Social Engineering

Was ist Social Engineering – wie und warum soll ich mich davor schützen?

Haben Sie den Begriff noch nie gehört? Ich möchte wetten, dass Sie schon Kontakt damit hatten. In diesem Artikel möchte ich Ihnen das Thema Social Engineering näherbringen. Dazu erkläre ich Ihnen, was Social Engineering überhaupt ist, welche Methoden Täter einsetzen, um Sie zu betrügen und wie Sie vermeiden können in solche Fallen zu tappen.

Begriff: Soziale Entwicklung?

Fragt man ein beliebiges Übersetzungstool, so spuckt diese soziale Entwicklung als direkte Übersetzung des englischen Begriffs aus. Klingt erstmal weder nach Datenschutz noch nach einer potenziellen Bedrohung, oder?

In der Psychologie umfasst der Begriff sämtliche Methoden, die auf der direkten Kommunikation mit Menschen basieren und zum Ziel haben, diese Menschen in irgendeiner Art und Weise zu manipulieren. Es geht bei dem Begriff also weniger um soziale Entwicklung als vielmehr um soziale Manipulation. Vor dem Hintergrund von IT und Datenschutz betrachtet, geht es konkret um die Entwicklung von Strategien zur gezielten Manipulation von Menschen. Strategien, die missbräuchlich eingesetzt werden, um Mensch dazu zu bewegen persönliche Daten preiszugeben, vertrauliche Informationen teilen, Zugriffe auf IT-System zu erlauben oder Geld anzugeben. Social Engineering Techniken können dabei aus zwei Perspektiven betrachtet werden:

1. Der Einsatz von Technologie zur Unterstützung von psychologischer Manipulation.
Hiermit sind beispielsweise Phishing-Attacken gemeint, bei denen es die Täter auf Zugangsdaten von Kundenkonten oder Bankaccounts abgesehen haben. Weitere Infos zum Thema Phishing, was das ist, welche Methoden unterschieden werden und wie es funktioniert, finden Sie hier.

2. Der Einsatz von psychologischer Manipulation, um Zugriff auf ein bestimmtes IT-System zu erlangen.

Ein bekanntes Beispiel ist der Enkeltrick, bei dem Betrüger in der Regel ältere Menschen anrufen und sich als verschollene Enkel ausgeben oder, auf Basis von bereits gestohlenen Daten, schreckliche Geschichten über einen gerade vorgefallenen Unfall der Enkelin erzählen. Diese Enkelin wäre jetzt auf dem Weg in Krankenhaus aber ohne Geld würde sie dort in der Notaufnahme nicht behandelt werden, man bräuchte also dringend Zugriff auf Kreditkartendaten oder das Bankkonto… Sie können sich den Rest denken.

Fast alle Cyberattacken beinhalten heute eine Form oder Komponente von Social Engineering. Die Täter setzen dabei auf falsches Vertrauen, die Unüberlegtheit ihrer Opfer in einem Moment künstlich erzeugter Panik oder schlicht auf pures Zufallsglück.

Social Engineering Methoden

Die Methoden, mit denen Täter versuchen ihre Opfer zu manipulieren, sind vielfältig. Unterschieden wird dabei zwischen gezielten Betrugsversuchen, die auf ein Individuum abgestimmt sind, und Massenbetrügereien.

Gezieltes Social Engineering erfordert zuvor einige Recherchen über das Opfer, eine persönliche Ansprache und eigens erstellte Referenzen oder Beweise für die scheinbare Identität der Täter. Beim sogenannten Spear Phishing werden gezielt Opfer ausgewählt, deren Vertrauen über einen längeren Zeitraum hinweg kontinuierlich gewonnen wird. Eingesetzt wird diese Methode auch bei der Love Scam–Masche, auch Pretexting genannt: Hier suchen sich die Betrüger in der Regel gezielt Frauen über deren Social-Media Profile, geben eine falsche Identität und einen falschen Kontext vor und erschleichen sich auch hier das Vertrauen ihrer Opfer. Ist dies gelungen, wird aus fadenscheinigen Gründen um (immer mehr) Geld gebeten.
Beim gezielten Social Engineering investieren die Täter Wochen oder gar Monate in die Vorbereitung bis hin zum erklärten Ziel. Die Erfolgsquote bei diesen Taten ist jedoch hoch, so dass sich entsprechende Methoden hartnäckig halten.

Die andere Variante des Social Engineering basiert auf eher plumpen Täuschungsversuchen gegenüber einer großen Personengruppe. Der Erfolg stellt sich in Form von zufälligen Opfern ein, die zu leichtgläubig auf eher einfache Täuschungen reagieren. Dazu gehört auch das klassische Phishing, das die meisten bereits aus den Spam-Ordnern ihres persönlichen E-Mail-Postfachs kennen. Diese Form des Phishing funktioniert aber auch über andere Kanäle. Dabei werden SMS-Nachrichten, automatische Telefonanrufe oder E-Mails an hunderttausende von Adressen versendet. Die Empfänger werden etwa zum Anklicken eines Links, zur Eingabe von Daten in scheinbar bekannten Eingabemasken oder zur Verifizierung ihrer Identität aufgefordert.

Dieses ungezielte Social Engineering hat eine bei weitem geringere Erfolgsquote als individuelle Angriffe. Dafür ist der Ressourceneinsatz sehr gering und die Masse an Personen sorgt unter dem Strich für einen ausreichenden Erfolg.

Warum funktioniert Social Engineering?

Wir sichern unsere Daten technisch immer besser ab: doch an die Schwachstelle „Mensch“ wir oft als letztes gedacht. Genau dort setzen Social Engineering-Methoden an und nutzen menschliche Eigenschaften und Gefühle wie Angst, Vertrauen, Liebe oder Gier aus.

Besonders wenn Interaktionen in einem vermeintlich professionellen Kontext stattfinden, vertrauen Menschen schnell ihrem Gegenüber. Auch Autorität spielt hier eine besondere Rolle, wenn die Täter sich als offizielle Stelle oder Aufsichtsgremium ausgeben. Angst und Dringlichkeit zu erzeugen ist ein weiteres Mittel der Social Engineers: so provozieren sie impulsives und unüberlegtes Handeln und erreichen dadurch ihr Ziel, etwas das Anklicken eines Links oder die Überweisung eines Geldbetrags. (Neu-)Gier spielt ebenfalls eine Rolle, wenn Täter mit Social Engineering Methoden versuchen, Daten oder Geld ihrer Opfer zu klauen: Verlockend günstige Angebote wie hohe Rabatte, kostenlose Software oder Gewinnspiele werden oft eingesetzt, um Menschen zur Preisgabe von Informationen zu bewegen. Nicht zuletzt setzen viele der Angriffe auf Sympathie und die Hilfsbereitschaft der Opfer, in dem sich vermeintliche Liebe und Vertrauen erschlichen wird.

Zusammengefasst: Die Nutzung menschlicher Eigenschaften und Schwächen, kombiniert mit psychologischen Taktiken wie dem Erzeugen von Dringlichkeit, Sympathie, Autorität oder Angst führt Social Engineering Attacken also zum Erfolg für die Täter.

Wie schütze ich mich vor Social Engineering Attacken?

Die wirksamste Maßnahme gegen Social Engineering Angriffe ist so einfach wie kompliziert: Besonnenheit und gesunder Menschenverstand. Ist es wirklich wahr, dass Sie auf einmal viele Punkte in Flensburg haben, obwohl Sie in den letzten Jahren nie einen Verstoß gegen die Straßenverkehrsregeln begangen haben? Braucht Herr Müller von der Datenschutzaufsichtsbehörde wirklich Zugriff auf Ihr firmeninternes Netzwerk, um dessen Sicherheit zu prüfen?

Wiederholtes Lernen, Aufklären und Warnen sind letztlich entscheidend, um Menschen für die Bedrohung durch Social Engineering zu sensibilisieren. Zur Identifikation gefälschter Nachrichten überprüfen Sie immer den Absender, achten Sie besonders auf Rechtschreibfehler und verdächtige URLs und Links. Im Zweifel fragen Sie immer bei den offiziellen Adressen des vermeintlichen Unternehmens, bevor Sie Nachrichten öffnen oder Links anklicken.

Unternehmen sollten zusätzlich Sicherheitsrichtlinien und -protokolle implementieren, mit denen alle Mitarbeiter vertraut sind. Das Versenden von Warnungen zu aktuellen Betrugsmaschen, verpflichtende Schulungen, klare Sicherheitsrichtlinien und unangekündigte Simulationen sind weitere Maßnahmen zur Sensibilisierung von Mitarbeitenden und zum Schutz vor Social Engineering Attacken.

Wollen Sie sich einmal selbst testen?

Übrigens: Google hat ein kleines „Phishing-Spiel“ aufgesetzt, mit dem Sie testen könne, wie gut Sie echte von gefälschten Nachrichten unterscheiden können. Probieren Sie es doch gleich mal aus: https://phishingquiz.withgoogle.com

Bildquellen:

  • Enkeltrick: lettas (96430086) | stock.adobe.com

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.