Mit Social-Engineering-Angriffen werden Menschen dazu gebracht, Informationen weiterzugeben, die sie nicht weitergeben sollten, Software herunterzuladen, die sie nicht herunterladen sollten, Websites zu besuchen, die sie nicht besuchen sollten, Kriminellen Geld zu senden oder andere Fehler zu begehen, die ihre persönliche Sicherheit oder die Sicherheit des Unternehmens gefährden.
Eine E-Mail, die von einem vertrauenswürdigen Kollegen zu stammen scheint, der nach vertraulichen Informationen fragt, eine angeblich vom Finanzamt gesendete besorgniserregende Sprachnachricht, von einem ausländischen Machthaber angebotene Reichtümer – dies sind nur einige Beispiele für Social Engineering. Da das Social Engineering mit psychologischer Manipulation arbeitet und sich eher die menschlichen Fehler oder Schwächen als die Sicherheitslücken in technischen oder digitalen Systemen zunutze macht, wird es manchmal auch als „Human Hacking“ bezeichnet.
Cyberkriminelle nutzen häufig Social-Engineering-Taktiken, um an persönliche Daten oder Finanzinformationen zu gelangen, darunter Anmeldeinformationen, Kreditkartennummern, Bankkontonummern und Sozialversicherungsnummern. Sie nutzen die gestohlenen Informationen zum Identitätsdiebstahl, um mit dem Geld oder dem Kredit anderer Leute Einkäufe zu tätigen, Kredite in fremdem Namen zu beantragen, Arbeitslosengeld zu beantragen und vieles mehr. Ein Social-Engineering-Angriff kann aber auch die Vorstufe zu einem größer angelegten Cyberangriff sein. So könnte zum Beispiel ein Cyberkrimineller einen Opfer dazu bringen, einen Benutzernamen und ein Passwort zu teilen, und mit diesen Anmeldedaten dann Ransomware im Netzwerk des Arbeitgebers des Opfers platzieren.
Social Engineering ist für Cyberkriminelle attraktiv, denn es verschafft ihnen Zugang zu digitalen Netzen, Geräten und Konten, ohne dass sie mit schwierigem technischem Aufwand Firewalls, Antivirensoftware und anderen Maßnahmen für die Cybersicherheit umgehen müssen. Dies ist einer der Gründe, warum Social Engineering laut ISACA-Bericht State of Cybersecurity 2022 (Link befindet sich außerhalb von ibm.com) heute die Hauptursache für die Kompromittierung von Netzwerken ist. Laut IBM-Bericht Cost of a Data Breach 2022 gehören Sicherheitsverletzungen, die durch Social-Engineering-Verfahren (wie Phishing und E-Mail-Kompromisse im Unternehmen) verursacht wurden, zu den kostspieligsten.
Gewinnen Sie mit dem IBM Security® X-Force® Threat Intelligence Index neue Erkenntnisse, um schneller und effektiver auf Cyberangriffe reagieren zu können.
Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
Die Taktiken und Techniken des Social Engineering stützen sich auf die Wissenschaft der menschlichen Motivation. Die Emotionen und Instinkte der Opfer werden auf eine Weise manipuliert, die Menschen nachweislich zu Handlungen verleitet, die ihren Interessen zuwiderlaufen.
Die meisten Social-Engineering-Angriffe wenden eine oder mehrere der folgenden Taktiken an:
Auftreten als vertrauenswürdige Marke: Betrüger nehmen oft die Identität von Unternehmen an, die den Opfern bekannt sind, denen sie vertrauen und mit denen sie vielleicht oft oder regelmäßig Geschäfte tätigen – so regelmäßig, dass sie die von diesen Marken stammenden Anweisungen ohne entsprechende Vorkehrungen ganz automatisch befolgen. Manche Social-Engineering-Betrüger nutzen weit verbreitete Kits zum Erstellen gefälschter Websites, die denen großer Marken oder Unternehmen ähneln.
Auftreten als staatliche Stelle oder Autoritätsperson: Die Menschen vertrauen, respektieren oder fürchten Autoritäten (in unterschiedlichem Maße). Social-Engineering-Angriffe machen sich diese Instinkte zunutze und versenden Nachrichten, die angeblich von staatlichen Stellen (z. B. dem FBI oder dem Finanzamt), von politischen Persönlichkeiten oder sogar von Prominenten stammen.
Erzeugen von Angst oder Handlungsdruck: Menschen neigen zu voreiligem Handeln, wenn sie Angst haben oder unter Zeitdruck stehen. Bei Social-Engineering-Betrug können zahlreiche Techniken zum Einsatz kommen, um bei den Opfern Angst oder Dringlichkeit zu erzeugen. Sagen Sie dem Opfer zum Beispiel, dass eine kürzlich erfolgte Kredittransaktion nicht genehmigt wurde, dass ein Virus seinen Computer infiziert hat, dass ein auf seiner Website verwendetes Bild ein Urheberrecht verletzt usw. Social Engineering kann auch die Angst der Opfer, etwas zu verpassen (FOMO) ansprechen, wodurch eine andere Art von Dringlichkeit entsteht.
Appellieren an die Habgier: Die Betrugsmasche mit dem nigerianischen Prinzen – eine E-Mail, in der sich jemand als Angehöriger des nigerianischen Königshauses ausgibt, der aus seinem Land zu fliehen versucht, und bei Übermittlung der Kontodaten des Empfängers und eines kleinen Vorschusses eine gigantische Belohnung in Aussicht stellt – ist eines der bekanntesten Beispiele für das an die Habgier appellierende Social Engineering. Diese Art von Social-Engineering-Angriff kann auch von einer angeblichen Autoritätsperson ausgehen und erzeugt ein Gefühl der Dringlichkeit – eine wirkungsvolle Kombination. Dieser Betrug ist so alt wie die E-Mail selbst, doch im Jahr 2018 wurden damit immer noch 700.000 US-Dollar pro Jahr erwirtschaftet.
Appellieren an die Hilfsbereitschaft oder Neugier: Social-Engineering-Maschen können auch an die gute Seite der Opfer appellieren. Eine scheinbar von einem Freund oder einer Social-Networking-Site stammende Nachricht kann beispielsweise technische Hilfe anbieten, zur Teilnahme an einer Umfrage auffordern, behaupten, der Beitrag des Empfängers sei viral gegangen, und einen gefälschten Link zu einer gefälschten Website oder einem Malware-Download bereitstellen.
Phishing
Phishing-Angriffe sind digitale Nachrichten oder Sprachnachrichten, die versuchen, die Empfänger zu manipulieren, um vertrauliche Informationen zu teilen, Schadsoftware herunterzuladen, Geld oder Vermögenswerte an die falschen Personen zu übertragen oder andere schädliche Maßnahmen zu ergreifen. Betrüger gestalten Phishing-Nachrichten so, dass sie aussehen oder klingen, als ob sie von einer vertrauenswürdigen oder glaubwürdigen Organisation oder Person stammen würden – manchmal sogar von einer Person, die der Empfänger persönlich kennt.
Es gibt viele Arten von Phishing-Scam:
Massen-Phishing-E-Mails werden Millionen von Empfängern gleichzeitig zugesendet. Sie scheinen von großen, namhaften Unternehmen oder Organisationen zu stammen – von einer nationalen oder globalen Bank, einem großen Online-Händler, einem beliebten Online-Zahlungsanbieter usw. – und enthalten eine allgemeine Bitte, wie zum Beispiel „Wir haben Probleme bei der Verarbeitung Ihres Kaufs. Bitte aktualisieren Sie Ihre Kreditdaten“. Häufig enthalten diese Nachrichten einen bösartigen Link, der den Empfänger zu einer gefälschten Website führt, die den Benutzernamen, das Passwort, die Kreditkartendaten des Empfängers und mehr erfasst.
Spear-Phishing zielt auf eine bestimmte Person ab. Dabei handelt es sich in der Regel um eine Person mit privilegiertem Zugriff auf Benutzerinformationen, das Computernetz oder finanzielle Mittel des Unternehmens. Ein Betrüger untersucht die Zielperson häufig anhand von Informationen, die er auf LinkedIn, Facebook oder anderen sozialen Medien findet, und erstellt eine Nachricht, die von jemandem stammt, den die Zielperson kennt und vertraut, oder sich auf Situationen bezieht, die der Zielperson vertraut sind. Whale-Phishing ist ein Spear-Phishing-Angriff auf eine hochrangige Person, z. B. einen CEO oder eine Persönlichkeit aus der Politik. Beim Business Email Compromise (BEC) versendet der Hacker anhand kompromittierter Anmeldedaten E-Mail-Nachrichten vom tatsächlichen E-Mail-Account einer Autoritätsperson, wodurch sich der Betrug viel schwerer erkennen lässt.
Voice-Phishing oder Vishing ist Phishing, das über Telefonanrufe durchgeführt wird. Vishing erlebt man im Allgemeinen in Form von besorgniserregenden aufgezeichneten Anrufen, die angeblich vom FBI stammen. IBM X-Force® hat kürzlich festgestellt, dass das Hinzufügen von Vishing zu einer gezielten Phishing-Kampagne den Erfolg einer Kampagne um das Dreifache steigern kann.
SMS-Phishing oder Smishing ist Phishing per Textnachricht.
Beim Suchmaschinen-Phishing gestalten Hacker schädliche Websites, die in den Suchergebnissen für häufige Suchbegriffe weit oben stehen.
Angler-Phishing ist Phishing mit gefälschten Social-Media-Konten, die sich als offizielle Konten des Kundendienstes oder der Kundensupportteams vertrauenswürdiger Unternehmen ausgeben.
Laut IBM Security X-Force Threat Intelligence Index 2023 ist Phishing der an erster Stelle stehende Malware-Infizierungsvektor. Er wurde bei 41 % aller Vorfälle festgestellt. Außerdem ist Phishing dem Bericht über die Kosten einer Datenschutzverletzung von 2022 zufolge der anfängliche Angriffsvektor, der die kostspieligsten Datenschutzverletzungen zur Folge hat.
Baiting
Beim Baiting werden die Opfer mit einem Köder in Form eines wertvollen Angebots oder sogar eines wertvollen Objekts dazu verlockt, wissentlich oder unabsichtlich vertrauliche Informationen preiszugeben oder schädlichen Code herunterzuladen.
Die Betrugsmasche mit dem nigerianischen Prinzen ist wahrscheinlich das bekannteste Beispiel für diese Social-Engineering-Technik. Aktuellere Beispiele sind kostenlose, aber mit Malware infizierte Spiele-, Musik- oder Softwaredownloads. Manche Formen des Baitings sind allerdings nicht besonders raffiniert. Manche Bedrohungsakteure hinterlassen beispielsweise mit Malware infizierte USB-Sticks an Orten, wo die Leute sie finden, mitnehmen und verwenden, nach dem Motto „hey, kostenloser USB-Stick“.
Tailgating
Beim Tailgating – auch „Piggybacking“ genannt – folgt eine unbefugte Person einer befugten Person in einen Bereich mit vertraulichen Informationen oder wertvollen Assets. Das Tailgating kann persönlich durchgeführt werden, beispielsweise kann ein Bedrohungsakteur einem Mitarbeiter durch eine unverschlossene Tür folgen. Es kann aber auch eine digitale Taktik sein, etwa wenn eine Person einen immer noch in einem privaten Konto oder Netz angemeldeten Computer unbeaufsichtigt lässt.
Pretexting
Beim Pretexting erzeugt der Bedrohungsakteur eine falsche Situation für das Opfer und gibt sich als die richtige Person aus, die das Problem beheben kann. Sehr oft behauptet der Betrüger, das Opfer sei von einer Sicherheitsverletzung betroffen und bietet dann an, das Problem zu beheben, wenn das Opfer wichtige Kontoinformationen oder die Kontrolle über den Computer oder das Gerät des Opfers überlässt. Technisch gesehen umfasst fast jeder Social-Engineering-Angriff ein gewisses Maß an Pretexting.
Quid pro quo
Bei einem Quid-pro-quo-Angriff locken Hacker das Opfer mit einer begehrenswerten Ware oder Leistung im Gegenzug zur Preisgabe vertraulicher Informationen. Vorgetäuschte Gewinnspiele oder scheinbar harmlose Treueprämien („danke für deine Zahlung – wir haben ein Geschenk für dich“) sind Beispiele für die Quid-pro-quo-Masche.
Scareware
Bei der ebenfalls als Form von Malware geltenden Scareware handelt es sich um Software, die bei den Menschen Angst erzeugt und sie so dazu bringt, vertrauliche Informationen weiterzugeben oder Malware herunterzuladen. Scareware erreicht das Opfer oft in Form eines gefälschten Bescheids einer Strafverfolgungsbehörde, in der es einer Straftat beschuldigt wird, oder in Form einer gefälschten Nachricht des technischen Supports, in der es vor Malware auf seinem Gerät gewarnt wird.
Watering-Hole-Angriff
Der Ausdruck „jemand hat das Wasserloch vergiftet“ bedeutet, dass Hacker bösartigen Code in eine legitime Webseite einschleusen, die von ihren Zielen häufig besucht wird. Watering-Hole-Angriffe sind für alles verantwortlich – von gestohlenen Anmeldedaten bis hin zu unwissentlichen Drive-by-Ransomware-Downloads.
Social-Engineering-Angriffe sind offenkundig schwer zu verhindern, da sie sich eher die menschliche Psyche als technische Wege zunutze machen. Auch die Angriffsfläche ist von Bedeutung: In einem größeren Unternehmen genügt der Fehler eines einzigen Mitarbeiters, um die Integrität des gesamten Unternehmensnetzes in Gefahr zu bringen. Zu den von Experten empfohlenen Maßnahmen zur Minderung des Risikos und des Erfolgs von Social-Engineering-Betrug gehören unter anderem:
Schulungen zum Sicherheitsbewusstsein: Viele Benutzer wissen nicht, wie Social-Engineering-Angriffe zu erkennen sind. In einer Zeit, in der Nutzer häufig personenbezogene Daten für Waren und Dienstleistungen angeben, ist ihnen nicht bewusst, dass scheinbar alltägliche Informationen wie Telefonnummer oder Geburtsdatum Hackern den Zugang zu einem Konto ermöglichen können. Schulungen zum Sicherheitsbewusstsein in Kombination mit Datensicherheitsrichtlinien können den Mitarbeitern beibringen, wie sie ihre vertraulichen Daten schützen und laufende Social-Engineering-Angriffe erkennen und abwehren können.
Zugriffssteuerungsrichtlinien: Mit sicheren Richtlinien und Technologien für die Zugriffssteuerung, zu denen Multi-Faktor-Authentifizierung, adaptive Authentifizierung und ein Zero-Trust-Sicherheitskonzept gehören, lässt sich der Zugriff auf vertrauliche Informationen und Assets im Unternehmensnetz durch Cyberkriminelle selbst dann begrenzen, wenn sie sich Anmeldedaten von Benutzern beschaffen können.
Technologien für die Cybersicherheit: Spam-Filter und sichere E-Mail-Gateways können verhindern, dass manche Phishing-Angriffe die Mitarbeiter überhaupt erreichen. Firewalls und Antivirensoftware können das Ausmaß des Schadens durch Angreifer, die sich Zugang zum Netz verschaffen, begrenzen. Die Aktualisierung von Betriebssystemen mit den neuesten Patches kann ebenfalls einige Sicherheitslücken schließen, die Angreifer durch Social Engineering nutzen können. Darüber hinaus können Sicherheitsteams mithilfe fortschrittlicher Erkennungs- und Reaktionslösungen wie Endpunkterkennung und -antwort (EDR) und Extended Detection and Response (XDR) Sicherheitsbedrohungen, die das Netzwerk durch Social-Engineering-Taktiken infizieren, schnell erkennen und beseitigen.
Stellen Sie Ihre Mitarbeiter mit Übungen zu Phishing, Vishing und physischem Social Engineering auf die Probe. Decken Sie Sicherheitslücken bei Mitarbeitern, Prozessen und Richtlinien auf und verringern Sie so das Risiko erfolgreicher echter Social-Engineering-Angriffe.
Textanwendungen, Netze, Hardware und Personal zum Aufdecken und Beheben von Sicherheitslücken, die Ihre wichtigsten Assets anfällig machen für Angriffe. Über das X-Force Red Portal können alle an der Problembehebung beteiligten Personen die Testergebnisse sofort einsehen und Sicherheitstests nach eigenem Ermessen planen.
81 % der SOC-Experten geben an, dass sie durch manuelle Untersuchungen ausgebremst werden.1 Beschleunigen Sie die Untersuchung von Alerts mit der IBM Security® QRadar® Suite, einer modernen Auswahl an Sicherheitstechnologien, die Analysten ein einheitliches, auf KI und Automatisierung basierendes Erlebnis bietet.
Am besten kann man eine Datenschutzverletzung verhindern, wenn man versteht, warum sie geschehen kann. Der Bericht über die Kosten einer Datenschutzverletzung enthält die neuesten Erkenntnisse über die immer größer werdende Bedrohungslandschaft und Empfehlungen, wie Zeit gespart und Verluste begrenzt werden können.
CISOs, Sicherheitsteams und Führungskräfte: Hier erhalten Sie verwertbare Erkenntnisse, die Ihnen zeigen, wie Angreifer vorgehen und wie Sie Ihr Unternehmen proaktiv schützen können.
Phishing-Angriffe versetzen die Opfer dazu, vertrauliche Daten preiszugeben, Malware herunterzuladen und sich selbst oder ihr Unternehmen der Cyberkriminalität auszusetzen.
Erfahren Sie, wie Sie mit Multi-Faktor-Authentifizierung die Sicherheit erhöhen, gesetzliche Compliance-Anforderungen erfüllen und eine Zero-Trust-Sicherheitsstrategie verfolgen können.