Angriffe mittels Social Engineering sind eine Form der Manipulation, die darauf abzielt, die menschliche Psyche auszunutzen und Einzelpersonen dazu zu verleiten, sensible Informationen preiszugeben oder Handlungen vorzunehmen, die ihnen selbst oder ihrem Unternehmen schaden könnten. Diese Angriffe können in vielfältiger Form auftreten, beispielsweise als Phishing-E-Mails oder Telefonbetrug, und selbst die fortschrittlichsten technischen Sicherheitsvorkehrungen leicht überwinden. In diesem Artikel erläutern wir die verschiedenen Formen von Social-Engineering-Angriffen, wie man sie erkennt und welche Gegenmaßnahmen Sie ergreifen können, um nicht Opfer eines solchen Betrugs zu werden.
Phishing
Phishing ist eine der häufigsten Formen des Social Engineering. Wenn ein Angreifer eine Nachricht oder E-Mail versendet, die scheinbar von einer vertrauenswürdigen Quelle wie einer Bank oder einem bekannten Unternehmen stammt, um den Empfänger zur Preisgabe persönlicher Daten oder zum Anklicken eines gefährlichen Links zu verleiten, handelt es sich um einen Phishing-Angriff. Diese E-Mails verwenden oft eine gehetzte Sprache oder erzeugen ein Gefühl der Dringlichkeit, um den Leser zu einem sofortigen Handeln zu bewegen, ohne dass dieser vorher über seine Möglichkeiten nachdenkt. Um Phishing-Betrug zu vermeiden, ist es wichtig, bei unerwünschten E-Mails skeptisch zu sein, die URL jedes Links zu überprüfen, bevor man darauf klickt, und niemals auf unerwünschte E-Mails mit der Angabe persönlicher Daten zu antworten.
Vishing
Vishing ist eine weitere gängige Form des Social Engineering, bei der Angreifer mithilfe eines sprachgesteuerten interaktiven Sprachdialogsystems (VR) versuchen, jemanden zur Preisgabe sensibler Daten zu verleiten. Dies kann per SMS oder sogar per Telefonanruf erfolgen, wobei sich jemand als Mitarbeiter einer Bank oder eines anderen Instituts ausgibt. Oft werden Angstmache-Taktiken eingesetzt, beispielsweise die Behauptung, es habe verdächtige Aktivitäten auf Ihrem Konto gegeben, um das Opfer zur Preisgabe persönlicher Daten oder Zugangsdaten zu bewegen. So wird beispielsweise behauptet, es habe ungewöhnliche Aktivitäten auf Ihrem Konto gegeben. Es ist daher unerlässlich, niemals persönliche Daten am Telefon preiszugeben, bei unaufgeforderten Anrufen misstrauisch zu sein und die Identität des Anrufers stets selbstständig zu überprüfen, um sich vor Vishing-Angriffen zu schützen.
Vorwand
Eine weitere Form des Social Engineering, die immer häufiger vorkommt, ist das sogenannte Pretexting. Wenn ein Angreifer eine fiktive Identität oder Situation erfindet, um Opfer zur Preisgabe persönlicher Daten zu verleiten, spricht man von Social Engineering. Um an vertrauliche Informationen zu gelangen, kann sich ein Angreifer beispielsweise als Mitarbeiter eines Finanzinstituts oder einer Behörde ausgeben. Um sich vor Pretexting-Angriffen zu schützen, ist es wichtig, unaufgeforderten Anfragen nach persönlichen Daten skeptisch gegenüberzustehen, die Identität des Anfragenden unabhängig zu überprüfen und niemals persönliche Daten preiszugeben, solange man sich der Identität nicht absolut sicher ist.
Köder
Eine Form des Social Engineering ist das sogenannte „Baiting“. Dabei wird Personen mit dem Versprechen eines Vorteils dazu verleitet, persönliche Daten preiszugeben oder Handlungen vorzunehmen, die ihnen selbst oder ihrem Unternehmen schaden könnten. Baiting ist nur ein Beispiel für Social Engineering. Angreifer könnten beispielsweise eine kostenlose Geschenkkarte oder die Chance auf einen Gewinn im Austausch für persönliche Daten anbieten. Um sich vor Baiting-Angriffen zu schützen, ist es wichtig, unaufgeforderten Angeboten misstrauisch gegenüberzustehen und niemals persönliche Daten im Austausch für das Versprechen eines Vorteils preiszugeben.
Scareware
Scareware ist eine weitere Form von Social-Engineering-Angriffen. Dabei nutzt ein Angreifer Angst, um jemanden dazu zu bringen, Schadsoftware herunterzuladen oder für unnötige Software zu bezahlen. Beispielsweise könnte ein Angreifer eine Meldung auf dem Computer einblenden, die behauptet, das Gerät sei mit einem Virus infiziert und der Benutzer müsse eine bestimmte Anwendung ausführen, um die Infektion zu beseitigen. Um sich vor Scareware zu schützen, sollten Sie niemals Software aus einem Pop-up-Fenster herunterladen, das Sie nicht angefordert haben, Ihre Antivirensoftware stets aktuell halten und niemals für unnötige Software bezahlen.
Angriffe mittels Social Engineering werden immer komplexer und ihre Abwehr kann sich als schwierig erweisen. Dennoch gibt es Maßnahmen, die Sie und Ihr Unternehmen ergreifen können, um sich zu schützen. Sie können das Risiko, Opfer von Identitätsdiebstahl zu werden, deutlich verringern, indem Sie unaufgeforderten E-Mails, Anrufen und Anfragen nach persönlichen Daten mit Skepsis begegnen, die Identität des Anfragenden unabhängig überprüfen und keine persönlichen Daten gegen das Versprechen von Vorteilen preisgeben.