Ein Social Engineering-Angriff ist eine Taktik, die im Kern einem Benutzer obliegt, indem sie eine falsche Erzählung erstellt, die die Glaubwürdigkeit, Gier, Neugier oder andere sehr menschliche Merkmale des Opfers ausnutzt. Das Endergebnis ist, dass das Opfer dem Angreifer freiwillig private Informationen weitergibt – ob persönlich (z. B. Name, E-Mail), finanziell (z. B. Kreditkartennummer, Krypto-Wallet) oder durch versehentliche Installation von Malware/Backdoors auf seinem eigenen System.
Da Cyberkriminelle immer raffiniertere Taktiken entwickeln, um Einzelpersonen und Mitarbeiter zu täuschen, müssen Unternehmen proaktiv bleiben. In diesem Artikel untersuchen wir zwölf der häufigsten Social Engineering-Angriffe:
Phishing ist eine Art von Cyberangriff, bei dem Cyberkriminelle generische E-Mails verschicken, die vorgeben, legitim zu sein. Diese E-Mails enthalten betrügerische Links, um die privaten Daten der Benutzer zu stehlen. Phishing-Angriffe sind am effektivsten, wenn die Benutzer nicht wissen, dass dies geschieht.
Als Phishing-Angriff bezeichnet man eine Aktion oder eine Reihe von Aktionen, die ein Hacker durchführt, um einen Benutzer zu betrügen. E-Mail-Phishing ist oft leicht anhand von Grammatik- und Rechtschreibfehlern zu erkennen. Die Angriffe werden jedoch ausgefeilter. Neue Attacken haben zum Ziel, menschliche Emotionen auszunutzen, etwa Angst, Entrüstung und Neugier.
Spear-Phishing gilt als eine der gefährlichsten und gezieltesten Formen von Cyberangriffen. Bei herkömmlichen Phishing-Angriffen sollen ahnungslose Opfer durch einen breit gestreuten Angriff geködert werden. Im Gegensatz dazu handelt es sich bei Spear Phishing um eine hochgradig personalisierte und gezielte Form eines Phishing-Angriffs, die auf einen einzelnen Anwender und nicht auf ein Netzwerk abzielt. Angreifer nutzen detaillierte Informationen über ihre Opfer, um überzeugende Nachrichten zu verfassen. Ziel ist es, die Opfer dazu zu verleiten, vertrauliche Informationen preiszugeben oder auf bösartige Links zu klicken.
Dieser Angriff nutzt ein falsches Versprechen, um ein Opfer über Gier oder Interesse zu locken. Opfer werden in eine Falle gelockt, die ihre sensiblen Informationen gefährdet oder ihre Geräte infiziert. Ein Beispiel wäre, ein Malware-infiziertes Flash-Laufwerk an einem öffentlichen Ort zu lassen. Das Opfer interessiert sich möglicherweise für seine Inhalte und fügt sie in sein Gerät ein – und installiert die Malware unwissentlich.
Whaling ist eine spezielle Art von Phishing-Angriff, der sich gegen hochrangige oder prominente Personen in Unternehmen richtet, etwa Führungskräfte, Manager und andere leitende Angestellte. Der Begriff Whaling (dt. Walfang) spiegelt den Fokus des Angriffs auf die „großen Fische“ wider, die über bedeutende Autorität und Zugang zu sensiblen Informationen verfügen. Herkömmliche Phishing-Angriffe zielen auf die durchschnittliche Person ab und setzen auf Masse. Im Gegensatz dazu handelt es sich bei Whaling um einen sehr gezielten Angriff, bei dem detaillierte Informationen über das Opfer dafür genutzt werden, überzeugende und personalisierte E-Mails zu verfassen.
Ein Tailgating-Angriff auf die Cybersicherheit ist eine physische Sicherheitsverletzung, bei der eine unbefugte Person den Zugang zu einem eingeschränkten Bereich erhält, indem sie eine autorisierte Person genau verfolgt. Dieser Angriff beruht auf menschlichen Fehlern und nicht auf Hacking oder technischen Schwachstellen. Im Gegensatz zu technischen Cyberbedrohungen wie Malware und Phishing nutzt das Tailgating menschliches Verhalten und hinfällige physische Sicherheitsprotokolle, um Unternehmen unentdeckt zu infiltrieren. Unternehmen, die keine starken physischen Sicherheitskontrollen implementieren, sind einem hohen Risiko von Sicherheitsverletzungen ausgesetzt, die zu anderen Arten von Angriffen wie Malware oder Phishing-Angriffen führen können.
Smishing-Angriffe nutzen Short Message Services (SMS), auch bekannt als Textnachrichten. Diese Form des Angriffs wird immer beliebter, da Nutzer einer Nachricht, die über eine Messaging-App auf ihrem Telefon eingeht, eher vertrauen als einer per E-Mail übermittelten Nachricht.
KI-basierte Betrugsversuche nutzen künstliche Intelligenztechnologie, um Opfer zu täuschen. Hier sind die gängigen Typen:
Vishing, kurz für „Voice Phishing“, ist eine Form des Social-Engineering-Angriffs. Dabei werden Telefonanrufe oder sprachbasierte Kommunikation als Mittel eingesetzt, um jemanden dazu zu bringen, sensible Informationen preiszugeben. Dazu gehören zum Beispiel Bankkontodaten, Anmeldedaten oder persönliche Identifikationsdaten (PII). Phishing per E-Mail ist zwar weitaus bekannter, doch Vishing-Angriffe nehmen zu und bleiben oft unentdeckt. Im Gegensatz zu anderen Cyberangriffen, die auf digitale Kanäle abzielen, manipuliert Vishing das Vertrauen der Menschen durch direkte Sprachinteraktion. Damit ist es ein mächtiges Werkzeug für Betrüger.
Bei Scareware haben Opfer Angst vor falschen Alarmen und Bedrohungen. Anwender könnten täuschen, dass ihr System mit Malware infiziert ist. Sie installieren dann den vorgeschlagenen Software-Fix – diese Software kann jedoch die Malware selbst sein, z. B. ein Virus oder Spyware. Häufige Beispiele sind Pop-up-Banner, die in Ihrem Browser erscheinen und Text wie „Ihr Computer ist möglicherweise infiziert.“ anzeigen. Es bietet Ihnen die Installation der Lösung an oder leitet Sie zu einer bösartigen Website weiter.
Pretexting ist eine Social-Engineering-Taktik, bei der Angreifer ein falsches Szenario erstellen, um Opfer dazu zu bringen, sensible Informationen preiszugeben. Im Gegensatz zu Phishing ist es eher darauf angewiesen, Vertrauen aufzubauen als Angst zu haben.
Cyberkriminelle können sich als Autoritätsfiguren, Kollegen oder Anbieter ausgeben, um Anmeldedaten, Finanzdaten oder Systemzugriff zu erhalten. Organisationen können Vortextangriffe verhindern, indem sie Mitarbeiter schulen, Identitäten zu überprüfen, ungewöhnliche Anfragen in Frage zu stellen und strenge Sicherheitsprotokolle zu befolgen.
Quishing, ein Begriff, der von „QR-Code-Phishing“ abgeleitet wird, ist eine Art Cyberangriff, bei dem Cyberkriminelle bösartige QR-Codes verwenden, um Menschen dazu zu bringen, gefälschte Websites zu besuchen oder Malware auf ihre Geräte herunterzuladen. Diese bösartigen QR-Codes können in E-Mails, Werbeanzeigen und Flyer eingebettet werden und sogar einfach auf vorhandene QR-Codes gesetzt werden, um einen ahnungslosen Nutzer anzusprechen. Ziel dieses Angriffs ist es, sensible Informationen wie Passwörter oder Finanzdaten stehlen oder das Gerät eines Benutzers mit Malware infizieren, die zu einer weiteren Ausnutzung in der Zukunft führen kann.
Business Email Compromise (BEC) ist eine Art von Betrug, der auf Unternehmen abzielt, die Überweisungen durchführen und Lieferanten im Ausland haben. Firmen- oder öffentlich verfügbare E-Mail-Konten von Führungskräften oder hochrangigen Mitarbeitern, die mit Finanzen zu tun haben oder an Überweisungszahlungen beteiligt sind, werden entweder durch Keylogger oder Phishing-Angriffe gefälscht oder kompromittiert, um betrügerische Überweisungen durchzuführen, was zu Verlusten in Höhe von Hunderttausenden Dollar führt.
Die größte Rüstung, die man gegen Social Engineering-Taktiken einsetzen kann, die heutzutage bei Online-Kruppen eingesetzt werden, besteht darin, gut informiert über die vielen Möglichkeiten zu sein, wie Cyberkriminelle Ihre Social-Media-Schwachstelle nutzen können. Die Herausforderung von Cyberkriminellen besteht nicht nur darin, Spamming, Phishing-Angriffen und Malware-Infektionen zu befallen, sondern auch darin, Ihre Daten genau zu erfassen und zu verstehen.
Abgesehen von den oben genannten Warnsignalen sind die folgenden bewährten Verfahren zu befolgen: