22-0714/
Blog
Wenn Sie glauben, dass Ihnen Social Engineering nicht passieren kann, sollten Sie sich nicht zu sicher fühlen. 98 % der Cyberkriminalität nutzt Social Engineering für ihre Angriffe. Sind Sie überrascht? Das sollten Sie nicht sein. Social Engineering ist eine Manipulationstechnik, die von Cyberkriminellen eingesetzt wird, um an die privaten oder geschäftlichen Passwörter des Opfers zu gelangen. In diesem Blog werden wir diese neue Form der Internetkriminalität erörtern – lesen Sie weiter, um mehr über Social Engineering zu erfahren.
Jüngste Ereignisse wie der Social-Engineering-Angriff auf die Präsidentin der Europäischen Zentralbank, Christine Lagarde, treten immer häufiger auf und können Ihnen oder Ihrem Unternehmen ernsthafte Probleme bereiten. Die EZB-Präsidentin erhielt eine Textnachricht von den Hackern, die sich als die ehemalige deutsche Bundeskanzlerin Angela Merkel ausgaben. Der Identitätsdiebstahl ist Teil der Social-Engineering-Technik. Auf diese Weise wollten die Hacker ein WhatsApp-Konto eröffnen, das mit der Telefonnummer von Lagard verknüpft war.
Was ist Social Engineering?
Aber was ist Social Engineering eigentlich? Social Engineering ist ein Trick, mit dem jemand dazu gebracht wird, persönliche oder vertrauliche Daten preiszugeben. Beim Social Engineering werden diese Daten dann zu betrügerischen Zwecken gegen das Opfer oder ein ganzes Unternehmen verwendet. Mit anderen Worten: Social Engineering ist eine Technik zur Manipulation von Personen, die darauf abzielt, dass sie persönliche Daten preisgeben – einschließlich ihrer Bankdaten und anderer Passwörter. Salahdine & Kaabouch (2019) beschreiben es wie folgt: „Social Engineering ist eine Technik, die für ein umfassendes Spektrum an böswilligen Ereignissen verwendet wird, die durch menschliche Interaktionen abgeschlossen werden. Es nutzt psychologische Manipulation, um Verbraucher zu betrügen und sie zu Fehlern in der Informationssicherheit zu verleiten.“
Social Engineering ist eines der besten Mittel für Cyberangriffe, vor allem weil es sich als sehr effektiv erwiesen hat. Kriminelle wissen, dass der einzelne Benutzer das schwächste Glied in der Sicherheitskette ist. Und warum? Weil dieser Benutzer mit den gesammelten Daten ins Visier genommen werden kann und dadurch sehr angreifbar wird. Kriminelle maskieren ihre Nachrichten und Benachrichtigungen, um sie so aussehen zu lassen, als kämen sie von einer vertrauenswürdigen Quelle wie einem bekannten Unternehmen, einer Bank oder einem Mitarbeiter eines Internetdienstanbieters (ISP); dies ist eine gängige Technik des Social Engineering (Salahdine & Kaabouch, 2019).
Wie funktioniert Social Engineering?
Social-Engineering-Angriffe können in einzelnen oder mehreren Schritten erfolgen. Zunächst studiert ein Täter das anvisierte Opfer, um wichtige Hintergrunddaten zu sammeln; zu diesen Daten gehören die potenziellen Zugangspunkte. Diese Zugangspunkte könnten das soziale Netzwerk, die Familie oder die Interessen des Opfers sein. Der Angreifer führt eine Aktion durch, die das Vertrauen erhöht und Anreize für Aktivitäten liefert, die die Sicherheitsübungen durchbrechen.
Solche Praktiken verleiten den Benutzer dazu, sensible Informationen wie Passwörter oder andere persönliche Daten preiszugeben. Für die erfolgreiche Durchführung des Angriffs sind ausgefeilte Sicherheitsprotokolle erforderlich. Scareware, Baiting, Spear Phishing, Pretexting und Phishing sind die fünf wichtigsten Social Engineering-Angriffe.
Eine andere Art des Social Engineering besteht darin, dass sich der Kriminelle mit Tricks in das Privatleben einschleust, um sich heimlich Zugang zum Computer zu verschaffen und bösartige Software zu installieren, die den Zugang zu Bankdaten und Passwörtern ermöglicht und den Hackern gleichzeitig die Kontrolle über das Gerät gibt.
Nachdem Sie eine so genannte Phishing-Mail erhalten haben, bei der es sich in der Regel um eine typische Anfrage handelt, und Sie darauf in der von den Hackern beabsichtigten Weise reagiert haben, beginnen sie, Ihr Vertrauen zu gewinnen und langsam Daten über Sie zu sammeln: welche Passwörter Sie verwenden, zu welchen Tageszeiten Sie an Ihrem Computer aktiv sind, welche Interessen Sie haben. Phishing ist ein perfektes Beispiel: Mit dieser Methode werden Opfer dazu verleitet, gefährlichen E-Mails und Websites zu vertrauen, die zur Preisgabe wichtiger Informationen führen. Lesen Sie mehr über Phishing in unserem anderen Blog-Artikel. Der Angriffszyklus umfasst die Vorbereitung (Sammeln von Daten), das Eindringen (Aufbau einer Beziehung), die Ausnutzung der Person und die Rücknahme des Angriffs.
What is human-based social engineering?
Die Forscher fanden zwei Möglichkeiten des Social Engineering: menschenbasiertes und computer- bzw. technologiebasiertes Social Engineering. Menschenbasiertes Social Engineering beschreibt eine Möglichkeit oder einen Teil eines Social Engineering-Angriffs. Wie das Wort „Mensch“ bereits andeutet, geht es beim menschenbasierten Social Engineering um den psychologischen Teil. Es geht darum, die Gedanken des Opfers zu manipulieren, um an persönliche Daten zu gelangen.
Beim menschenbasierten Social Engineering geht es hauptsächlich um die Interaktion von Mensch zu Mensch in einem sozialen Netzwerk. Menschliche Ereignisse oder Handlungen, die zu einer Datenverletzung beitragen, sind menschliche Faktoren beim Social Engineering. In der Cyberkriminalität zielt der Human-Hacking-Trick darauf ab, ahnungslose Verbraucher in eine Falle zu locken, indem Informationen preisgegeben werden, während gleichzeitig Zugang zu eingeschränkten Systemen gewährt wird oder bösartige Softwareinfektionen verbreitet werden (Conteh, 2021). Menschenbasierte Social-Engineering-Angriffe konzentrieren sich auf den Zugang zu Spielsystemen oder -geräten, physischen Standorten und Netzwerken, insbesondere um finanziellen Gewinn zu erzielen.
Was ist computerbasiertes Social Engineering?
Das computergestützte Social Engineering umfasst die ausschließliche Nutzung einzelner oder mehrerer Computer, um einen Angriff auf einzelne oder mehrere Computer oder mobile Geräte in einem bestimmten Netzwerk zu starten (Conteh, 2021); diese Art von Social Engineering umfasst nur Computerinteraktionen, bei denen die Kriminellen die richtigen Informationen herausfinden, die sie wollen. Social-Engineering-Angriffe führen zu finanziellen Verlusten, Produktivitätseinbußen und Geschäftsunterbrechungen.
Social Engineering ist eine kriminelle Aktivität, die sich mit der dynamischen Natur von Technologie und Innovation weiterentwickelt. Es liegt in der Verantwortung jedes Einzelnen, sicherzustellen, dass er geschützte Websites besucht, auf sichere Links klickt, virtuelle Netzwerke nutzt und an Programmen zur Sensibilisierung für Informationssicherheit teilnimmt, um Social Engineering zu minimieren.
Referenzen
Conteh, N. Y. (2021). The dynamics of social engineering and cybercrime in the digital age. In Ethical Hacking Techniques and Countermeasures for Cybercrime Prevention (pp. 144-149). IGI Global.
Koyun, A., & Al Janabi, E. (2017). Social engineering attacks. Journal of Multidisciplinary Engineering Science and Technology (JMEST), 4(6), 7533-7538.
Salahdine, F., & Kaabouch, N. (2019). Social engineering attacks: A survey. Future Internet, 11(4), 89.