academy
Sicherheit
Sicherheit
Alle Artikel zum Thema Sicherheit anzeigen
Privatsphäre
Privatsphäre
Alle Artikel zum Thema Privatsphäre anzeigen
Leistung
Leistung
Alle Artikel zum Thema Leistung anzeigen
Sprache auswählen
Sprache auswählen
Avast Academy Sicherheit Andere Bedrohungen Was ist Social Engineering und wie schützt man sich davor?

Was ist Social Engineering und wie schützt man sich davor?

In jeder Sicherheitskette ist der Mensch in der Regel das schwächste Glied. Im Gegensatz zu Maschinen sind Menschen anfällig dafür, auf viele verschiedene Arten von Manipulationen hereinzufallen. Diese Taktiken werden als Social Engineering bezeichnet. Hacker haben viele Formen von Social-Engineering-Angriffen entwickelt, um sich auf diese Weise Zugang zu privaten Informationen zu verschaffen und Daten, Geld und anderes zu stehlen. Glücklicherweise verfügt eine gute Sicherheitssoftware wie Avast One über integrierte Schutzmechanismen, die helfen zu verhindern, dass Sie Opfer von Social-Engineering-Tricks werden.

What_Is_Social_Engineering-Hero

Was ist Social Engineering?

Zum Social Engineering zählen verschiedene Arten der psychologischen Manipulation. In manchen Fällen kann Social Engineering zu positiven Ergebnissen führen, z. B. in Form der Motivation zu einer gesünderen Lebensweise. Im Bereich der Informationssicherheit profitiert jedoch nur der Angreifer vom Social Engineering. In diesen Fällen wird Social Engineering eingesetzt, um an sensible Informationen zu gelangen, z. B. persönliche oder finanzielle Daten. Social Engineering ist damit auch eine Form von Cyberkriminalität.

Hamburguer menu icon

Dieser Artikel enthält:

    Wie funktioniert Social Engineering?

    Beim Social Engineering werden die sogenannten kognitiven Verzerrungen der Menschen ausgenutzt, sozusagen die „Bugs in der menschlichen Hardware“. Und leider gibt es viele Arten dieser kognitiven Verzerrungen, die zwielichtige Gestalten zu ihrem Vorteil ausnutzen können, indem sie den Opfern persönliche oder finanzielle Informationen quasi vor ihren Augen entwenden. Zum Beispiel kann die menschliche Tendenz, sympathischen, attraktiven oder als Autoritätspersonen wahrgenommenen Menschen zu vertrauen, bei Social-Engineering-Angriffen zum Verhängnis für uns werden.

    Denn bei manchen Social-Engineering-Techniken wird genau diese „Vertrauenstendenz“ ausgenutzt. Im Jahr 2018 nahmen Phishing-Betrugsfälle bei Ferienunterkünften, bei denen sich die Hacker als Vermieter ausgaben, so überhand, dass die US Federal Trade Commission eine Warnung herausgab. Die Hacker hatten sich meistens Zugang zu den Kontaktinformationen und E-Mails der Vermieter verschafft, sodass es für die Opfer nicht ersichtlich war, dass sie nicht mit dem tatsächlichen Vermieter kommunizierten.

    Warum ist Social Engineering so gefährlich?

    Die manipulativen Taktiken beim Social Engineering sind perfide, da sie schwer zu durchschauen sind. Oft bemerken die Opfer von Social Engineering erst dann, dass sie hinters Licht geführt wurden, wenn sich der Angreifer bereits Zugang zu den gewünschten sensiblen Daten verschafft hat. Zwar haben die kognitiven Verzerrungen auch positive Seiten, aber dieses psychologische Phänomen kann eben auch gegen uns verwendet werden. Social-Engineering-Angreifer sind auf die privaten Daten der Benutzer aus, was zu Identitätsdiebstahl, Identitätsbetrug, Erpressung und mehr führen kann.

    Für Social-Engineering-Angriffe werden oft E-Mails, Text- oder Sprachnachrichten eingesetzt, die von einer scheinbar harmlosen Quelle stammen.

    Social-Engineering-Techniken nutzen das Vertrauen der Menschen aus.Social-Engineering-Angriffe stammen oft aus scheinbar vertrauenswürdigen Quellen.

    Und es ist nicht nur Geld, das auf dem Spiel steht – die Kreditwürdigkeit und der (Online-)Ruf der Opfer können beschädigt werden, und es können hohe Schulden in ihrem Namen entstehen. Diese Auswirkungen lassen sich sicher rückgängig machen, aber es kann Wochen dauern und ein endloses Hin und Her mit Unternehmen und Behörden bedeuten, bis alles geklärt ist. Antivirus-Software schützt Sie in gewissem Maße, aber kann letztendlich nicht Ihr Gehirn vor Manipulation schützen. Der beste Schutz vor Social-Engineering-Angriffen ist das rechtzeitige Erkennen solcher Angriffe, um nicht auf sie hereinzufallen.

    Wenn Sie befürchten, dass Sie Opfer eines Social-Engineering-Angriffs geworden sind und dass jemand auf Ihre persönlichen Daten zugegriffen hat, kann Avast BreachGuard helfen. BreachGuard scannt das Darknet, um zu prüfen, ob Ihre persönlichen Informationen dort aufgetaucht sind, und gibt bei Bedarf Hilfestellungen, wie Sie am besten reagieren. 

    Und wenn Ihre Daten schon in die Datenbanken von Datenbrokern gelangt sind, hilft Avast BreachGuard beim Entfernen dieser Daten und beim Beurteilen Ihrer Sicherheitsmaßnahmen, um solche Vorfälle in Zukunft zu verhindern. Werden Sie nicht zum Opfer von Social-Engineering-Angriffen – holen Sie sich BreachGuard noch heute und fahren Sie Ihre digitale Abwehr hoch.

    Holen Sie es sich für Mac

    Holen Sie es sich für Mac

    Holen Sie es sich für Mac

    Holen Sie es sich für Mac

    Wie sehen Social-Engineering-Angriffe aus?

    Sind Sie schon einmal Social Engineering zum Opfer gefallen? Sie haben es vielleicht nicht bemerkt, denn Social-Engineering-Angriffe können viele verschiedene Formen annehmen. Im Bereich des Datenmissbrauchs werden für Social-Engineering-Angriffe oft E-Mails, Text- oder Sprachnachrichten eingesetzt, die von einer scheinbar harmlosen Quelle stammen. Sie denken wahrscheinlich, dass Sie verdächtige E-Mails gleich erkennen, aber die Angreifer sind immer raffinierter geworden.

    Zu bekannten Social-Engineering-Angriffen zählen die Cyberattacke auf Sony Pictures im Jahr 2014, der E-Mail-Hacking-Angriff auf die Demokratische Partei im Jahr 2016 in den USA und der Angriff auf die Kryptowährung Ethereum Classic im Jahr 2017, bei dem Hacker sich als der Inhaber von Classic Ether Wallet ausgaben und Tausende Dollar in Kryptowährung stahlen. 

    In jüngerer Zeit wurde Twitter zum Schauplatz von Social-Engineering-Angriffen: Die Konten von Barack Obama, Bill Gates, Elon Musk und anderen wurden gehackt, um Bitcoin-Zahlungen von den Followern zu erlangen. Diese Fälle zeigen, dass selbst Organisationen und Einzelpersonen, die über ausgeklügelte Abwehrmechanismen gegenüber Cyberangriffen verfügen sollten, Opfer von Social Engineering werden können.

    Social Engineering in der Online-Welt

    Social Engineering kann persönlich, per Telefon oder online stattfinden. Heutzutage erfolgt Social Engineering häufig online, z. B. in Form von E-Mail-Angriffen oder Betrugsmaschen in sozialen Medien, bei denen sich Angreifer als vertrauenswürdiger Kontakt oder Autoritätsperson ausgeben, um an vertrauliche Informationen zu kommen. 

    Im Gegensatz zu dem, was der Begriff „Engineering“ eigentlich andeutet, müssen die Akteure, also die Social Engineers, keine besonderen technischen Fähigkeiten haben. Tatsächlich ist das sogenannte Social-Media-Engineering fast so einfach wie das Einrichten eines Kontos, denn es geht nicht darum, einen Computer zu hacken, sondern Menschen – also sie dazu zu bringen, die von den Hackern gewünschten Informationen preiszugeben.

    Und die sozialen Medien bieten den Social Engineers immer mehr Möglichkeiten, denn diese haben gelernt, täuschend echt wirkende Profile anzulegen oder sogar die Identität echter Personen anzunehmen. Deshalb ist es wichtig, wachsam zu bleiben, wenn Sie mit Profilen von fremden oder unbekannten Benutzern in sozialen Medien interagieren.

    Häufige Arten von Social-Engineering-Angriffen 

    Social Engineering ist also schwer zu erkennen, aber das bedeutet nicht, dass es unmöglich ist, diese Betrugsmasche als solche zu entlarven. Es gibt fast so viele Arten von Social-Engineering-Angriffen, wie es Arten von kognitiven Verzerrungen gibt, und einige schaffen es sogar hin und wieder in die Nachrichten. Wir haben hier schon einige „berühmte“ Beispiele für Social-Engineering-Angriffe erwähnt. Jetzt sehen wir uns die gängigsten Social-Engineering-Techniken an.

    E-Mail-Spam

    E-Mail-Spam ist eine der ältesten Formen des Social Engineering in der Online-Welt und ist im Wesentlichen für alle Spam-Mails in Ihrem Posteingang verantwortlich. Im besten Fall ist E-Mail-Spam lästig, im schlimmsten Fall ist es nicht nur Spam, sondern Scam (Betrug): das heißt, jemand will an Ihre persönlichen Daten gelangen. Viele E-Mail-Server suchen automatisch nach bösartigem Spam, aber das funktioniert nicht immer perfekt, und manchmal gelangen dann trotzdem gefährliche E-Mails in Ihren Posteingang.

    Phishing

    So wie beim Spam werden auch beim Phishing E-Mails eingesetzt, die aber als legitime E-Mails getarnt sind. Beim Phishing erhalten die Opfer E-Mails, die angeblich von einer vertrauenswürdigen Quelle stammen, aber in Wirklichkeit darauf abzielen, die Opfer zur Preisgabe persönlicher oder finanzieller Informationen zu verleiten. Denn warum sollten wir die Echtheit einer E-Mail anzweifeln, die von einem Freund, einem Verwandten oder einem bekannten Unternehmen kommt? Phishing-Betrüger nutzen dieses Vertrauen gezielt aus.

    Baiting

    Social-Engineering-Angriffe können ihren Ursprung auch offline haben. Beim Baiting (auf Deutsch etwa „Ködern“) hinterlässt ein Angreifer ein mit Malware infiziertes Gerät – z. B. ein USB-Laufwerk – an einem Ort, an dem es wahrscheinlich gefunden wird. Diese Geräte sind oft so beschriftet, dass sie neugierig machen. Personen, die also besonders neugierig (oder vielleicht auch nur gierig) sind und das Gerät an ihren Computer anschließen, können ihn dann unwissentlich mit Malware infizieren. Anscheinend ist es also keine gute Idee, unbekannte Flash-Laufwerke ans eigene Gerät anzuschließen.

    Vishing

    Vishing, auch bekannt als „Voice-Phishing“, ist eine raffinierte Form des Phishing. Bei diesen Angriffen kann eine Telefonnummer so gefälscht werden, dass sie von einem Techniker, Kollegen, IT-Mitarbeiter usw. zu stammen scheint. Einige Angreifer setzen auch Stimmenwechsler ein, um ihre Identität noch stärker zu verschleiern.

    Smishing

    Smishing ist ein Phishing-Angriff, der in Form von Textnachrichten oder SMS-Nachrichten erfolgt. Diese Angriffe fordern das Opfer in der Regel zur sofortigen Aktion auf, indem infizierte Links zum Anklicken oder Telefonnummern zum Kontaktieren mitgeschickt werden. Dadurch werden sie zur Preisgabe persönlicher Informationen verleitet, die die Angreifer zu ihrem Vorteil ausnutzen können. Bei Smishing-Angriffen wird oft ein Gefühl der Dringlichkeit vermittelt und das Vertrauen der Menschen in die Textnachrichten auf ihrem Smartphone ausgenutzt, um sie zum schnellen Handeln zu bewegen.

    Pretexting

    Pretexting ist eine Art von Social-Engineering-Angriff, bei dem eine Identität vorgetäuscht wird, um an private Informationen zu gelangen. Pretexting-Angriffe können online oder offline stattfinden. Heute ist es für Betrüger leider einfacher denn je, sich über potenzielle Opfer detailliert zu informieren und ihre Aktivitäten zu verfolgen, sodass sie ihnen eine daran angepasst glaubwürdige Geschichte (oder einen Vorwand) auftischen können.

    Pretexting-Angriffe zählen zu den effektivsten, da sie am schwersten zu erkennen sind. Die Angreifer investieren oft viel in die Recherche, um ihr Anliegen möglichst authentisch wirken zu lassen. Die Maschen der Betrüger sind nicht immer leicht zu erkennen, daher sollten Sie sehr vorsichtig sein, wenn Sie vertrauliche Informationen an Fremde weitergeben, auch wenn sie vorgeben, Kundendienstmitarbeiter, IT-Techniker oder andere „echte“ Personen zu sein.

    Dies sind nur die gängigsten Arten von Social-Engineering-Angriffen, mit denen die Akteure versuchen, an die persönlichen Daten der Opfer zu gelangen. Angreifer finden immer wieder neue Wege, Menschen und Computer gleichermaßen auszutricksen, das gilt insbesondere für die altbewährten Social-Engineering-Techniken wie E-Mail-Spam und Pretexting.

    Wir bei Avast bleiben auf der Höhe dieser sich ständig entwickelnden Online-Bedrohungen, indem wir die Bedrohungserkennungs-Engine hinter Avast One, unserer umfassenden Sicherheits- und Datenschutz-App, ständig aktualisieren. Außerdem sorgt unser integrierter Web-Schutz dafür, dass Sie nicht unbeabsichtigt auf einer Phishing-Website landen. Laden Sie Avast One herunter, um Echtzeitschutz vor Social-Engineering-Angriffen sowie vor Malware und anderen Online-Bedrohungen zu erhalten.

    Wer ist am stärksten gefährdet?

    Jeder kann Opfer von Social Engineering werden. Wir allen unterliegen unseren eigenen kognitiven Verzerrungen, und die meiste Zeit sind wir uns ihrer nicht bewusst. Einige Gruppen sind aber besonders gefährdet, wie z. B. ältere Menschen: Sie verfügen über kein ausreichendes technisches Verständnis, haben oft wenige zwischenmenschliche Kontakte und können von Cyberkriminellen als Personen eingestuft werden, die viel Geld und Vermögen haben, von dem sie vermutlich leichtfertig etwas weggeben würden. Aber technologisches Know-how alleine, auch in Unternehmen, kann Menschen nicht vor psychologischer Manipulation schützen.

    So werden Sie nicht zum Opfer von Social Engineering

    Wenn Sie sich einmal im Netz eines Social Engineers verfangen haben, kann es schwierig sein, sich wieder daraus zu befreien. Der beste Schutz vor Social-Engineering-Angriffen besteht darin, sie rechtzeitig zu erkennen. Zum Glück müssen Sie zur Umsetzung einer guten Social-Engineering-Prävention kein Technikexperte sein – Sie müssen nur Ihre Intuition und den altmodischen gesunden Menschenverstand einsetzen.

    Nutzen Sie vertrauenswürdige Antivirus-Software

    Sie können sich Zeit und Mühe bei der Überprüfung von Quellen sparen, indem Sie eine vertrauenswürdige Antivirus-Software verwenden, die Sie bei verdächtigen Nachrichten oder Websites warnt. Sicherheitssoftware erkennt und blockiert Malware und identifiziert potenzielle Phishing-Angriffe, bevor diese eine Chance haben, Sie zu täuschen.

    Ändern Sie die Einstellungen für Spam-E-Mails

    Sie können auch Ihre E-Mail-Einstellungen und Spam-Filter verstärken, falls sich zu viel Spam in Ihren Posteingang mogelt. Wie Sie dabei genau vorgehen, hängt von Ihrem E-Mail-Client ab. Weitere Informationen finden Sie in unserem Handbuch zum Erkennen und Verhindern von Spam.

    Prüfen Sie die Quelle genau

    Wenn Sie eine E-Mail, eine SMS oder einen Anruf von einer unbekannten Quelle erhalten, geben Sie die Adresse oder Telefonnummer in eine Suchmaschine ein und sehen Sie sich die Ergebnisse an Wenn es sich um eine Social-Engineering-Attacke handelt, wurde vor der Nummer oder E-Mail-Adresse wahrscheinlich schon von anderen gewarnt. Auch wenn der Absender seriös wirkt, sollten Sie ihn trotzdem überprüfen – denn die E-Mail-Adresse oder Telefonnummer kann sich nur geringfügig von der echten Quelle unterscheiden und mit einer unsicheren Website verknüpft sein.

    Wenn ein Angebot zu gut klingt, um wahr zu sein ... ist es das wahrscheinlich auch

    Sie erinnern sich an die oben erwähnte Twitter-Attacke? Dabei behaupteten Prominente wie Elon Musk und Bill Gates angeblich auf Twitter, dass sie Tausende von Dollar in Bitcoin zahlen würden ... wenn die Follower ihnen nur 1.000 US-Dollar geben. 

    Es ist relativ klar, dass dieses Angebot (Prominente, die einfach so Tausende von Dollar in Bitcoin verteilen) zu gut klingt, um wahr zu sein. Bei einem solchen Social-Engineering-Angriff können also die Intuition und der gesunde Menschenverstand ein guter Schutzschild sein – seien Sie vorsichtig bei Angeboten, die großzügige Belohnungen für einen scheinbar geringen Geldbetrag oder scheinbar harmlose Informationen versprechen. Und wenn die Bitte von jemandem zu kommen scheint, den Sie kennen, fragen Sie sich: „Würde diese Person mich wirklich auf diese Weise nach Informationen fragen? Würde sie diesen Link wirklich mit mir teilen?”

    Wappnen Sie sich gegen Social-Engineering-Angriffe

    Bei Social-Engineering-Angriffen gilt das Sprichwort „Vorsicht ist besser als Nachsicht“. Und in vielen Fällen sollte die „Nachsicht“ darin bestehen, Ihre Passwörter zu ändern und die vielleicht entstandenen finanziellen Verluste mit so viel Würde zu tragen wie möglich. Aber auch unser Gehirn und Verstand ist keine Garantie dafür, dass wir vor Angriffen gefeit sind.

    Hier kommt Avast One ins Spiel, das Ihr System schützen kann. Avast One nutzt intelligente Analysefunktionen, um Viren zu erkennen und zu blockieren, bevor sie Schaden anrichten können. Und es scannt verdächtige Dateien, bevor Sie sie versehentlich öffnen, und unterstützt Sie beim Absichern Ihres Systems. Und das Beste daran? Avast One verfügt über einen integrierten Web-Schutz vor Phishing, sodass Sie keinem Social-Engineering-Angriff in Ihrem Posteingang zum Opfer fallen müssen. Warten Sie nicht – wappnen Sie sich noch heute.

    Mit Avast One Ihr Android vor Online-Bedrohungen schützen

    KOSTENLOSE INSTALLATION

    Mit Avast One Ihr iPhone vor Online-Bedrohungen schützen

    KOSTENLOSE INSTALLATION