12 Arten von Social Engineering-Angriffen
12 Arten von Social Engineering-Angriffen
Ein Social Engineering-Angriff ist eine Taktik, die im Kern einem Benutzer obliegt, indem sie eine falsche Erzählung erstellt, die die Glaubwürdigkeit, Gier, Neugier oder andere sehr menschliche Merkmale des Opfers ausnutzt. Das Endergebnis ist, dass das Opfer dem Angreifer freiwillig private Informationen weitergibt – ob persönlich (z. B. Name, E-Mail), finanziell (z. B. Kreditkartennummer, Krypto-Wallet) oder durch versehentliche Installation von Malware/Backdoors auf seinem eigenen System.
Da Cyberkriminelle immer raffiniertere Taktiken entwickeln, um Einzelpersonen und Mitarbeiter zu täuschen, müssen Unternehmen proaktiv bleiben. In diesem Artikel untersuchen wir zwölf der häufigsten Social Engineering-Angriffe:
Phishing
Phishing ist eine Art von Cyberangriff, bei dem Cyberkriminelle generische E-Mails verschicken, die vorgeben, legitim zu sein. Diese E-Mails enthalten betrügerische Links, um die privaten Daten der Benutzer zu stehlen. Phishing-Angriffe sind am effektivsten, wenn die Benutzer nicht wissen, dass dies geschieht.
Als Phishing-Angriff bezeichnet man eine Aktion oder eine Reihe von Aktionen, die ein Hacker durchführt, um einen Benutzer zu betrügen. E-Mail-Phishing ist oft leicht anhand von Grammatik- und Rechtschreibfehlern zu erkennen. Die Angriffe werden jedoch ausgefeilter. Neue Attacken haben zum Ziel, menschliche Emotionen auszunutzen, etwa Angst, Entrüstung und Neugier.
Spear Phishing
Spear-Phishing gilt als eine der gefährlichsten und gezieltesten Formen von Cyberangriffen. Bei herkömmlichen Phishing-Angriffen sollen ahnungslose Opfer durch einen breit gestreuten Angriff geködert werden. Im Gegensatz dazu handelt es sich bei Spear Phishing um eine hochgradig personalisierte und gezielte Form eines Phishing-Angriffs, die auf einen einzelnen Anwender und nicht auf ein Netzwerk abzielt. Angreifer nutzen detaillierte Informationen über ihre Opfer, um überzeugende Nachrichten zu verfassen. Ziel ist es, die Opfer dazu zu verleiten, vertrauliche Informationen preiszugeben oder auf bösartige Links zu klicken.
Ködern
Dieser Angriff nutzt ein falsches Versprechen, um ein Opfer über Gier oder Interesse zu locken. Opfer werden in eine Falle gelockt, die ihre sensiblen Informationen gefährdet oder ihre Geräte infiziert. Ein Beispiel wäre, ein Malware-infiziertes Flash-Laufwerk an einem öffentlichen Ort zu lassen. Das Opfer interessiert sich möglicherweise für seine Inhalte und fügt sie in sein Gerät ein – und installiert die Malware unwissentlich.
Whaling
Whaling ist eine spezielle Art von Phishing-Angriff, der sich gegen hochrangige oder prominente Personen in Unternehmen richtet, etwa Führungskräfte, Manager und andere leitende Angestellte. Der Begriff Whaling (dt. Walfang) spiegelt den Fokus des Angriffs auf die „großen Fische“ wider, die über bedeutende Autorität und Zugang zu sensiblen Informationen verfügen. Herkömmliche Phishing-Angriffe zielen auf die durchschnittliche Person ab und setzen auf Masse. Im Gegensatz dazu handelt es sich bei Whaling um einen sehr gezielten Angriff, bei dem detaillierte Informationen über das Opfer dafür genutzt werden, überzeugende und personalisierte E-Mails zu verfassen.
Tailgating
Ein Tailgating-Angriff auf die Cybersicherheit ist eine physische Sicherheitsverletzung, bei der eine unbefugte Person den Zugang zu einem eingeschränkten Bereich erhält, indem sie eine autorisierte Person genau verfolgt. Dieser Angriff beruht auf menschlichen Fehlern und nicht auf Hacking oder technischen Schwachstellen. Im Gegensatz zu technischen Cyberbedrohungen wie Malware und Phishing nutzt das Tailgating menschliches Verhalten und hinfällige physische Sicherheitsprotokolle, um Unternehmen unentdeckt zu infiltrieren. Unternehmen, die keine starken physischen Sicherheitskontrollen implementieren, sind einem hohen Risiko von Sicherheitsverletzungen ausgesetzt, die zu anderen Arten von Angriffen wie Malware oder Phishing-Angriffen führen können.
Smishing
Smishing-Angriffe nutzen Short Message Services (SMS), auch bekannt als Textnachrichten. Diese Form des Angriffs wird immer beliebter, da Nutzer einer Nachricht, die über eine Messaging-App auf ihrem Telefon eingeht, eher vertrauen als einer per E-Mail übermittelten Nachricht.
AI-Based Scams
KI-basierte Betrugsversuche nutzen künstliche Intelligenztechnologie, um Opfer zu täuschen. Hier sind die gängigen Typen:
- KI-Text-Betrug: Täuschende Textnachrichten, die von KI generiert werden, um Informationen zu verfälschen oder Malware zu verbreiten.
- KI-Image-Betrug: Gefälschte Bilder, die mithilfe von KI erstellt wurden, um Einzelpersonen zu manipulieren und zu täuschen.
- KI-Sprachbetrug: Betrügerische Sprachnachrichten, die von KI generiert werden, um vertrauenswürdige Entitäten zu imitieren und Opfer zu täuschen.
- KI-Video-Betrug: Manipulierte Videos, die mithilfe von KI erstellt wurden, die als Deepfakes bekannt ist und zur Verbreitung von Fehlinformationen oder zum Targeting von Einzelpersonen verwendet werden.
Vishing
Vishing, kurz für „Voice Phishing“, ist eine Form des Social-Engineering-Angriffs. Dabei werden Telefonanrufe oder sprachbasierte Kommunikation als Mittel eingesetzt, um jemanden dazu zu bringen, sensible Informationen preiszugeben. Dazu gehören zum Beispiel Bankkontodaten, Anmeldedaten oder persönliche Identifikationsdaten (PII). Phishing per E-Mail ist zwar weitaus bekannter, doch Vishing-Angriffe nehmen zu und bleiben oft unentdeckt. Im Gegensatz zu anderen Cyberangriffen, die auf digitale Kanäle abzielen, manipuliert Vishing das Vertrauen der Menschen durch direkte Sprachinteraktion. Damit ist es ein mächtiges Werkzeug für Betrüger.
Scareware
Bei Scareware haben Opfer Angst vor falschen Alarmen und Bedrohungen. Anwender könnten täuschen, dass ihr System mit Malware infiziert ist. Sie installieren dann den vorgeschlagenen Software-Fix – diese Software kann jedoch die Malware selbst sein, z. B. ein Virus oder Spyware. Häufige Beispiele sind Pop-up-Banner, die in Ihrem Browser erscheinen und Text wie „Ihr Computer ist möglicherweise infiziert.“ anzeigen. Es bietet Ihnen die Installation der Lösung an oder leitet Sie zu einer bösartigen Website weiter.
Vortexting
Pretexting ist eine Social-Engineering-Taktik, bei der Angreifer ein falsches Szenario erstellen, um Opfer dazu zu bringen, sensible Informationen preiszugeben. Im Gegensatz zu Phishing ist es eher darauf angewiesen, Vertrauen aufzubauen als Angst zu haben.
Cyberkriminelle können sich als Autoritätsfiguren, Kollegen oder Anbieter ausgeben, um Anmeldedaten, Finanzdaten oder Systemzugriff zu erhalten. Organisationen können Vortextangriffe verhindern, indem sie Mitarbeiter schulen, Identitäten zu überprüfen, ungewöhnliche Anfragen in Frage zu stellen und strenge Sicherheitsprotokolle zu befolgen.
Quishing
Quishing, ein Begriff, der von „QR-Code-Phishing“ abgeleitet wird, ist eine Art Cyberangriff, bei dem Cyberkriminelle bösartige QR-Codes verwenden, um Menschen dazu zu bringen, gefälschte Websites zu besuchen oder Malware auf ihre Geräte herunterzuladen. Diese bösartigen QR-Codes können in E-Mails, Werbeanzeigen und Flyer eingebettet werden und sogar einfach auf vorhandene QR-Codes gesetzt werden, um einen ahnungslosen Nutzer anzusprechen. Ziel dieses Angriffs ist es, sensible Informationen wie Passwörter oder Finanzdaten stehlen oder das Gerät eines Benutzers mit Malware infizieren, die zu einer weiteren Ausnutzung in der Zukunft führen kann.
Kompromittierung geschäftlicher E-Mails (Business Email Compromise, BEC)
Business Email Compromise (BEC) ist eine Art von Betrug, der auf Unternehmen abzielt, die Überweisungen durchführen und Lieferanten im Ausland haben. Firmen- oder öffentlich verfügbare E-Mail-Konten von Führungskräften oder hochrangigen Mitarbeitern, die mit Finanzen zu tun haben oder an Überweisungszahlungen beteiligt sind, werden entweder durch Keylogger oder Phishing-Angriffe gefälscht oder kompromittiert, um betrügerische Überweisungen durchzuführen, was zu Verlusten in Höhe von Hunderttausenden Dollar führt.
Wie kann Social Engineering-Betrug verhindert werden?
Die größte Rüstung, die man gegen Social Engineering-Taktiken einsetzen kann, die heutzutage bei Online-Kruppen eingesetzt werden, besteht darin, gut informiert über die vielen Möglichkeiten zu sein, wie Cyberkriminelle Ihre Social-Media-Schwachstelle nutzen können. Die Herausforderung von Cyberkriminellen besteht nicht nur darin, Spamming, Phishing-Angriffen und Malware-Infektionen zu befallen, sondern auch darin, Ihre Daten genau zu erfassen und zu verstehen.
Abgesehen von den oben genannten Warnsignalen sind die folgenden bewährten Verfahren zu befolgen:
- Halten Sie Ihr Betriebssystem und Ihre Cybersicherheitssoftware auf dem neuesten Stand.
- Verwenden Sie Multifaktor-Authentifizierung und/oder einen Password Manager.
- Öffnen Sie keine E-Mails und Anhänge aus unbekannten Quellen.
- Stellen Sie Ihre Spamfilter zu hoch ein.
- Löschen und ignorieren Sie alle Anfragen nach Finanzinformationen oder Passwörtern.
- Wenn Sie während einer Interaktion etwas vermuten, seien Sie ruhig und nehmen Sie die Dinge langsam.
- Recherchieren Sie, wenn es um Websites, Unternehmen und Einzelpersonen geht.
- Achten Sie darauf, was Sie in sozialen Medien teilen – nutzen Sie Ihre Datenschutzeinstellungen.
- Wenn Sie Mitarbeiter eines Unternehmens sind, stellen Sie sicher, dass Sie die Sicherheitsrichtlinien kennen.