Holen Sie sich Avast One, das Ihnen hilft, Scams abzuwehren und Ihr Smartphone zu schützen
- Sicherheit
- Privatsphäre
- Leistung
In jeder Sicherheitskette ist der Mensch fast immer das schwächste Glied, denn er ist anfällig für alle Arten von Manipulation. Social-Engineering-Techniken machen sich diese menschliche Schwäche zunutze, um Opfer zur Preisgabe privater Informationen zu verleiten. Erfahren Sie, wie Sie einen Social-Engineering-Angriff erkennen und wie starke Sicherheitssoftware wie Avast One Sie davor bewahren kann, Opfer von Social-Engineering-Maschen zu werden.
Social Engineering ist die Anwendung psychologischer Techniken zur Verhaltensmanipulation. Social Engineering geschieht, indem menschliche Fehler ausgenutzt werden und die Opfer dazu gebracht werden, gegen ihre Interessen zu handeln. Im Bereich der Informationssicherheit bezieht sich die Definition von Social Engineering darauf, Menschen dazu zu bringen, private Daten wie Anmeldedaten oder Finanzinformationen online preiszugeben.
Dieser Artikel enthält:
In anderen Kontexten hat Social Engineering eine etwas andere Bedeutung. In den Sozialwissenschaften ist Social Engineering beispielsweise einfach das Bestreben, soziales Verhalten in einem größeren Rahmen, einer Gruppe, psychologisch zu beeinflussen. Dazu gehört auch, Menschen zu ermutigen, sich in öffentlichen Verkehrsmitteln gut zu verhalten, mit dem Rauchen aufzuhören oder sogar eine politische Revolution zu unterstützen.
In diesem Artikel befassen wir uns mit Social Engineering im Zusammenhang mit der Informationssicherheit, wo Hacker online Techniken einsetzen, um an vertrauliche Informationen zu gelangen. In diesem digitalen Bereich kann Social Engineering als Cyberkriminalität eingestuft werden.
Beim Social Engineering werden die sogenannten kognitiven Verzerrungen der Menschen ausgenutzt. Ein Social Engineering-Angreifer gibt sich als eine sympathische, vertrauenswürdige oder autoritäre Person aus und bringt das Opfer dazu, ihm zu vertrauen. Sobald das Opfer dem Angreifer vertraut, wird es dazu gebracht, private Informationen preiszugeben.
Leider gibt es viele Arten dieser kognitiven Verzerrungen, die Angreifer zu ihrem Vorteil ausnutzen können, indem sie den Opfern private Informationen quasi vor ihren Augen entwenden. Denn bei Social-Engineering-Techniken wird genau diese „Vertrauenstendenz“ auf viele verschiedene Arten ausgenutzt.
Eine der besten Möglichkeiten, sich vor einem Social-Engineering-Angriff zu schützen, besteht darin, sich über die gängigen Methoden des Social Engineering zu informieren. Heutzutage erfolgt Social Engineering häufig online, sogar über Betrugsmaschen in sozialen Medien, bei denen sich Angreifer als vertrauenswürdiger Kontakt oder Autoritätsperson ausgeben, um an vertrauliche Informationen zu kommen.
Hier sind weitere gängige Angriffsarten aus dem Werkzeugkasten des Social Engineering:
PhishingPhishing ist eine Art von Social-Engineering-Angriff, bei dem Mitteilungen so getarnt werden, dass sie von einer vertrauenswürdigen Quelle zu stammen scheinen. Diese Nachrichten – oft E-Mails – sollen die Opfer dazu bringen, persönliche Daten oder Finanzdaten preiszugeben. Denn warum sollten wir die Echtheit einer E-Mail anzweifeln, die von einem Freund, einem Verwandten oder einem bekannten Unternehmen kommt? Phishing-Betrüger nutzen dieses Vertrauen aus.
Spear-PhishingSpear-Phishing ist eine Art von Social-Engineering-Angriff, der auf große Unternehmen oder bestimmte Einzelpersonen abzielt. Spear-Phishing-Angriffe zielen vor allem auf einflussreiche kleine Gruppen oder Personen ab, wie Führungskräfte und Prominente. Social-Engineering-Angriffe, bei der diese Methode verwendet wird, sind oft gut recherchiert und heimtückisch getarnt, sodass sie schwer zu erkennen sind.
VishingVishing, auch bekannt als „Voice-Phishing“, ist eine raffinierte Form des Phishing. Bei diesen Angriffen wird in der Regel eine Telefonnummer gespooft, um legitim zu erscheinen – die Angreifer können sich als IT-Mitarbeiter, Kollegen oder Bankangestellte tarnen. Manche Angreifer verwenden auch Stimmveränderer, um ihre Identität weiter zu verschleiern.
SmishingSmishing ist ein Phishing-Angriff, der in Form von Textnachrichten (SMS) erfolgt. Diese Art von Angriffen fordern das Opfer in der Regel zur sofortigen Aktion auf, indem infizierte Links zum Anklicken oder Telefonnummern zum Anrufen mitgeschickt werden. Dadurch werden sie zur Preisgabe persönlicher Informationen verleitet, die die Angreifer zu ihrem Vorteil ausnutzen können. Bei Smishing-Angriffen wird oft ein Gefühl der Dringlichkeit vermittelt, um Opfer zum schnellen Handeln zu bewegen.
WhalingWhaling ist einer der ehrgeizigsten Phishing-Angriffe, der katastrophale Folgen haben kann. Diese Art von Social-Engineering-Angriff zielt in der Regel auf ein einziges hochrangiges Ziel ab. Whaling wird manchmal auch als „CEO-Betrug“ bezeichnet, was Ihnen eine Vorstellung von einem typischen Ziel vermittelt. Whaling-Angriffe sind schwieriger zu erkennen als andere Phishing-Angriffe, da sie erfolgreich einen angemessenen geschäftsmäßigen Tonfall anschlagen und Insider-Branchenkenntnisse zu ihrem Vorteil nutzen.
BaitingSocial-Engineering-Angriffe können ihren Ursprung auch offline haben. Beim Baiting (auf Deutsch etwa „Ködern“) hinterlässt ein Angreifer ein mit Malware infiziertes Gerät – z. B. ein USB-Laufwerk – an einem Ort, an dem es wahrscheinlich gefunden wird. Diese Geräte sind oft abschiftlich so beschriftet, dass sie Neugierde wecken. Personen, die also besonders neugierig (oder gierig) sind und das Gerät an ihren Computer anschließen, können ihn dann unwissentlich mit Malware infizieren.
ScarewareScareware ist eine Art Malware, die Taktiken des Social-Engineering verwendet, um Menschen zum Herunterladen gefälschter Sicherheitssoftware oder zum Besuch einer mit Malware infizierten Website zu verleiten. Scareware erscheint in der Regel in Form von Popups, die vorgeben, Ihnen bei der Entfernung eines Computervirus zu helfen, der sich angeblich auf Ihrem Gerät befindet. Sobald Sie auf das Popup klicken, werden Sie auf eine bösartige Website umgeleitet oder installieren unwissentlich noch mehr Malware.
Sollten Sie den Verdacht haben, dass Sie Scareware oder eine andere Art von aufdringlichen Popups haben, scannen Sie Ihren PC regelmäßig mit einem vertrauenswürdigen Tool zum Entfernen von Viren. Regelmäßiges Scannen Ihres Geräts auf Bedrohungen ist eine gute digitale Hygiene. Es kann dazu beitragen, zukünftige Social-Engineering-Angriffe zu verhindern und sogar Ihre privaten Daten zu schützen.
PretextingBeim Pretexting wird ein frei erfundenes Szenario bzw. ein Vorwand („Pretext“) geschaffen, mit dem Betrüger ihre Opfer überlisten. Pretexting-Angriffe können online oder offline stattfinden und gehören zu den effektivsten Tricks eines Social Engineers – die Angreifer recherchieren viel, um sich möglichst authentisch darzustellen.
Die Maschen der Betrüger sind nicht immer leicht zu erkennen, seien Sie daher sehr vorsichtig, wenn Sie vertrauliche Informationen an Fremde weitergeben. Und wenn Sie jemand wegen einer dringlichen Angelegenheit anruft, setzen Sie sich selbst mit der Organisation in Verbindung, um einen Social-Engineering-Angriff auszuschließen.
HoneytrapEine Honeytrap („Honigfalle“) ist eine Art von Social-Engineering-Masche, bei der ein Angreifer ein Opfer in eine prekäre sexuelle Situation lockt. Der Angreifer nutzt diese Situation dann als Gelegenheit für Sextortion oder eine andere Art von Erpressung. Social Engineers stellen oft Honeytraps auf, indem sie Spam-E-Mails versenden, in denen sie behaupten, sie hätten Sie „über Ihre Webcam beobachtet“ oder etwas ähnlich Unheimliches.
Wenn Sie eine solche E-Mail erhalten, sollten Sie sich vergewissern, dass Ihre Webcam sicher ist. Bleiben Sie dann ganz ruhig und antworten Sie nicht – diese E-Mails sind nichts weiter als Spam.
E-Mail-SpamE-Mail-Spam ist eine der ältesten Formen des Social Engineering in der Online-Welt und ist im Wesentlichen für alle Spam-Mails in Ihrem Posteingang verantwortlich. Im besten Fall ist E-Mail-Spam lästig, im schlimmsten Fall ist es nicht nur Spam, sondern Scam (Betrug): das heißt, jemand will an Ihre persönlichen Daten gelangen. Viele E-Mail-Server suchen automatisch nach bösartigem Spam, aber das funktioniert nicht immer perfekt, und manchmal gelangen dann trotzdem gefährliche E-Mails in Ihren Posteingang.
Die oben beschriebenen Methoden sind die gängigsten Arten von Social-Engineering-Angriffen, mit denen die Akteure versuchen, an die persönlichen Daten der Opfer zu gelangen. Angreifer finden immer wieder neue Wege, Menschen und Computer gleichermaßen auszutricksen, vor allem, indem sie kreativere Wege finden, die altbewährten Social-Engineering-Techniken wie E-Mail-Spam und Pretexting zu nutzen.
Wir bei Avast bleiben auf der Höhe dieser sich ständig entwickelnden Online-Bedrohungen, indem wir die Bedrohungserkennungs-Engine hinter Avast One, unserer umfassenden Sicherheits- und Datenschutz-App, ständig aktualisieren. Außerdem sorgt unsere integrierte Web-Schutz-Technologie dafür, dass Sie nicht unbeabsichtigt auf einer Phishing-Website landen. Laden Sie Avast One herunter, um Echtzeitschutz vor Social-Engineering-Angriffen sowie vor Malware und anderen Online-Bedrohungen zu erhalten.
Der beste Schutz vor Social-Engineering-Angriffen besteht darin, sie rechtzeitig zu erkennen. Wenn Sie sich schon einmal im Netz eines Social Engineers verfangen haben, kann es schwierig sein, sich wieder daraus zu befreien. Zum Glück müssen Sie zur Umsetzung einer guten Social-Engineering-Prävention kein Technikexperte sein – Sie müssen nur Ihre Intuition und den altmodischen gesunden Menschenverstand einsetzen.
Ändern Sie die Einstellungen für Spam-E-MailsEine der einfachsten Möglichkeiten, sich vor Social-Engineering-Angriffen zu schützen, besteht darin, Ihre E-Mail-Einstellungen zu ändern. Sie können Ihre Spam-Filter verstärken und verhindern, dass Social Engineering-Betrugs-E-Mails in Ihren Posteingang gelangen. Das Vorgehen bei der Einstellung von Spam-Filtern kann je nach dem von Ihnen verwendeten E-Mail-Client variieren und Sie sollten sich auch unseren Leitfaden zum Blockieren von Spam-SMS ansehen.
Sie können auch die E-Mail-Adressen von Personen und Organisationen, von denen Sie wissen, dass sie seriös sind, direkt zu Ihren digitalen Kontaktlisten hinzufügen – jeder, der in Zukunft behauptet, er sei eine dieser Personen, aber eine andere Adresse verwendet, ist wahrscheinlich ein Social Engineer.
Prüfen Sie die Quelle genauWenn Sie eine E-Mail, eine SMS oder einen Anruf von einer unbekannten Quelle erhalten, geben Sie die Adresse oder Telefonnummer in eine Suchmaschine ein und sehen Sie sich die Ergebnisse an. Wenn es sich um eine bekannte Social-Engineering-Attacke handelt, wurde vor dem Absender möglicherweise schon von anderen gewarnt. Auch wenn der Absender seriös wirkt, sollten Sie ihn trotzdem überprüfen – denn die E-Mail-Adresse oder Telefonnummer kann sich nur geringfügig von der echten Quelle unterscheiden und mit einer unsicheren Website verknüpft sein.
Diese Methode funktioniert nicht immer, wenn die Telefonnummer als Teil des Social Engineering-Angriffs gespooft wurde. Wenn eine Websuche keine Warnsignale liefert, kann ein Angriff auch dadurch verhindert werden, dass Sie sich direkt an die Organisation wenden, die behauptet, Sie kontaktiert zu haben.
Wenn ein Angebot zu gut klingt, um wahr zu sein ... Ist es das wahrscheinlich auchGrundlegende Fähigkeiten zum kritischen Denken sind eine der besten Methoden, um einen Social Engineering-Angriff zu verhindern. Bei den jüngsten Social-Engineering-Angriffen auf Twitter haben Prominente wie Elon Musk und Bill Gates scheinbar Angebote getwittert, Tausende von Dollar in Bitcoin zu verschenken ... sofern die Follower ihnen nur 1000 Dollar geben.
Wenn das Versprechen von Prominenten, Tausende von Dollar in Bitcoin zu verschenken, zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch. Bei dieser Art von Social-Engineering-Angriffen können Intuition und gesunder Menschenverstand sehr hilfreich sein. Seien Sie misstrauisch bei Angeboten, die üppige Belohnungen im Austausch für eine scheinbar geringe Gebühr versprechen. Und wenn die Bitte von jemandem zu kommen scheint, den Sie kennen, fragen Sie sich: „Würde diese Person mich wirklich auf diese Weise nach Informationen fragen?”
Verwenden zuverlässiger SicherheitssoftwareSie können sich Zeit und Mühe bei der Überprüfung von Quellen sparen und trotzdem Social-Engineering-Angriffe verhindern, indem Sie eine vertrauenswürdige Antivirus-Software verwenden, die Sie bei verdächtigen Nachrichten oder Websites warnt. Sicherheitssoftware erkennt und blockiert Malware und identifiziert Phishing-Angriffe, bevor diese eine Chance haben, Sie zu täuschen.
Sind Sie schon einmal Social Engineering zum Opfer gefallen? Sie haben es vielleicht nicht bemerkt, denn in der Praxis können Social-Engineering-Angriffe viele verschiedene Formen annehmen. Im Bereich der Informationssicherheit werden für Social-Engineering-Angriffe oft E-Mails, Text- oder Sprachnachrichten eingesetzt, die von einer scheinbar harmlosen Quelle stammen. Sie denken wahrscheinlich, dass Sie verdächtige E-Mails gleich erkennen, aber die Angreifer sind immer raffinierter geworden.
Die folgenden Beispiele aus der Praxis zeigen, dass selbst Unternehmen und Einzelpersonen mit ausgefeilten Abwehrmechanismen gegen Cyberangriffe und Ressourcen für die Prävention von Social Engineering immer noch Opfer werden können.
Im Jahr 2020 wurde Twitter zum Schauplatz von Social-Engineering-Angriffen: Die Konten von Barack Obama, Bill Gates, Elon Musk und anderen wurden gehackt, um Bitcoin-Zahlungen von den Followern zu erlangen. Die Akteure des Social-Engineering-Angriffs verdienten fast 120.000 Dollar in Bitcoin, aber die größere Gefahr war der eindeutige Zugriff der Hacker auf die Konten von Prominenten – obwohl Berichten zufolge keine persönlichen Daten kompromittiert wurden.
Seit 2011 hat der berüchtigte „Tinder Swindler“ seine Opfer immer wieder mit einer Reihe von Romance Scams dazu gebracht, für einen üppigen Lebensstil zu bezahlen. Er nutzte eine Kombination aus Manipulation, Love Bombing und Lügen, um seine Opfer zu bestehlen. In den letzten zwei Jahren seiner Social-Engineering-Tricksereien erbeutete er schließlich rund 10 Millionen Dollar. Im Jahr 2019 wurde er verurteilt und im Jahr 2022 fiel der Betrüger selbst auf einen Betrug herein und verlor fast 7000 Dollar seines hart verdienten (ergaunerten) Geldes.
Im Jahr 2018 nahmen Phishing-Betrugsfälle bei Ferienunterkünften, bei denen sich die Hacker als Vermieter ausgaben, so überhand, dass die US Federal Trade Commission eine Warnung herausgab. Die Hacker hatten sich meistens Zugang zu den Kontaktinformationen der Vermieter verschafft, sodass es für die Opfer nicht ersichtlich war, dass sie nicht mit dem tatsächlichen Vermieter kommunizierten.
Der Hack der Kryptowährung Ethereum Classic im Jahr 2017, bei dem sich Hacker als Besitzer der Classic Ether Wallet ausgaben, war ein weiterer hochkarätiger, realer Social-Engineering-Betrug. Die Hacker stahlen Tausende von Dollar in Kryptowährung von ahnungslosen Nutzern. Heutzutage sind Social-Engineering-Betrügereien in der Bitcoin Community immer noch weit verbreitet, und der Schutz vor Cryptojacking nimmt inzwischen einen hohen Stellenwert ein.
Der E-Mail-Hack der Demokratischen Partei in den USA mitten in den US-Präsidentschaftswahlen 2016 ist einer der bekanntesten Social-Engineering-Angriffe der jüngeren Vergangenheit. Russische Hacker starteten eine Spear-Phishing-Attacke gegen die Wahlkampfleiter der Demokraten, mit der sie sensible Wahlkampfinformationen und Wählerdaten von fast 500.000 Wählern abgreifen konnten.
Im Jahr 2015 verlor der bekannte Netzwerktechnologie-Hersteller Ubiquiti 46 Millionen Dollar, nachdem die E-Mail eines Mitarbeiters von Ubiquiti Networks gehackt worden war. Die Anmeldedaten des Mitarbeiters wurden dann von Betrügern verwendet, um gefälschte Überweisungen über die Finanzabteilung des Unternehmens anzufordern.
Ein weiterer berühmter Social-Engineering-Angriff war der Cyberangriff auf Sony Pictures im Jahr 2014, als nordkoreanische Hacker Phishing-E-Mails, getarnt als Apple-ID-Verifizierungs-E-Mails, an Mitarbeiter von Sony Pictures schickten. Die Hacker nutzten dann die Anmeldedaten, um die Netzwerke von Sony zu löschen und Finanzdaten und andere private Daten des Unternehmens zu stehlen.
Social Engineering kann jeden treffen – persönlich, am Telefon oder online – und es ist auch eine ziemlich einfache Methode, um Betrug oder andere Verbrechen zu begehen. Social Engineers müssen keine ausgeprägten technischen Fähigkeiten besitzen, sie müssen lediglich in der Lage sein, Sie zur Preisgabe sensibler Daten zu verleiten. Dadurch, dass wir alle gefährdet sein können, wird diese Masche zu einem potenziell verheerenden Betrug.
Die sozialen Medien bieten den Social Engineers immer mehr Möglichkeiten, denn diese haben gelernt, täuschend echt wirkende Profile anzulegen oder sogar die Identität echter Personen anzunehmen. Bleiben Sie daher immer wachsam, wenn Sie mit Profilen von fremden oder unbekannten Benutzern in sozialen Medien interagieren.
Die manipulativen Taktiken des Social Engineering sind heimtückisch. Oft merken die Opfer von Social Engineering nicht einmal, dass sie manipuliert werden, bis es zu spät ist. Zwar haben die kognitiven Verzerrungen auch positive Seiten, aber dieses psychologische Phänomen kann eben auch gegen uns verwendet werden. Social-Engineering-Angreifer sind auf die privaten Daten der Benutzer aus, was zu Identitätsdiebstahl, Erpressung und mehr führen kann.
Social-Engineering-Angriffe stammen oft aus scheinbar vertrauenswürdigen Quellen.
Und es ist nicht nur Geld, das auf dem Spiel steht – die Kreditwürdigkeit und der (Online-)Ruf der Opfer können beschädigt werden, und es können hohe Schulden in ihrem Namen entstehen. Diese Auswirkungen lassen sich sicher rückgängig machen, aber es kann lange dauern und ein endloses Hin und Her mit Behörden bedeuten, bis alles geklärt ist. Cybersichtsheitssoftware schützt Sie in gewissem Maße, aber kann letztendlich nicht Ihr Gehirn vor Manipulation schützen. Der beste Schutz vor Social-Engineering-Angriffen besteht darin, zu lernen, diese rechtzeitig zu erkennen.
Wenn Sie befürchten, dass Sie Opfer eines Social-Engineering-Angriffs geworden sind und dass jemand auf Ihre persönlichen Daten zugegriffen hat, kann Avast BreachGuard helfen. BreachGuard verfügt über Funktionen, mit denen das Dark Web gescannt werden kann. Dadurch wird geprüft, ob Ihre persönlichen Informationen dort aufgetaucht sind, und gibt bei Bedarf Hilfestellungen, wie Sie am besten reagieren.
Und wenn Ihre Daten schon in die Datenbanken von Datenbrokern gelangt sind, hilft Avast BreachGuard beim Entfernen dieser Daten und beim Beurteilen Ihrer Sicherheitsmaßnahmen, um solche Vorfälle in Zukunft zu verhindern. Werden Sie nicht zum Opfer von Social-Engineering-Angriffen – holen Sie sich BreachGuard noch heute und fahren Sie Ihre digitale Abwehr hoch.
Holen Sie es sich für Mac
Holen Sie es sich für Mac
Holen Sie es sich für PC
Holen Sie es sich für PC
Jeder kann Opfer eines Social-Engineering-Angriffs werden, denn wir alle haben kognitive Verzerrungen, die uns nicht immer bewusst sind. Menschen, denen es an technischem Wissen mangelt oder die sozial isoliert sind – wie ältere Menschen – sind möglicherweise noch anfälliger. Aber technologisches Know-how alleine, auch in Unternehmen, kann Menschen nicht vor psychologischer Manipulation schützen.
Bei Social-Engineering-Angriffen gilt das Sprichwort „Vorsicht ist besser als Nachsicht“. In vielen Fällen sollte die „Nachsicht“ darin bestehen, Ihre Passwörter zu ändern und die vielleicht entstandenen finanziellen Verluste mit so viel Würde zu tragen wie möglich.
Aber auch unser Gehirn und Verstand ist keine Garantie dafür, dass wir vor Angriffen gefeit sind. Und genau hier kommt Avast One ins Spiel. Avast One nutzt intelligente Analysen zur Erkennung und Blockierung der Arten von Angriffen, die Social Engineers gerne einsetzen, bevor diese Angriffe Sie infizieren können. Avast One scannt auch verdächtige Dateien, bevor Sie sie versehentlich öffnen, und es hilft Ihnen dabei, Sicherheitslücken und andere ausnutzbare Schwachstellen in Ihrem System zu schließen.
Und das Beste daran? Avast One ist völlig kostenlos und verfügt über einen integrierten Web-Schutz vor Phishing, sodass Sie keinem Social-Engineering-Angriff in Ihrem Posteingang zum Opfer fallen müssen. Warten Sie nicht – wappnen Sie sich noch heute.