Was ist Social Engineering?
Social Engineering Bedeutung
Cyberkriminelles Social Engineering ist eine Taktik, die im Kern darin besteht, einen Nutzer zu täuschen. Dazu wird eine falsche Geschichte erfunden, die die Leichtgläubigkeit, Gier, Neugier oder andere sehr menschliche Eigenschaften des Opfers ausnutzt. Das Endergebnis ist, dass das Opfer dem Angreifer freiwillig private Informationen preisgibt – persönliche Daten wie Name oder E-Mail-Adresse, Finanzdaten wie Kreditkartennummern oder Krypto-Wallets. Oftmals installiert das Opfer auch versehentlich Malware oder Backdoors auf dem eigenen System.
Moderne Angriffe lassen sich je nach Ziel in zwei sehr große Kategorien einteilen: Sie greifen entweder die Rechner (Maschine) oder die Benutzer (Mensch) an. Der Angriff auf die Maschine begann 1996 mit Attacken, die Schwachstellen ausnutzten, und mit dem bahnbrechenden Artikel „Smashing the Stack for Fun and Profit“. Der Angriff auf den Menschen (Social Engineering) ist jedoch nach wie vor weitaus häufiger anzutreffen. Alle bekannten Angriffe, die nicht auf Schwachstellen basieren, enthalten ein Element des Social Engineering. Dabei versucht der Angreifer, das Opfer davon zu überzeugen, etwas zu tun, was ihm letztendlich schadet.
Arten von Social Engineering-Angriffen
Die folgende Liste ist nicht vollständig. Sie enthält jedoch die wichtigsten Social-Engineering-Angriffe, auf die Sie achten sollten:
Phishing
Phishing ist eine der häufigsten Formen von Social-Engineering-Angriffen. Durch E-Mails und Textnachrichten werden Opfer dazu verleitet, auf bösartige Anhänge oder Links zu schädlichen Websites zu klicken.
Ködern
Bei diesem Angriff dient ein falsches Versprechen als Köder, um ein Opfer über Gier oder Interesse anzulocken. Opfer werden in eine Falle gelockt, die ihre sensiblen Daten gefährdet oder ihre Geräte infiziert. Ein beliebtes Beispiel für eine solche Aktion ist ein mit Malware infizierter USB-Stick, den der Angreifer an einem öffentlichen Ort liegen lässt. Das Opfer könnte sich für den Inhalt interessieren, ihn per USB-Stick auf sein Gerät übertragen – und damit unwissentlich die Malware installieren.
Vortexting
Bei diesem Angriff belügt ein Akteur einen anderen, um Zugriff auf Daten zu erhalten. Ein Angreifer könnte beispielsweise vorgeben, finanzielle oder persönliche Daten zu benötigen, um die Identität des Empfängers zu bestätigen.
Scareware
Scareware versetzt Opfer durch falsche Alarme und Drohungen in Angst und Schrecken. Benutzer werden etwa zu der Annahme verleitet, dass ihr System mit Malware infiziert ist. Anschließend installieren sie den vorgeschlagenen Software-Fix – doch diese Software kann selbst Malware sein, beispielsweise ein Virus oder Spyware. Häufige Beispiele sind Pop-up-Banner, die in Ihrem Browser erscheinen und Text anzeigen wie „Ihr Computer ist möglicherweise infiziert“. Das Programm bietet Ihnen an, den Fix zu installieren, oder leitet Sie auf eine bösartige Website weiter.
Spear Phishing und Whaling
Beim Spear Phishing richtet sich der Angriff gezielt an eine bestimmte Person oder Organisation. Analog dazu zielen Whaling-Angriffe auf hochrangige Mitarbeiter wie CEOs und Direktoren ab.
Tailgating
Tailgating, auch als Piggybacking bekannt, bedeutet, dass ein Angreifer einer Person mit gültiger Zugangskarte folgt, um sich Zugang zu einem gesicherten Gebäude oder einer Büroabteilung zu verschaffen. Dieser Attacke baut darauf, dass andere annehmen, der Angreifer dürfe sich dort aufhalten.
KI-basierte Betrugsversuche
KI-basierte Scams nutzen künstliche Intelligenz, um Opfer zu täuschen. Hier sind die gängigen Formen:
KI-Textbetrug: täuschende Textnachrichten, die von KI generiert werden, um Informationen zu verfälschen oder Malware zu verbreiten
KI-Bildbetrug: gefälschte Bilder, die mithilfe von KI erstellt wurden, um Einzelpersonen zu manipulieren und zu täuschen
KI-Sprachbetrug: betrügerische Sprachnachrichten, die von KI generiert werden, um vertrauenswürdige Personen oder Organisationen zu imitieren und Opfer zu täuschen
KI-Videobetrug: mit KI erstellte manipulierte Videos, sogenannte Deepfakes, die zur Verbreitung von Falschinformationen oder zur gezielten Bekämpfung einzelner Personen verwendet werden
Wenn Sie mehr darüber erfahren möchten, besuchen Sie bitte die Seite über zwölf Formen von Social Engineering-Angriffen.
So erkennen Sie Social Engineering-Angriffe
Da diese Angriffe in vielen verschiedenen Formen und Größen auftreten – und auf menschlicher Fehlbarkeit beruhen –, kann es sehr schwierig sein, Social-Engineering-Angriffe zu erkennen. Sollten Sie dennoch auf einen der folgenden Punkte stoßen, seien Sie gewarnt, dass dies wichtige Alarmsignale sind, die auf einen Social-Engineering-Angriff hindeuten:
Sie erhalten eine unaufgeforderte E-Mail oder SMS von jemandem, den Sie nicht kennen.
Die Nachricht ist angeblich sehr dringend.
Sie werden aufgefordert, auf einen Link zu klicken oder einen Anhang zu öffnen.
Die Nachricht enthält viele Tippfehler und Grammatikfehler.
Möglicherweise erhalten Sie auch einen Anruf von jemandem, den Sie nicht kennen.
Der Anrufer versucht, persönliche Informationen von Ihnen zu erhalten.
Der Anrufer versucht, Sie dazu zu bringen, etwas herunterzuladen.
Der Anrufer spricht ebenfalls mit großer Dringlichkeit und/oder Aggression.
Wie kann Social Engineering-Betrug verhindert werden?
Die beste Waffe gegen die Social-Engineering-Taktiken, die Online-Betrüger heutzutage anwenden, ist es, genau zu wissen, wie Cyberkriminelle die Schwachstellen Ihrer Social-Media-Konten ausnutzen können. Zusätzlich zu den üblichen Folgen von Spam, Phishing-Angriffen und Malware-Infektionen besteht die Herausforderung durch Cyberkriminelle darin, ein solides Verständnis dafür zu entwickeln, wie Sie Ihre Daten schützen können.
Achten Sie nicht nur auf die oben genannten Warnzeichen, sondern befolgen Sie auch die folgenden Best Practices:
Halten Sie Ihr Betriebssystem und Ihre Cybersicherheitssoftware auf dem neuesten Stand.
Verwenden Sie Multifaktor-Authentifizierung und/oder einen Password Manager.
Öffnen Sie keine E-Mails und Anhänge aus unbekannten Quellen.
Stellen Sie Ihre Spam-Filter zu empfindlich ein.
Löschen und ignorieren Sie alle Anfragen nach Finanzdaten oder Passwörtern.
Wenn Sie während einer Interaktion etwas Verdächtiges bemerken, bleiben Sie ruhig und gehen Sie langsam vor.
Recherchieren Sie gründlich, wenn es um Websites, Unternehmen und Personen geht.
Seien Sie vorsichtig mit dem, was Sie in Social Media teilen – nutzen Sie Ihre Privatsphäre-Einstellungen.
Wenn Sie bei einem Unternehmen beschäftigt sind, stellen Sie sicher, dass Sie die Sicherheitsrichtlinien kennen.
Beispiele für Social Engineering-Angriffe
Cyberkriminelle lassen sich stark von Profit motivieren. Sie haben ihre Methoden, an sensible Daten von Online-Nutzern zu gelangen, erheblich verbessert, um damit Geld zu verdienen.
Im Januar beginnt in den meisten Ländern die Zeit der Steuererklärungen. Das macht diesen Monat zu einem beliebten Ziel für Cyberkriminelle, die auf schnelle Gewinne aus sind. Dank Social Engineering, einer beliebten Taktik, bei der Angriffe auf weithin gefeierte Anlässe, Feiertage und aktuelle Nachrichten abgestimmt werden, können Cyberkriminelle viel Geld mit ihren Opfern verdienen. US-Bürger erhielten Spam-Mails, die vorgaben, eine Nachricht der US-Steuerbehörde Internal Revenue Service (IRS) zu sein.
Weitere Informationen zu diesem Malware-Angriff in der Steuersaison finden Sie hier.
Die Nachricht über den frühen Tod von Robin Williams am 12. August 2014 war für Menschen auf der ganzen Welt ein Schock. Die Nachricht von seinem Tod verbreitete sich wie ein Lauffeuer unter den Internetnutzern. Spammer und Cyberkriminelle nutzten dies aus und versendeten Spam-E-Mails, in deren Betreff der Name des Schauspielers erwähnt wurde. In der Spam-Mail werden die Empfänger aufgefordert, ein „schockierendes“ Video über Williams Tod herunterzuladen. Wenn sie jedoch auf den Videolink klicken, wird stattdessen eine ausführbare Datei heruntergeladen, die als WORM_GAMARUE.WSTQ erkannt wurde.
Weitere Informationen über diesen Malware-Angriff mit Promi-Klatsch finden Sie hier.
Als Nachrichten über die Ebola-Pandemie das Internet fluteten, nutzten Cyberkriminelle die Gelegenheit. Sie setzten die weit verbreiteten Berichte als Köder ein, um ahnungslose Opfer dazu zu verleiten, gefälschte E-Mails zu öffnen. Diese E-Mails führen letztendlich zu Phishing-Versuchen, bei denen die Daten und Zugangscodes des Opfers gestohlen werden.
Weitere Informationen über diesen Malware-Angriff mit gefälschten E-Mails finden Sie hier.
Im Jahr 2008 gab es einen sprunghaften Anstieg sozialer Angriffe von Cyberkriminellen, die auf Sabotage und Profit aus waren. Mit identifizierten Zielen wurden plattformbasierte Angriffe auf Privatanwender, kleine Unternehmen und große Organisationen gerichtet. Diese Angriffe führten zu Diebstahl geistigen Eigentums und damit zu erheblichen finanziellen Verlusten. Online-Betrüger hatten vor allem Methoden entwickelt, um Webnutzer über soziale Netzwerke wie Facebook und Twitter (jetzt X) anzugreifen.
Im Jahr 2008 wurden Facebook-Nutzer zum Ziel einer Wurm-Malware-Attacke namens KOOBFACE. Twitter wurde 2009 zu einer Goldgrube für Cyberkriminelle. Sie verbreiteten dort bösartige Links, die mit Trojanern infiziert waren.
Die Zukunft von Social Engineering-Angriffen
Jede Social Engineering-Interaktion lässt sich dekonstruieren und auf folgende Elemente reduzieren:
- Ein Medium, das die Verbindung zum Opfer herstellt, beispielsweise per Telefon, E-Mail, über soziale Netzwerke oder Direktnachrichten, um nur einige zu nennen.
- Eine Lüge, bei der der Angreifer eine Unwahrheit konstruiert, um das Opfer davon zu überzeugen, innerhalb einer bestimmten Zeit eine bestimmte Handlung auszuführen. Die Lüge vermittelt oft auch ein Gefühl der Dringlichkeit, beispielsweise durch eine zeitliche Begrenzung.
- Eine Aufforderung, also die von dem Opfer zu erbringende Handlung, etwa die Angabe von Zugangsdaten, das Ausführen einer schädlichen Datei, die Investition in ein bestimmtes Kryptosystem oder die Überweisung von Geld.
Zur Verdeutlichung dient ein gängiges Beispiel, das Ihnen wahrscheinlich bekannt ist – die stereotype E-Mail-Betrugsmasche:
Abbildung 1. Medium, Lüge und Aufforderung eines Social-Engineering-Angriffs
Seit 2024 erreichen Kriminelle ihre Opfer über alle möglichen Netzwerkfähigkeiten. Sie verwenden auch erfundene Geschichten als Teil ihrer Social-Engineering-Tricks. Ihre Ziele sind in der Regel dieselben, beispielsweise die Preisgabe des Passworts, die Installation von Malware oder die Weitergabe persönlicher Daten.
Im Lauf der Jahre gab es im Bereich Social Engineering eine Vielzahl unterschiedlicher Vorgehensweisen. Man könnte fast meinen, dass alle Ideen bereits umgesetzt wurden. Und doch entwickeln Angreifer jedes Jahr neue Social-Engineering-Tricks. In diesem Artikel wird untersucht, welche neuen Social-Engineering-Verbesserungen Angreifer in Zukunft einsetzen könnten, um Nutzer zu täuschen. Wenn Angreifer das Medium, die Lüge oder die Aufforderung ändern, können sie ganz einfach neue und innovative Tricks entwickeln, um ihre Opfer zu täuschen.
Welche neuen Elemente sind zu erwarten? Welche neuen Änderungen am alten System sind zu erwarten? Wie werden sich neue Technologien auf diese Bereiche auswirken?
Veränderungen im Medium
Wenn neue Technologien aufkommen, finden Angreifer immer mehr Möglichkeiten, ihre potenziellen Opfer zu erreichen. Dazu gehören KI-Tools, VR-Geräte wie Apple Vision Pro, die Humane-Pin, Ray-Ban-Brillen oder jedes neue Gerät, das Nutzer in Zukunft verwenden könnten.
Verwendung von Wearables als Medium
Jedes Jahr kommen neue am Körper tragbare Geräte auf den Markt, zum Beispiel Datenbrillen oder Smartwatches. Dadurch vergrößert sich die Angriffsfläche für Cyberkriminelle. Wearables sind besonders interessant, weil sie immer eingeschaltet sind und das volle Vertrauen ihrer Nutzer genießen. Jeder Trick, bei dem ein Wearable zum Einsatz kommt, ist glaubwürdiger und vertrauenswürdiger. Möglicherweise kann der Angreifer Zugriff auf das Wearable-Gerät erlangen. Wearables sind oft nicht dafür ausgelegt, Sicherheitstools einzusetzen oder sich regelmäßig selbst zu authentifizieren. Dadurch umgehen sie häufig normale Sicherheitskontrollen.
Abbildung 2. Potenzielles Szenario von Wearables als Medium für Social-Engineering-Angriffe
Chatbots als Medium
KI-Chatbots könnten auch als Mittel genutzt werden, um den Nutzer zu erreichen. Hinter diesem Angriff steckt die Idee, dem Chatbot falsche Informationen mitzugeben, um den Nutzer zu bestimmten Handlungen zu manipulieren. Die Chatbot-Daten können auf verschiedene Weise vergiftet werden, beispielsweise durch die Eingabe falscher Informationen, das Entwenden von Trainingsdaten oder das Einfügen neuer Befehle.
Neue E-Mail-basierte Angriffe
Eine neue Möglichkeit, das klassische Medium E-Mail und Instant Messaging (IM) zu nutzen, wäre der Einsatz eines Bots, der auf einem großen Sprachmodell (LLM) basiert. Damit ließe sich die Effektivität von BEC-Angriffen steigern. Der Angreifer könnte den LLM-Bot nutzen, um den gesamten bisherigen Nachrichtenverlauf zwischen dem Opfer und dem CEO zusammenzustellen. Anschließend könnte der Bot einen Thread in diesem vertrauenswürdigen Kanal fortsetzen, als wäre er der CEO. Mit dem Schreibstil des CEOs könnte er das Opfer davon überzeugen, das Geld zu überweisen. Dies geschieht bereits manuell, aber das Potenzial für eine Automatisierung dieses Angriffs durch KI lässt sich nicht ignorieren.
Verbesserung der Lügen
KI ist die wichtigste Innovation, die sozial manipulierte Lügen forciert. Die eigentliche Lüge in einer Social-Engineering-Geschichte variiert je nach Saison, Land und demografischer Gruppe, um nur einige Beispiele zu nennen. Aufgrund der Skalierbarkeit und Flexibilität von KI kann sich dies jedoch sehr schnell ändern. Generative KI (GenAI) zeichnet sich durch die Erzeugung von Bildern, Audio- und Videodaten aus. Bei Texten glänzt es sowohl bei der Erstellung glaubwürdiger Inhalte als auch bei der schnellen Verarbeitung großer Textmengen. Diese neue Skalierbarkeit eröffnet viele neue Entwicklungsmöglichkeiten für den Aspekt der Lüge im Social Engineering.
Ein neues Mittel, das Angreifer nutzen können, um Lügen zu erfinden, ist die KI-Technologie selbst. Lügen über Themen wie ChatGPT oder VR können beispielsweise sehr wirkungsvoll sein, da sie großes Interesse wecken. Darüber hinaus können Angreifer gefälschte KI-bezogene Tools erstellen, die in Wirklichkeit Malware sind. Grafikdesigner sind im Allgemeinen neugierig auf die Erstellung von Deepfake-Bildern und -Videos. Ein Tool, das der Angreifer anbieten könnte, um dies zu erleichtern, würde wahrscheinlich heruntergeladen und ausgeführt werden. Deepfake-Bilder und -Videos können auch in bestehende erfolgreiche Betrugsmaschen integriert werden, um ihnen mehr Glaubwürdigkeit zu verleihen. Diese Strategie ist in der aktuellen Bedrohungslandschaft eindeutig auf dem Vormarsch. Deepfakes bergen ohne Zweifel das Potenzial, Social-Engineering-Betrug grundlegend zu verändern. Angreifer werden sie in naher Zukunft wahrscheinlich in großem Umfang einsetzen..
Abbildung 3. Wie Deepfakes Anruf- und Sprachbetrug verstärken können
Weitere Informationen über die Zukunft des Social Engineering finden Sie hier.
Trend Micro's Vision One Platform-Lösungen
Trend Vision One™ ist eine Cybersicherheitsplattform, die die Sicherheit vereinfacht und Unternehmen dabei hilft, Bedrohungen schneller zu erkennen und zu stoppen. Dazu konsolidiert sie mehrere Sicherheitsfunktionen, ermöglicht eine bessere Kontrolle der Angriffsfläche des Unternehmens und sorgt für vollständige Transparenz in Bezug auf Cyberrisiken.
Die Cloud-basierte Plattform nutzt KI und Bedrohungsinformationen von 250 Millionen Sensoren und 16 Zentren für Bedrohungsforschung weltweit. Ziel ist es, umfassende Risikoinformationen, frühzeitige Erkennung von Bedrohungen und automatisierte Optionen zur Reaktion auf Risiken und Bedrohungen in einer einzigen Lösung bereitzustellen.