7 gängige Arten von Social Engineering und wie man sich davor schützt

Es ist ein weit verbreiteter Irrglaube, dass bei Cyberangriffen immer Hacker zum Einsatz kommen, die mit ausgefeilter Technologie die Sicherheitsvorkehrungen eines Unternehmens durchbrechen. In Wirklichkeit ist eine der häufigsten Methoden, mit denen sich Hacker Zugang zu sicheren Systemen verschaffen, das Ausnutzen menschlicher Fehler.

Mit Social Engineering verleiten Hacker Ihre Mitarbeiter dazu, ihre Anmeldedaten oder andere sensible Informationen preiszugeben, oft über gefälschte Anmeldeseiten. Experten gehen davon aus, dass Social Engineering heute für schätzungsweise 98% aller Cyberangriffe verantwortlich ist.

Aber wie genau sehen diese Angriffe aus?

Werfen wir einen Blick auf die häufigsten Arten von Social Engineering und wie Sie verhindern können, dass sie in Ihrem Unternehmen Schaden anrichten.

1) Spam

Ja, Spam-E-Mails sind eine Form des Social Engineering – vor allem dann, wenn die E-Mails den Empfänger durch Täuschung zu einer Aktion bewegen sollen, sei es der Besuch einer Website, das Herunterladen einer Datei oder ein Kauf. Diese Nachrichten werden mit dem Ziel versendet, Mitarbeiter des Unternehmens zu täuschen.

Spam-E-Mails enthalten oft Links zu Websites, die dem Computer des Anwenders schaden, obwohl diese Links völlig harmlos aussehen.
Außerdem enthalten Spam-E-Mails manchmal Malware in Form von Anhängen. Diese Anhänge sehen oft wie legitime Dokumente aus, wie z. B. eine Quittung oder eine Rechnung. In Wirklichkeit wird der Anhang verwendet, um Malware auf das Gerät oder Netzwerk des Benutzers zu übertragen.

2) Phishing

Phishing ist Täuschung, um Anmeldeinformationen zu erhalten. Phishing kann sich auf unechte Websites, E-Mails und andere Medien stützen – oder auf eine Kombination aus all dem. Phishing-Tools sind so konzipiert, dass sie dem Benutzer vorgaukeln, dass er seine Anmeldedaten, einschließlich Passwörter, angeben muss. In Wahrheit werden diese Informationen jedoch auf einer gefälschten Website eingegeben, was Hackern die Möglichkeit bietet, die Anmeldedaten abzufangen und die Anmeldeinformationen dieser Person zu verwenden, um auf wertvolle Unternehmensdaten zuzugreifen, dem Unternehmen Schaden zuzufügen oder die Grundlage für einen umfangreicheren Cyberangriff in der Zukunft zu legen.

Phishing-E-Mails werden häufig als Nachrichten von der Bank eines Benutzers oder anderen vertrauten Diensten wie Google oder Microsoft getarnt.
Gezielte Phishing-Angriffe werden eher als spezifische Systeme getarnt, die von einer Organisation verwendet werden.

3) Vishing

Vishing ist eine Form des Phishings, die auf Anrufen und Sprachnachrichten beruht, um die Opfer zu täuschen. Bei dieser Methode wird versucht, das Ziel davon zu überzeugen, dass es sensible Daten am Telefon preisgeben soll, oder die Benutzer werden auf eine Website geleitet, die nur zu dem Zweck erstellt wurde, das Ziel zu täuschen.

In einigen Szenarien haben Hacker Opfer in großen Unternehmen getäuscht, indem sie sich als IT-Mitarbeiter ausgegeben haben.
Vishing war die Art von Social-Engineering-Angriff, die kürzlich die Twitter-Konten von 45 hochrangigen Persönlichkeiten kompromittierte.

4) Speer-Phishing

Spear-Phishing ähnelt dem herkömmlichen Phishing mit dem Unterschied, dass es gezielter ist – wie ein Fischer, der sein Ziel mit einem Speer anvisiert, anstatt einen Köder an der Leine zu verwenden, um jeden Fisch zu fangen, der gerade vorbeischwimmt.

Hacker nehmen bestimmte Ziele ins Visier, indem sie Informationen von der Website, dem Verzeichnis, dem LinkedIn-Konto oder einem anderen sozialen Netzwerk des Unternehmens abgreifen.
Dieser gezielte Ansatz ermöglicht es dem Hacker, die betrügerische Aktion zu personalisieren, was die Erfolgschancen deutlich erhöht.

5) Piggybacking

Diese Form des Social Engineering, die auch als Tailgating bezeichnet wird, findet persönlich statt. Der Täter folgt dem anvisierten Mitarbeiter zu einem sicheren Raum oder verleitet ihn dazu, den Zutritt zu dem sicheren Raum zu erlauben, in dem ein Gerät verwendet wird.

Obwohl Piggybacking nicht das häufigste Beispiel für Social Engineering ist, ist es besonders gefährlich für Unternehmen, die mit wertvollen/sensiblen Daten umgehen, die erhebliche und kostspielige Probleme verursachen können, wenn sie in die falschen Hände geraten.
Ein erfolgreicher Piggybacking-Angriff kann so einfach sein wie ein Mitarbeiter, der höflich die Bürotür für einen unberechtigten Gast aufhält.

6) Quid Pro Quo

Ähnlich wie beim Spear-Phishing lockt diese Social-Engineering-Methode mit einem kostenlosen Service, z. B. einer Sicherheitsüberprüfung des Unternehmensnetzwerks. Der kostenlose Service wird jedoch nur angeboten, wenn der böswilligen Partei etwas Wertvolles, wie z. B. Anmeldedaten, zur Verfügung gestellt werden. Diese scheinbar für beide Seiten vorteilhafte Vereinbarung ist in Wirklichkeit ein Betrug, da sie dem Hacker die wertvollen Anmeldedaten des Unternehmens oder andere wichtige Informationen zur Verfügung stellt, die er für schändliche Zwecke nutzen kann.

7) Baiting

Baiting ist eine weitere Form des Social Engineering, bei der die Zielperson mit einem kostenlosen Artikel oder Dienst geködert wird. Beim Baiting wird etwas kostenlos angeboten, entweder in Form eines digitalen Downloads oder eines physischen Gegenstands, nachdem die Zielperson eine Aktion ausgeführt hat. Etwas scheinbar so Unschuldiges und Harmloses wie das Ausfüllen eines Formulars kann ein Beispiel für Baiting sein.

Sogar die Anmeldung bei einem Dienst kann eine verdeckte Form des Köderns sein. Zum Beispiel kann ein Benutzer durch ein kostenloses Geschenk in Versuchung geführt werden, indem er sich über einen Drittanbieterdienst bei seiner E-Mail anmeldet.
Leider ist das Gratisgeschenk oft mit Malware geladen und/oder die Anmeldeinformationen des Benutzers werden abgefangen, wodurch die Voraussetzungen für Datendiebstahl oder weitere Cyberangriffe geschaffen werden.

Bedenken Sie den Schaden eines erfolgreichen Social Engineering-Angriffs

Phishing-Betrug und andere Social-Engineering-Angriffe können Unternehmen aller Art und Größe erheblichen Schaden zufügen.

Nehmen wir als Beispiel einen Social-Engineering-Angriff, bei dem die Anmeldedaten eines Mitarbeiters erfolgreich erlangt wurden. Die unbefugte Verwendung der Anmeldedaten und des Passworts des Mitarbeiters kann zu einem erheblichen Sicherheitsverstoß führen. Wenn Hacker im Unternehmenssystem sind, sind sie zu allem befugt, was der Mitarbeiter tun kann. Zum Beispiel könnte ein Hacker mit Netzwerkzugang Dateien löschen, Dateien verändern, Dateien kopieren, um sie auf dem Schwarzmarkt an andere zu verkaufen, Daten exportieren und weiteren Schaden anrichten.

Es ist auch möglich, dass der Hacker auf die Bankkonten des Unternehmens zugreifen und Geld auf seine eigenen Konten überweisen kann. Im Falle von Ransomware hält der Hacker das Netzwerk, die Computer oder Daten als Geisel und verlangt vom Zielunternehmen die Zahlung eines beträchtlichen Lösegelds, damit es die Kontrolle zurückerhält. Dieses Lösegeld wird typischerweise in Bitcoin gezahlt, was von den Behörden und anderen Sicherheitsexperten oft nicht nachvollzogen werden kann. Die Computer, das Netzwerk und/oder die Daten werden gesperrt, bis das Lösegeld vollständig gezahlt wurde (obwohl selbst die Zahlung des Lösegelds keine Garantie dafür ist, dass Sie Ihre Dateien zurückbekommen).

Was Sie tun können, um Social-Engineering-Angriffe zu verhindern

Ein proaktiver Umgang mit dem Risiko von Social Engineering kann die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich verringern.

Bieten Sie Ihren Mitarbeitern fortlaufende Schulungen an, um sicherzustellen, dass sie Social-Engineering-Bedrohungen erkennen und der Täuschung ausweichen können. Genauer gesagt, schulen Sie Ihre Teams in sicheren Praktiken für Web und E-Mail, damit sie wissen, wie sie es vermeiden können, getäuscht zu werden.

Mitarbeiter neu schulen und laufend an Social-Engineering-Angriffe erinnern

Denken Sie daran, dass, wie bei allen Formen von Schulungen, das Bewusstsein der Mitarbeiter für Social-Engineering-Methoden im Laufe der Zeit abnimmt – und diese Methoden werden sich auch in Zukunft weiterentwickeln. Es liegt an den Arbeitgebern und dem IT-Personal, die Benutzer an die Gefahren dieser Angriffe zu erinnern und auf die üblichen Anzeichen zu achten.

So sind beispielsweise E-Mails, die vermeintliche Rückerstattungen, nicht beanspruchte Gelder und kostenloses Geld betreffen, ein Warnsignal für Social Engineering-Versuche.
Seltsam aussehende Rechnungen, Kontoauszüge und Rechnungen sind ebenfalls ein Grund zur Sorge.

Jede Aufforderung, die persönlichen Daten eines Mitarbeiters zu bestätigen, sollte als verdeckter Social-Engineering-Versuch betrachtet werden. Stellen Sie sicher, dass Ihr Team alle Warnungen und Anzeichen für verdächtige Kontoanmeldeversuche oder andere rote Flaggen meldet.

Mitarbeiter sollten sich angewöhnen, E-Mails genau zu analysieren, insbesondere wenn sie von unbekannten Parteien gesendet werden. Die Bewertung von E-Mails sollte sich darauf konzentrieren, ob sie von einer vertrauenswürdigen Partei übermittelt werden. Wenn die Nachricht von einem externen Konto stammt, mit dem das Unternehmen oder der Benutzer normalerweise nicht kommuniziert, sollte sie für die IT-Abteilung zur Überprüfung gekennzeichnet werden. Darüber hinaus sollten E-Mail-Nachrichten, in denen persönliche Informationen wie der Name und/oder der Titel des Mitarbeiters fehlen, mit Misstrauen betrachtet werden.

Vor allem sollten die Mitarbeiter geschult werden, jede E-Mail mit einem kritischen Auge zu betrachten. Sie sollten sich befähigt fühlen, Nachrichten, die verdächtig erscheinen, ohne zu zögern zu markieren. Wenn die Sprache, der Ton, das Aussehen oder andere Feinheiten der fraglichen Nachricht auch nur geringfügig abweichend sind, könnte dies ein Hinweis darauf sein, dass der Absender nicht der ist, der er vorgibt zu sein.

Investieren Sie in Cybersicherheit und schützen Sie Ihr Unternehmen vor den gängigen Arten von Social Engineering

Cybersicherheitslösungen können proaktiv eine große Anzahl von E-Mail- und webbasierten Bedrohungen blockieren, so dass sie die Benutzer gar nicht erst erreichen. Dies ist die wesentliche erste Verteidigungslinie, die Ihr Unternehmen benötigt, um Bedrohungen daran zu hindern, in Ihr Netzwerk einzudringen und potenziell kostspielige Probleme zu verursachen.

Doch selbst die stärksten E-Mail-Filter und Firewalls lassen von Zeit zu Zeit einige Social-Engineering-Methoden durchschlüpfen. Genau aus diesem Grund ist die Schulung der Mitarbeiter so wichtig.

Sichern Sie Ihre Daten

Datensicherung ist die wichtigste Absicherung gegen Cyberattacken und Social Engineering. Wenn Sie proaktiv robuste Datensicherungen implementieren, können Sie beruhigt sein, da Sie wissen, dass zerstörte oder kompromittierte Daten schnell wiederhergestellt werden können. Die Quintessenz ist, dass Mitarbeiterfehler immer noch auftreten werden, unabhängig davon, wie viel Sie für digitale Sicherheitsschulungen und Cybersicherheitslösungen ausgeben. Wenn ein Social-Engineering-Angriff zu einer massiven Ransomware-Infektion oder einer anderen Katastrophe führt, benötigen Sie ein zuverlässiges Datensicherungssystem, das als ausfallsicher fungiert.

So geht es weiter

Beginnen Sie mit einer Cybersicherheits-Analyse. Wir zeigen Ihnen Ihr spezielles Risiko auf und geben Ihnen ganz klare Lösungsvorschläge – die wir natürlich auch gerne umsetzen für Sie. Kontaktieren Sie uns noch heute.

Jens Hagel
Folge mir

Der Artikel hat Ihnen gefallen?

Abonnieren Sie unseren Newsletter für IT-Entscheider!

Kommentarbereich geschlossen.