Cyberkriminelle „Social Engineering“ ist eine Taktik, die im Kern einem Benutzer obliegt, indem sie eine falsche Erzählung erstellt, die die Glaubwürdigkeit, Gier, Neugier oder andere sehr menschliche Merkmale des Opfers ausnutzt. Das Endergebnis ist, dass das Opfer dem Angreifer willentlich private Informationen weitergibt – ob persönlich (z. B. Name, E-Mail), finanziell (z. B. Kreditkartennummer, Krypto-Wallet) oder durch versehentliche Installation von Malware/Backdoors auf seinem eigenen System.
Moderne Angriffe können wir je nach Ziel in zwei sehr breite Kategorien einteilen: Entweder greifen sie die Maschine an oder sie greifen den Benutzer an. „Attacking the Machine“ begann 1996 mit Schwachstellen-Exploiting-Angriffen mit dem bahnbrechenden Artikel „Smashing the Stack for Fun and Profit“. Der „Angriff auf den Menschen“ (Social Engineering) war jedoch – und ist immer noch – überwiegend weit verbreiteter. Alle bekannten nichtvulnerabilitätsbasierten Angriffe haben ein Social Engineering-Element, bei dem der Angreifer versucht, das Opfer davon zu überzeugen, etwas zu tun, das ihnen am Ende aufdringlich wird.
Obwohl es sich nicht um eine vollständige Liste handelt, sind die folgenden wichtigen Social Engineering-Angriffe zu beachten:
Phishing ist eine der häufigsten Arten von Social Engineering-Angriffen. Es verwendet E-Mail- und Textnachrichten, um Opfer dazu zu bewegen, auf bösartige Anhänge oder Links zu schädlichen Websites zu klicken.
Dieser Angriff nutzt ein falsches Versprechen, um ein Opfer über Gier oder Interesse zu locken. Opfer werden in eine Falle gelockt, die ihre sensiblen Informationen gefährdet oder ihre Geräte infiziert. Ein Beispiel wäre, ein Malware-infiziertes Flash-Laufwerk an einem öffentlichen Ort zu lassen. Das Opfer interessiert sich möglicherweise für seine Inhalte und fügt sie in sein Gerät ein – und installiert die Malware unwissentlich.
Bei diesem Angriff liegt ein Schauspieler bei einem anderen, um Zugriff auf Daten zu erhalten. Zum Beispiel kann ein Angreifer vorgeben, finanzielle oder personenbezogene Daten zu benötigen, um die Identität des Empfängers zu bestätigen.
Bei Scareware haben Opfer Angst vor falschen Alarmen und Bedrohungen. Anwender könnten täuschen, dass ihr System mit Malware infiziert ist. Sie installieren dann den vorgeschlagenen Software-Fix – diese Software kann jedoch die Malware selbst sein, z. B. ein Virus oder Spyware. Häufige Beispiele sind Pop-up-Banner, die in Ihrem Browser erscheinen und Text wie „Ihr Computer ist möglicherweise infiziert.“ anzeigen. Es bietet Ihnen die Installation der Lösung an oder leitet Sie zu einer bösartigen Website weiter.
Beim Spear-Phishing richtet sich der Angriff richtet sich speziell an eine bestimmte Person oder Organisation. In ähnlicher Weise zielen Whaling-angriffe auf hochkarätige Mitarbeiter wie CEOs und Direktoren ab.
Das Tailgating wird auch als „Higgybacking“ bezeichnet und bezeichnet, wenn ein Angreifer in ein sicheres Gebäude oder eine sichere Büroabteilung geht, indem er jemandem mit einer Zugangskarte folgt. Dieser Angriff geht davon aus, dass andere davon ausgehen, dass der Angreifer dort sein darf.
KI-basierte Betrugsversuche nutzen künstliche Intelligenztechnologie, um Opfer zu täuschen. Hier sind die gängigen Typen:
Da diese Angriffe in vielen verschiedenen Formen und Größen auftreten – und auf menschliche Fallibilität angewiesen sind – kann es sehr schwierig sein, Social Engineering-Angriffe zu identifizieren. Dennoch sollten Sie, wenn Sie auf einen der folgenden Punkte stoßen, gewarnt werden, dass dies wichtige Warnsignale sind, und darauf hinweisen, dass ein Social Engineering-Angriff beginnt:
Die größte Rüstung, die man gegen Social Engineering-Taktiken einsetzen kann, die heutzutage bei Online-Kruppen eingesetzt werden, besteht darin, gut informiert über die vielen Möglichkeiten zu sein, wie Cyberkriminelle Ihre Social-Media-Schwachstelle nutzen können. Die Herausforderung von Cyberkriminellen besteht nicht nur darin, Spamming, Phishing-Angriffen und Malware-Infektionen zu befallen, sondern auch darin, Ihre Daten genau zu erfassen und zu verstehen.
Abgesehen von den oben genannten Warnsignalen sind die folgenden bewährten Verfahren zu befolgen:
Cyberkriminelle haben ihre Methoden, sensible Informationen von Online-Nutzern zu erhalten, erheblich verbessert, um Geldgewinne zu erzielen.
Erfahren Sie hier mehr darüber.
Die Nachrichten über den nicht rechtzeitigen Tod von Robin Williams am 12. August 2014 waren für Menschen auf der ganzen Welt ein Schock. Während Nachrichten über seinen Tod wie Wildfire unter Netizens verbreiteten, setzten Spammer und Cyberkriminelle Spamming-E-Mails ein, in denen der Name des Schauspielers im E-Mail-Betreff erwähnt wurde. Die Spam-Mail fordert die Empfänger auf, ein „schockierendes“ Video über Williams Tod herunterzuladen. Wenn Sie jedoch auf den Videolink klicken, wird stattdessen eine ausführbare Datei heruntergeladen, die als WORM_GAMARUE.WSTQ erkannt wurde.
Erfahren Sie hier mehr darüber.
Als Nachrichten über die Ebola-Pandemie das Internet überfluteten, nutzten Cyberkriminelle die Möglichkeit, die weit verbreiteten Berichte als Köder zu nutzen, um ahnungslose Opfer zu verlocken, gefälschte E-Mails zu öffnen. Diese E-Mails führen letztendlich zu Phishing-Versuchen, bei denen die Informationen und Anmeldedaten des Opfers gestohlen werden.
Erfahren Sie hier mehr darüber.
Wir können jede Social Engineering-Interaktion dekonstruieren und auf die folgenden Elemente reduzieren:
Lassen Sie uns ein gemeinsames Beispiel verwenden, mit dem Sie wahrscheinlich vertraut sind – den stereotypischen E-Mail-Betrug:
Abbildung 1. Medium, Lüge und Frage eines Social Engineering-Angriffs
Seit 2024 erreichen Kriminelle ihre Opfer über alle Arten von Netzwerkfähigkeiten. Sie verwenden auch erfundene Geschichten als Teil ihrer Social Engineering-Tricks. Ihre Ziele sind in der Regel die gleichen, wie z. B. die Offenlegung des Passworts, die Installation von Malware oder die Weitergabe personenbezogener Daten.
Im Laufe der Jahre haben wir eine Vielzahl verschiedener Grundstücke im Bereich Social Engineering gesehen, und es würde Ihnen verzeihen, zu denken, dass alle Ideen bereits verwendet worden sind. Doch Angreifer entwickeln jedes Jahr neue Social Engineering-Tricks. In diesem Teil werden wir neue Social Engineering-Verbesserungen untersuchen, die Angreifer in Zukunft für Anwender nutzen könnten. Wenn Angreifer das Medium, die Lüge oder die Frage ändern, können sie ganz einfach neue und innovative Helden finden, um ihre Opfer zu täuschen.
Welche neuen Elemente können wir erwarten? Welche neuen Änderungen am alten Schema können wir erwarten? Wie werden sich neue Technologien auf diese auswirken?
Mit der Entwicklung neuer Technologien erhalten Angreifer mehr Möglichkeiten, ihre potenziellen Opfer zu erreichen. Dazu gehören KI-Tools, VR-Geräte wie Apple Vision Pro, die Humane-Pin, Ray-Ban-Brillen oder alle neuen Geräte, die Nutzer in Zukunft verwenden könnten.
Jedes Jahr kommen neue Geräte auf den Markt, und dies erweitert die Angriffsfläche auf Cyberkriminelle. Wearables sind besonders interessant, da sie immer eingeschaltet sind und von ihrem Benutzer voll vertraut werden. Jeder Einsatz, der ein Wearable betrifft, hat eine höhere Wahrscheinlichkeit, geglaubt und vertrauenswürdig zu werden. Es besteht die Möglichkeit, dass der Angreifer Zugriff auf das tragbare Gerät erhält. Oft sind sie nicht darauf ausgelegt, Sicherheitstools bereitzustellen oder sich selbst regelmäßig zu authentifizieren, und umgehen oft normale Sicherheitskontrollen.
Abbildung 2. Ein potenzielles Szenario von Wearables als Medium für Social Engineering-Angriffe
KI-Chatbots könnten auch als Fahrzeug verwendet werden, um den Benutzer zu erreichen. Die Idee dieses Angriffs ist es, dem Chatbot falsche Informationen zuzuführen, um den Benutzer zu manipulieren und Maßnahmen zu ergreifen. Die Vergiftung der Chatbot-Daten kann auf verschiedene Weise erfolgen, einschließlich der Eingabe von schlechten Informationen, der Entführung von Trainingsdaten oder der Eingabe neuer Befehle.
Eine neue Möglichkeit, das klassische Medium für E-Mail und Instant Message (IM) zu verwenden, wäre die Verwendung eines Bots, der auf einem großen Sprachmodell (LLM) basiert, um die Effektivität eines BEC-Angriffs zu erhöhen. Der Bedrohungsakteur könnte den LLM-Bot verwenden, um alle früheren Nachrichtenhistorien zwischen dem Opfer und dem CEO zusammenzustellen. Dann könnte der Bot einen Thread in diesem vertrauenswürdigen Kanal fortsetzen, als ob er der CEO wäre, der den Schreibstil des CEO verwendet, um das Opfer davon zu überzeugen, das Geld zu überweisen. Dies geschieht bereits manuell, aber das Potenzial, dass dieser Angriff mit KI automatisiert werden kann, kann nicht ignoriert werden.
Die wichtigste Innovation, die sozial entwickelte Lügen fördert, ist KI. Die eigentliche Lüge in einer Social Engineering-Geschichte wird je nach Saison, Land und demografischer Gruppe variieren, um nur einige zu nennen. Dies kann sich jedoch aufgrund der Skalierbarkeit und Flexibilität, die KI bietet, sehr schnell ändern. Generative KI (GenAI) zeichnet sich durch Bild-, Audio- und Videogenerierung aus. Für Text zeichnet es sich sowohl bei der Erstellung glaubwürdiger Inhalte als auch bei der schnellen Verarbeitung großer Textmengen aus. Diese neue Skalierbarkeit eröffnet viele neue Entwicklungen für den „Lüge“-Aspekt des Social Engineering.
Ein neues Thema, mit dem Angreifer Lügen erstellen können, ist die KI-Technologie selbst. Zum Beispiel kann das Basteln über ChatGPT oder VR aufgrund des Interesses, das sie generieren, effektiv sein. Darüber hinaus können Angreifer gefälschte KI-bezogene Tools erstellen, die tatsächlich Malware sind. Grafikdesigner sind im Allgemeinen neugierig auf die Erstellung von Deepfake-Bildern und Videos. Ein Tool, das der Angreifer anbieten kann, um dies zu erleichtern, würde wahrscheinlich heruntergeladen und stattdessen ausgeführt werden. Ebenso kann die Einbindung von Deepfake-Bildern und Videos in bestehende erfolgreiche Betrugsversuche ihnen mehr Glaubwürdigkeit verleihen. Diese Strategie nimmt in der aktuellen Bedrohungslandschaft deutlich zu. Wir glauben, dass Deepfakes das Potenzial haben, bei Social-Engineering-Betrug sehr disruptiv zu sein, und dass Angreifer sie in naher Zukunft umfassend einsetzen werden.
Abbildung 3. Wie Anruf- und Sprachbetrug durch Deepfakes verbessert werden kann