Was ist Social Engineering ?

Unter Social Engineering versteht man, das Beeinflussen einer Person. Dabei wird versucht, das Vertrauen des Opfers zu gewinnen, um so an personenbezogene Daten zu kommen oder vertrauliche Informationen zu erhalten. Gemeint sind damit Passwörter, Adressen oder Kontodaten, mit diesen kann der Hacker zum Beispiel Überweisungen tätigen, ohne dass das Opfer etwas unternehmen kann. Meistens wird die Tat erst bemerkt, wenn es schon zu spät ist.

Solche Methoden werden schon seit Jahren benutzt, denn einer der bekanntesten Social Engineering Methoden ist der Enkel-Trick. Dieser wird auch noch heute verwendet um ältere Menschen um ihr Geld zu bringen, dabei gibt sich der Täter als Enkel aus, der dringend Geld benötigt. Viele fallen darauf rein und überweisen dann das Geld an den Fake-Enkel, welcher sich dann nie wieder meldet und der Hacker ist mit dem Geld über alle Berge.

Oft sind die Betrüger so authentisch in ihrer Rolle, sodass viele Menschen darauf hereinfallen. Ähnliche Tricks werden auch bei Unternehmen verwendet, allerdings ist dort viel Hintergrundinformation nötig und meistens eine Schnittstelle zum Unternehmen, wie ein E-Mail-Adresse oder Login-Daten eines Mitarbeiters.

Arten von Social Engineering

Phishing

  • Zielt auf eine breite Masse ab
  • Meist per E-Mail, Telefon, SMS oder andere soziale Kontaktpunkte

Baiting

  • Verlockende Anzeigen oder Online-Werbung
  • Falsche Versprechungen, um an persönliche Daten zu kommen

Whaling

  • Personalisierte Form von Phishing
  • Ziel sind hochrangige FĂĽhrungskräfte und Mitarbeiter

Schutz vor Social Engineering

  • Daten: Geben Sie private und berufliche Daten niemals an unseriöse Seiten oder Personen weiter.

  • Achtsamkeit: PrĂĽfen Sie immer den Absender und versichern Sie sich, dass die Quelle vertraulich ist.

  • Spamfilter: Gute Spamfilter können helfen Mails mit unseriösen Absendern und Inhalten frĂĽhzeitig zu erkennen.

Typischer Social Engineering Vorfall

Anna Müller aus der Buchhaltungsabteilung erhielt einen Anruf von einem Mann, der sich als IT-Mitarbeiter ausgab. Er bat sie, eine Software zu installieren, um ein angebliches Computerproblem zu beheben. Anna folgte seinen Anweisungen und der Betrüger erlangte Zugriff auf sensible Unternehmensdaten. Am nächsten Tag wurden unautorisierte Geldtransfers entdeckt. Der Vorfall war ein Weckruf, der das Unternehmen dazu brachte, zusätzliche Sicherheitsmaßnahmen und Schulungen einzuführen.

  • Richtig wäre es, wenn Anna MĂĽller mehr Fragen an den IT-Mitarbeiter gestellt hätte, um sicher zu gehen dass es sich auch um die richtige IT-Abteilung handelt. 

  • Anna hätte keine Software installieren sollen, die von einer unbekannten Quelle kommt oder von der sie nicht sicher ist, dass sie vertrauenswĂĽrdig ist.

  • Regelmäßige Schulungen und Sensibilisierungen zur Erkennung von Social Engineering Techniken hätten ihr helfen können, den Betrug zu erkennen.