die Installation der Lösung an oder leitet Sie zu einer bösartigen Website weiter. 

Spear Phishing und Whaling

Beim Spear-Phishing richtet sich der Angriff richtet sich speziell an eine bestimmte Person oder Organisation. In ähnlicher Weise zielen Whaling-angriffe auf hochkarätige Mitarbeiter wie CEOs und Direktoren ab.

Tailgating

Das Tailgating wird auch als „Higgybacking“ bezeichnet und bezeichnet, wenn ein Angreifer in ein sicheres Gebäude oder eine sichere Büroabteilung geht, indem er jemandem mit einer Zugangskarte folgt. Dieser Angriff geht davon aus, dass andere davon ausgehen, dass der Angreifer dort sein darf. 

KI-basierte Betrugsversuche 

KI-basierte Betrugsversuche nutzen künstliche Intelligenztechnologie, um Opfer zu täuschen. Hier sind die gängigen Typen: 

  • KI-Text-Betrug: Täuschende Textnachrichten, die von KI generiert werden, um Informationen zu verfälschen oder Malware zu verbreiten. 
  • KI-Image-Betrug: Gefälschte Bilder, die mithilfe von KI erstellt wurden, um Einzelpersonen zu manipulieren und zu täuschen. 
  • KI-Sprachbetrug: Betrügerische Sprachnachrichten, die von KI generiert werden, um vertrauenswürdige Entitäten zu imitieren und Opfer zu täuschen. 
  • KI-Video-Betrug: Manipulierte Videos, die mithilfe von KI erstellt wurden, die als Deepfakes bekannt ist und zur Verbreitung von Fehlinformationen oder zum Targeting von Einzelpersonen verwendet werden. 

So erkennen Sie Social Engineering-Angriffe 

Da diese Angriffe in vielen verschiedenen Formen und Größen auftreten – und auf menschliche Fallibilität angewiesen sind – kann es sehr schwierig sein, Social Engineering-Angriffe zu identifizieren. Dennoch sollten Sie, wenn Sie auf einen der folgenden Punkte stoßen, gewarnt werden, dass dies wichtige Warnsignale sind, und darauf hinweisen, dass ein Social Engineering-Angriff beginnt: 

  • Eine unaufgeforderte E-Mail oder SMS von jemandem, den Sie nicht kennen. 
  • Die Botschaft soll sehr dringend sein. 
  • Die Nachricht erfordert, dass Sie auf einen Link klicken oder einen Anhang öffnen. 
  • Die Nachricht enthält viele Tippfehler und Grammatikfehler. 
  • Alternativ erhalten Sie einen Anruf von jemandem, den Sie nicht kennen. 
  • Der Anrufer versucht, persönliche Informationen von Ihnen zu erhalten. 
  • Der Anrufer versucht, Sie dazu zu bringen, etwas herunterzuladen. 
  • Der Anrufer spricht ebenfalls mit einem großen Sinn für Dringlichkeit und/oder Aggression. 

Wie kann Social Engineering-Betrug verhindert werden? 

Die größte Rüstung, die man gegen Social Engineering-Taktiken einsetzen kann, die heutzutage bei Online-Kruppen eingesetzt werden, besteht darin, gut informiert über die vielen Möglichkeiten zu sein, wie Cyberkriminelle Ihre Social-Media-Schwachstelle nutzen können. Die Herausforderung von Cyberkriminellen besteht nicht nur darin, Spamming, Phishing-Angriffen und Malware-Infektionen zu befallen, sondern auch darin, Ihre Daten genau zu erfassen und zu verstehen. 

 Abgesehen von den oben genannten Warnsignalen sind die folgenden bewährten Verfahren zu befolgen: 

  •  Halten Sie Ihr Betriebssystem und Ihre Cybersicherheitssoftware auf dem neuesten Stand. 
  • Verwenden Sie Multifaktor-Authentifizierung und/oder einen Password Manager. 
  • Öffnen Sie keine E-Mails und Anhänge aus unbekannten Quellen. 
  • Stellen Sie Ihre Spamfilter zu hoch ein. 
  • Löschen und ignorieren Sie alle Anfragen nach Finanzinformationen oder Passwörtern. 
  • Wenn Sie während einer Interaktion etwas vermuten, seien Sie ruhig und nehmen Sie die Dinge langsam. 
  • Recherchieren Sie, wenn es um Websites, Unternehmen und Einzelpersonen geht. 
  • Achten Sie darauf, was Sie in sozialen Medien teilen – nutzen Sie Ihre Datenschutzeinstellungen. 
  • Wenn Sie Mitarbeiter eines Unternehmens sind, stellen Sie sicher, dass Sie die Sicherheitsrichtlinien kennen. 

Beispiele für Social Engineering-Angriffe 

Cyberkriminelle haben ihre Methoden, sensible Informationen von Online-Nutzern zu erhalten, erheblich verbessert, um Geldgewinne zu erzielen. 

  • Im Januar beginnen die meisten Länder die Steuersaison, was es zu einem beliebten Ziel für Cyberkriminelle macht, Geld zu verdienen. Dank Social Engineering, einer beliebten Taktik, bei der ein Angriff auf weithin gefeierte Anlässe, beobachtete Feiertage und beliebte Nachrichten zugeschnitten ist, verdienen Cyberkriminelle viel von ihren Opfern. US-Bürger erhielten Spamproben, die versuchten, sich selbst als Nachricht vom US Internal Revenue Service (IRS) weiterzuleiten. 
image

Erfahren Sie hier mehr darüber.

  • Die Nachrichten über den nicht rechtzeitigen Tod von Robin Williams am 12. August 2014 waren für Menschen auf der ganzen Welt ein Schock. Während Nachrichten über seinen Tod wie Wildfire unter Netizens verbreiteten, setzten Spammer und Cyberkriminelle Spamming-E-Mails ein, in denen der Name des Schauspielers im E-Mail-Betreff erwähnt wurde. Die Spam-Mail fordert die Empfänger auf, ein „schockierendes“ Video über Williams Tod herunterzuladen. Wenn Sie jedoch auf den Videolink klicken, wird stattdessen eine ausführbare Datei heruntergeladen, die als WORM_GAMARUE.WSTQ erkannt wurde. 

Erfahren Sie hier mehr darüber.

  • Als Nachrichten über die Ebola-Pandemie das Internet überfluteten, nutzten Cyberkriminelle die Möglichkeit, die weit verbreiteten Berichte als Köder zu nutzen, um ahnungslose Opfer zu verlocken, gefälschte E-Mails zu öffnen. Diese E-Mails führen letztendlich zu Phishing-Versuchen, bei denen die Informationen und Anmeldedaten des Opfers gestohlen werden. 

Erfahren Sie hier mehr darüber.

  • Im Jahr 2008 wurden soziale Angriffe von Cyberkriminellen für Sabotage und Gewinn ausgelöst. Mit identifizierten Zielen richteten sich plattformbasierte Angriffe an Heimbenutzer, kleine Unternehmen und große Organisationen, die den Diebstahl geistigen Eigentums beeinträchtigten, einen großen finanziellen Verlust. Online-Krooks haben vor allem Möglichkeiten entwickelt, Web-Nutzer mithilfe von Social-Networking-Websites wie Facebook und Twitter anzugreifen. 
  • Im Jahr 2008 wurden Facebook-Nutzer zum Ziel für den Wurm-Malware-Angriff auf KOOBFACE. Twitter wurde dann 2009 zu einer Goldmine für Cyberkriminelle und verbreitete bösartige Links, die Trojaner transportieren. 

Die Zukunft von Social Engineering-Angriffen

Wir können jede Social Engineering-Interaktion dekonstruieren und auf die folgenden Elemente reduzieren: 

  • Ein „Medium“, um die Verbindung zum Opfer herzustellen, was per Telefon, E-Mail, sozialem Netzwerk oder Direktnachricht erfolgen kann, um nur einige zu nennen. 
  • Eine „Lüge“, bei der der Angreifer eine Falschheit erstellt, um das Opfer davon zu überzeugen, innerhalb einer bestimmten Zeit Maßnahmen zu ergreifen. Die Lüge hat oft auch ein integriertes Gefühl der Dringlichkeit, wie z. B. eine Zeitbegrenzung. 
  • Eine „Frage“, also die Aktion, die das Opfer ergreifen muss, wie z. B. die Angabe von Anmeldedaten, die Ausführung einer bösartigen Datei, die Investition in ein bestimmtes Kryptoschema oder das Senden von Geld. 

Lassen Sie uns ein gemeinsames Beispiel verwenden, mit dem Sie wahrscheinlich vertraut sind – den stereotypischen E-Mail-Betrug: 

image

Abbildung 1. Medium, Lüge und Frage eines Social Engineering-Angriffs 

Seit 2024 erreichen Kriminelle ihre Opfer über alle Arten von Netzwerkfähigkeiten. Sie verwenden auch erfundene Geschichten als Teil ihrer Social Engineering-Tricks. Ihre Ziele sind in der Regel die gleichen, wie z. B. die Offenlegung des Passworts, die Installation von Malware oder die Weitergabe personenbezogener Daten. 

Im Laufe der Jahre haben wir eine Vielzahl verschiedener Grundstücke im Bereich Social Engineering gesehen, und es würde Ihnen verzeihen, zu denken, dass alle Ideen bereits verwendet worden sind. Doch Angreifer entwickeln jedes Jahr neue Social Engineering-Tricks. In diesem Teil werden wir neue Social Engineering-Verbesserungen untersuchen, die Angreifer in Zukunft für Anwender nutzen könnten. Wenn Angreifer das Medium, die Lüge oder die Frage ändern, können sie ganz einfach neue und innovative Helden finden, um ihre Opfer zu täuschen. 

Welche neuen Elemente können wir erwarten? Welche neuen Änderungen am alten Schema können wir erwarten? Wie werden sich neue Technologien auf diese auswirken? 

Veränderungen im Medium

Mit der Entwicklung neuer Technologien erhalten Angreifer mehr Möglichkeiten, ihre potenziellen Opfer zu erreichen. Dazu gehören KI-Tools, VR-Geräte wie Apple Vision Pro, die Humane-Pin, Ray-Ban-Brillen oder alle neuen Geräte, die Nutzer in Zukunft verwenden könnten. 

Verwendung von Wearables als Medium

Jedes Jahr kommen neue Geräte auf den Markt, und dies erweitert die Angriffsfläche auf Cyberkriminelle. Wearables sind besonders interessant, da sie immer eingeschaltet sind und von ihrem Benutzer voll vertraut werden. Jeder Einsatz, der ein Wearable betrifft, hat eine höhere Wahrscheinlichkeit, geglaubt und vertrauenswürdig zu werden. Es besteht die Möglichkeit, dass der Angreifer Zugriff auf das tragbare Gerät erhält. Oft sind sie nicht darauf ausgelegt, Sicherheitstools bereitzustellen oder sich selbst regelmäßig zu authentifizieren, und umgehen oft normale Sicherheitskontrollen. 

image

Abbildung 2. Ein potenzielles Szenario von Wearables als Medium für Social Engineering-Angriffe 

Chatbots als Medium

KI-Chatbots könnten auch als Fahrzeug verwendet werden, um den Benutzer zu erreichen. Die Idee dieses Angriffs ist es, dem Chatbot falsche Informationen zuzuführen, um den Benutzer zu manipulieren und Maßnahmen zu ergreifen. Die Vergiftung der Chatbot-Daten kann auf verschiedene Weise erfolgen, einschließlich der Eingabe von schlechten Informationen, der Entführung von Trainingsdaten oder der Eingabe neuer Befehle. 

Neue E-Mail-basierte Angriffe

Eine neue Möglichkeit, das klassische Medium für E-Mail und Instant Message (IM) zu verwenden, wäre die Verwendung eines Bots, der auf einem großen Sprachmodell (LLM) basiert, um die Effektivität eines BEC-Angriffs zu erhöhen. Der Bedrohungsakteur könnte den LLM-Bot verwenden, um alle früheren Nachrichtenhistorien zwischen dem Opfer und dem CEO zusammenzustellen. Dann könnte der Bot einen Thread in diesem vertrauenswürdigen Kanal fortsetzen, als ob er der CEO wäre, der den Schreibstil des CEO verwendet, um das Opfer davon zu überzeugen, das Geld zu überweisen. Dies geschieht bereits manuell, aber das Potenzial, dass dieser Angriff mit KI automatisiert werden kann, kann nicht ignoriert werden. 

Verbesserung der Lügen

Die wichtigste Innovation, die sozial entwickelte Lügen fördert, ist KI. Die eigentliche Lüge in einer Social Engineering-Geschichte wird je nach Saison, Land und demografischer Gruppe variieren, um nur einige zu nennen. Dies kann sich jedoch aufgrund der Skalierbarkeit und Flexibilität, die KI bietet, sehr schnell ändern. Generative KI (GenAI) zeichnet sich durch Bild-, Audio- und Videogenerierung aus. Für Text zeichnet es sich sowohl bei der Erstellung glaubwürdiger Inhalte als auch bei der schnellen Verarbeitung großer Textmengen aus. Diese neue Skalierbarkeit eröffnet viele neue Entwicklungen für den „Lüge“-Aspekt des Social Engineering. 

Ein neues Thema, mit dem Angreifer Lügen erstellen können, ist die KI-Technologie selbst. Zum Beispiel kann das Basteln über ChatGPT oder VR aufgrund des Interesses, das sie generieren, effektiv sein. Darüber hinaus können Angreifer gefälschte KI-bezogene Tools erstellen, die tatsächlich Malware sind. Grafikdesigner sind im Allgemeinen neugierig auf die Erstellung von Deepfake-Bildern und Videos. Ein Tool, das der Angreifer anbieten kann, um dies zu erleichtern, würde wahrscheinlich heruntergeladen und stattdessen ausgeführt werden. Ebenso kann die Einbindung von Deepfake-Bildern und Videos in bestehende erfolgreiche Betrugsversuche ihnen mehr Glaubwürdigkeit verleihen. Diese Strategie nimmt in der aktuellen Bedrohungslandschaft deutlich zu. Wir glauben, dass Deepfakes das Potenzial haben, bei Social-Engineering-Betrug sehr disruptiv zu sein, und dass Angreifer sie in naher Zukunft umfassend einsetzen werden. 

image

Abbildung 3. Wie Anruf- und Sprachbetrug durch Deepfakes verbessert werden kann 

Weiterführende Forschung