What is the definition of a social engineering attack?

A social engineering attack is the practice of manipulating people to give up confidential information, like login credentials or financial details. These attacks can occur in person, over the phone, via email, through social media, or online.

How do social engineering attacks work?

Social engineering attacks use a variety of tactics to get a victim's trust and manipulate them into taking an unintended action. Common tactics include impersonating a trusted party, baiting victims with something desirable, or creating a fake situation to get information (pretexting). Attackers also use emotional appeals to greed, fear, or curiosity to incite their victims into action.

What are some examples of social engineering attacks?

Examples of social engineering attacks include sending a victim an email from someone in their contact list that contains a malicious link, using a fake login page to steal a user's password, or using a thumb-drive drop attack to target a well-protected company network.

How can social engineering attacks be prevented?

The best defense is common sense and an up-to-date knowledge of these attacks. People should be cautious of suspicious communications, avoid clicking links in emails (instead typing trusted URLs directly into their browser), and contact institutions and service providers directly if they receive an unexpected message. For businesses, using a Zero Trust security model can help contain damage if an attacker uses social engineering to gain a foothold in the network.

How can social engineering attacks impact a business?

Social engineering attacks can be used as a starting point for larger cyber attacks by advanced persistent threats (APTs). By compromising a single person, attackers can more easily access the rest of their organization. Successful social engineering attacks can lead to data exfiltration and ransomware infections, among other attacks.

Was ist ein Social-Engineering-Angriff?

Bei Social-Engineering-Angriffen werden die Opfer so manipuliert, dass sie sensible Informationen aushändigen, die für böswillige Zwecke verwendet werden können.

Im Allgemeinen ist Social Engineering die Praxis, Menschen zu manipulieren, damit sie sensible Informationen preisgeben. Social-Engineering-Angriffe können persönlich stattfinden, zum Beispiel wenn sich ein Einbrecher als Lieferwagenfahrer verkleidet, um in ein Gebäude eingelassen zu werden. Dieser Artikel wird sich stattdessen auf Social-Engineering-Cyberangriffe konzentrieren. In den meisten Fällen zielen diese Angriffe darauf ab, das Opfer dazu zu bringen, entweder Anmeldedaten oder sensible Finanzinformationen preiszugeben.

Social-Engineering-Angriffe können folgendermaßen aussehen:

Beispielsweise kann ein Angreifer eine E-Mail an sein Opfer senden und es dabei aussehen lassen, als würde die Nachricht von einer Person aus der Kontaktliste des Betroffenen stammen. Diese E-Mail kann einen verdächtigen Link enthalten, der bei Anklicken einen böswilligen Cross-Site-Scripting-Angriff ausführt oder das Opfer auf eine böswillige Website leitet.
Oder aber ein Angreifer ködert Online-Benutzer mit Links, die vorgeben, zu Downloads beliebter Filme oder Software zu führen, jedoch in Wirklichkeit eine böswillige Nutzlast beinhalten.
Ein anderer Angreifer wiederum kontaktiert sein Opfer und behauptet, ein wohlhabender Ausländer zu sein, der deutsche Kontodaten benötigt, um sein Vermögen zu überweisen, und verspricht, das Opfer im Gegenzug für seine Bankinformationen großzügig zu belohnen. In Wirklichkeit ist der Angreifer jedoch nur darauf aus, die Konten des Opfers zu leeren.
Ein Angreifer sendet eine Phishing-E-Mail, die das Opfer auf eine gefälschte Anmeldeseite leitet, um dessen Passwort zu stehlen.

Zusätzlich zu diesen Arten von kleinen und persönlichen Social-Engineering-Betrugsmaschen gibt es auch weitaus ausgeklügeltere Social-Engineering-Angriffe, die gegen ganze Organisationen gerichtet sind. Ein Beispiel ist das Verlieren von USB-Sticks. Diese Angriffe können die Netzwerke gut geschützter Unternehmen ins Visier nehmen – sogar solche, die nicht mit dem Internet verbunden sind. Angreifer tun dies, indem sie mehrere USB-Sticks auf dem Parkplatz der Zielfirma verteilen. Sie versehen diese Laufwerke mit einem verlockenden Etikett wie „Vertraulich“ in der Hoffnung, dass ein neugieriger Mitarbeitender einen findet und ihn in seinen Computer steckt. Diese Laufwerke können sehr zerstörerische Viren oder Würmer enthalten, die schwer zu erkennen sind, da sie von einem lokalen Computer aus in das Netzwerk gelangen.

Social-Engineering-Angriffe können per Telefon, über E-Mail, über Social-Media-Beiträge und sogar persönlich erfolgen. Sie verwenden eine Vielzahl von Taktiken, von denen einige unten beschrieben werden, um das Vertrauen des Opfers zu gewinnen und es zu manipulieren, die gewünschte Handlung auszuführen. Das Ziel ist immer, das Opfer zu etwas zu bringen, das es anfangs nicht wollte.

Sich als eine vertrauenswürdige Partei ausgeben: Dies könnte eine Marke, ein Kollege, ein Vorgesetzter oder sogar ein Freund oder ein Familienmitglied sein.
Köderung: Der Angreifer bietet dem Opfer etwas Begehrtes als Köder an. Der Köder könnte ein kostenloser Software-Download (der Schadsoftware enthält), das Versprechen einer zukünftigen Geldzahlung oder ein beruflicher Gefallen sein.
Vortäuschung (Pretexting): Die meisten Social-Engineering-Angriffe beinhalten eine Form der Vortäuschung, bei der der Angreifer eine vorgetäuschte Situation schafft oder beschreibt und dem beabsichtigten Opfer eine Lösung präsentiert. Der Angreifer könnte zum Beispiel behaupten, dass das Opfer von einem wichtigen Konto ausgesperrt ist und seine Anmeldedaten übergeben muss, damit das Problem behoben werden kann.
Emotionale Ansprache: Betrüger versuchen, bei ihren Opfern Emotionen zu wecken, um sie zum Handeln zu bewegen. Sie können Angst (indem sie eine negative Situation beschreiben, die behoben werden muss), Gier (indem sie dem Opfer etwas anbieten), Hilfsbereitschaft (indem sie vorgeben, Hilfe zu benötigen) oder andere starke Gefühle einsetzen, um ihre Zielopfer zu manipulieren.
Scareware: Software, die für Social-Engineering-Zwecke entwickelt wurde, wird als Scareware bezeichnet. Diese Software funktioniert normalerweise, indem sie Popup-Nachrichten anzeigt, die das Opfer erschrecken, wie z. B. eine Nachricht, die dem Opfer mitteilt, dass sein Computer mehrere Viren hat. Die Nachrichten fordern das Opfer auch auf, Schadsoftware herunterzuladen oder persönliche Informationen preiszugeben, um das (fingierte) Problem zu beheben.

Manche Social Engineering-Angreifer versuchen einfach, aus ihren direkten Opfern so viel wie möglich herauszuholen. Andere hingegen nutzen Social Engineering, um größere Ziele zu erreichen, wie etwa die Kompromittierung eines gesamten Unternehmens oder Netzwerks und der darin enthaltenen Daten. Viele Ransomware-Angriffe und Datenschutzverletzungen beginnen mit Social Engineering. Sobald die Angreifer eine Person kompromittiert haben, fällt es ihnen leichter, auf den Rest der Organisation dieser Person zuzugreifen.

Die Datenschutzverletzung von RSA im Jahr 2011 sorgte für großes Aufsehen – vor allem deshalb, weil RSA ein vertrauenswürdiges Sicherheitsunternehmen ist. Diese Verletzung hebelte den beliebten Zwei-Faktor-Authentifizierungsdienst von RSA, SecurID, aus. Zwar wurden nicht alle Einzelheiten dieser Attacke öffentlich bekanntgegeben, aber man weiß, dass sie mit einem Social-Engineering-Angriff begann. Ausgangspunkt war ein simpler Phishing-Angriff, bei dem die Angreifer E-Mails an niedrigrangige RSA-Angestellte schickten, die den Anschein erweckten, es handle sich um Firmen-E-Mails aus dem Personalbüro. Einer der anvisierten Mitarbeiter öffnete den Anhang dieser E-Mail und löste so den Angriff aus.

Die Associated Press fiel 2013 einem Social-Engineering-Angriff zum Opfer, der zu einem Börsensturz in der Höhe von 136 Milliarden Dollar führte. Auch diesem Fall lag ein Phishing-Angriff zugrunde, der an Mitarbeiter verschickt wurde. Lediglich durch das Öffnen eines Links in der E-Mail löste einer der Mitarbeiter den Angriff aus. Das führte dazu, dass der Twitter-Account der AP kompromittiert wurde und die Angreifer eine gefälschte Nachrichtenmeldung über eine Explosion im Weißen Haus twittern konnten. Diese Falschmeldung verbreitete sich wie ein Lauffeuer und führte zu einem Kurssturz des Dow-Jones-Index um 150 Punkte. Eine syrische Hackergruppe, bekannt als die Syrian Electronic Army, bekannte sich zu dem Angriff, lieferte aber nie Beweise dafür.

Der Datendiebstahl bei der US-Einzelhandelskette Target im Jahr 2013 hat sich aufgrund seiner Raffinesse zu einem der berüchtigsten Cyberangriffe der Geschichte entwickelt. Wie die anderen hier erwähnten Angriffe begann er mit Social Engineering. Allerdings hatten es die Angreifer zunächst nicht auf jemanden abgesehen, der für Target arbeitet. Stattdessen schickten sie E-Mails an Mitarbeiter eines Heizungs- und Klimaanlagenanbieters, der High-Tech-Klimaanlagen in den Geschäften von Target installiert hatte. Diese Klimaanlagen waren mit den Computersystemen in den Geschäften von Target verbunden, und sobald die Angreifer in der Lage waren, den Drittanbieter zu kompromittieren, konnten sie sich in die Netzwerke von Target einhacken und Kreditkartendaten von Kartenscannern in Tausenden von Geschäften sammeln, wodurch ihnen die Finanzdaten von etwa 40 Millionen Target-Kunden in die Hände fielen.

Während automatisierte Sicherheitsfunktionen wie E-Mail-Screening Angreifer daran hindern können, mit Opfern in Kontakt zu treten, ist die beste Verteidigung gegen Social-Engineering-Angriffe der gesunde Menschenverstand in Verbindung mit aktuellem Wissen über gängige Social-Engineering-Angriffe. Das United States Computer Emergency Readiness Team (US-CERT) rät Bürgern, bei verdächtigen Mitteilungen vorsichtig zu sein und sensible Informationen nur auf sicheren Webseiten zu übermitteln (HTTPS und TLS sind gute Indikatoren für die Sicherheit von Webseiten). Es wird auch empfohlen, nicht auf Links in E-Mails zu klicken, sondern die URLs vertrauenswürdiger Unternehmen direkt in den Browser einzugeben. Website-Eigentümer können ihren Teil dazu beitragen, indem sie einen Dienst wie Cloudflare nutzen, der sie benachrichtigt, wenn Angreifer ihre Domain für Phishing-Angriffe verwenden.

Für Unternehmen kann der Schaden eines Social-Engineering-Angriffs eingedämmt werden, wenn eine Organisation ein Zero Trust-Sicherheitsmodell verwendet. Dieses Modell erschwert es Angreifern erheblich, weiter in ein Netzwerk oder ein System vorzudringen, sobald sie einmal Fuß gefasst haben. Erfahren Sie mehr darüber, wie Unternehmen sich mit Zero-Trust-Sicherheit vor Social Engineering schützen.

FAQs

Ein Social-Engineering-Angriff ist die Praxis, Menschen zu manipulieren, um vertrauliche Informationen wie Anmeldedaten oder Finanzdaten preiszugeben. Diese Angriffe können persönlich, per Telefon, per E-Mail, über soziale Medien oder online erfolgen.

Social-Engineering-Angriffe verwenden verschiedene Taktiken, um das Vertrauen des Opfers zu gewinnen und es zu einer unbeabsichtigten Handlung zu verleiten. Übliche Taktiken umfassen das Auftreten als eine vertrauenswürdige Partei, das Ködern von Opfern mit etwas Begehrenswertem oder das Erstellen einer gefälschten Situation, um Informationen zu erhalten (Pretexting). Angreifer nutzen auch emotionale Appelle an Gier, Angst oder Neugier, um ihre Opfer zum Handeln zu bewegen.

Beispiele für Social-Engineering-Angriffe sind das Senden einer E-Mail von einer Person aus der Kontaktliste des Opfers mit einem bösartigen Link, die Verwendung einer gefälschten Anmeldeseite, um das Passwort eines Benutzers zu stehlen, oder die Durchführung eines USB-Stick-Drop-Angriffs, um ein gut geschütztes Firmennetzwerk anzugreifen.

Die beste Verteidigung ist gesunder Menschenverstand und aktuelles Wissen über diese Angriffe. Menschen sollten bei verdächtigen Mitteilungen vorsichtig sein, keine Links in E-Mails anklicken (stattdessen vertrauenswürdige URLs direkt in ihren Browser eingeben) und sich direkt an Institutionen und Dienstleister wenden, wenn sie eine unerwartete Nachricht erhalten. Für Unternehmen kann die Implementierung eines Zero-Trust-Sicherheitsmodells dazu beitragen, den Schaden zu begrenzen, wenn ein Angreifer Social-Engineering-Techniken einsetzt, um im Netzwerk Fuß zu fassen.

Social-Engineering-Angriffe können von Advanced Persistent Threats (APTs) als Ausgangspunkt für größere Cyberangriffe genutzt werden. Indem eine einzelne Person kompromittiert wird, können Angreifer leichter auf den Rest der Organisation zugreifen. Erfolgreiche Social-Engineering-Angriffe können zu Datenexfiltration und Ransomware-Infektionen führen, unter anderem.

Was ist ein Social-Engineering-Angriff?

Was ist Social Engineering?

Wie funktionieren Social-Engineering-Angriffe?

Social-Engineering-Taktiken

Wie Social-Engineering-Angriffe in größere Cyberangriffskampagnen integriert werden

Was sind die bekanntesten Beispiele von Social-Engineering-Angriffen?

Schutz gegen Social-Engineering-Angriffe

FAQs

Was ist die Definition eines Social-Engineering-Angriffs?

Wie funktionieren Social-Engineering-Angriffe?

Was sind einige Beispiele für Social-Engineering-Attacken?

Wie können Social-Engineering-Angriffe verhindert werden?

Wie können Social-Engineering-Angriffe ein Unternehmen beeinflussen?