Startseite » wie man » Was ist Social Engineering und wie können Sie es vermeiden?

    Was ist Social Engineering und wie können Sie es vermeiden?

    Malware ist nicht die einzige Online-Bedrohung, über die Sie sich Sorgen machen müssen. Social Engineering ist eine große Bedrohung und kann Sie auf jedem Betriebssystem treffen. In der Tat kann Social Engineering auch über das Telefon und in persönlichen Situationen auftreten.

    Es ist wichtig, sich des Social Engineering bewusst zu sein und Ausschau zu halten. Sicherheitsprogramme schützen Sie nicht vor den meisten Social-Engineering-Bedrohungen. Sie müssen sich also selbst schützen.

    Social Engineering erklärt

    Herkömmliche computergestützte Angriffe hängen oft davon ab, dass im Computercode eine Schwachstelle gefunden wird. Wenn Sie beispielsweise eine veraltete Version von Adobe Flash verwenden - oder, gott verbot Java -, die laut Cisco im Jahr 2013 zu 91% der Angriffe geführt wurde, könnten Sie eine schädliche Website und diese Website besuchen die Sicherheitsanfälligkeit in Ihrer Software ausnutzen, um Zugriff auf Ihren Computer zu erhalten. Der Angreifer manipuliert Fehler in der Software, um Zugriff zu erhalten und private Informationen zu sammeln, möglicherweise mit einem von ihnen installierten Keylogger.

    Social-Engineering-Tricks unterscheiden sich, da sie stattdessen psychologische Manipulationen erfordern. Mit anderen Worten, sie nutzen Menschen aus, nicht ihre Software.

    Sie haben wahrscheinlich schon von Phishing gehört, einer Form von Social Engineering. Möglicherweise erhalten Sie eine E-Mail, die behauptet, von Ihrer Bank, Ihrem Kreditkartenunternehmen oder einem anderen vertrauenswürdigen Unternehmen zu sein. Sie können Sie zu einer gefälschten Website weiterleiten, die sich wie eine echte Website ausgibt, oder Sie bitten, ein schädliches Programm herunterzuladen und zu installieren. Bei solchen Social-Engineering-Tricks muss es sich jedoch nicht um gefälschte Websites oder Malware handeln. In der Phishing-E-Mail werden Sie möglicherweise einfach aufgefordert, eine E-Mail-Antwort mit privaten Informationen zu senden. Anstatt zu versuchen, einen Fehler in einer Software auszunutzen, versuchen sie normale menschliche Interaktionen auszunutzen. Spear-Phishing kann noch gefährlicher sein, da es sich um eine Form des Phishing handelt, die auf bestimmte Personen abzielt.

    Beispiele für Social Engineering

    Ein beliebter Trick bei Chat-Diensten und Online-Spielen war das Registrieren eines Kontos mit einem Namen wie „Administrator“ und das Senden von beängstigenden Mitteilungen wie „WARNUNG: Wir haben festgestellt, dass jemand Ihr Konto hackt, antworten Sie mit Ihrem Kennwort, um sich zu authentifizieren.“ Wenn ein Ziel mit seinem Passwort antwortet, ist es auf den Trick gefallen und der Angreifer hat jetzt sein Kontopasswort.

    Wenn jemand persönliche Informationen über Sie hat, kann er damit Zugang zu Ihren Konten erhalten. Beispielsweise werden Informationen wie Geburtsdatum, Sozialversicherungsnummer und Kreditkartennummer häufig verwendet, um Sie zu identifizieren. Wenn jemand über diese Informationen verfügt, kann er sich an ein Unternehmen wenden und sich als Sie ausgeben. Dieser Trick wurde von einem Angreifer bekanntermaßen für den Zugriff auf Sarah Palins Yahoo! E-Mail-Konto im Jahr 2008, das genügend persönliche Daten übermittelt, um über das Kennwort-Wiederherstellungsformular von Yahoo! Zugriff auf das Konto zu erhalten. Dieselbe Methode kann für das Telefon verwendet werden, wenn Sie über die persönlichen Informationen verfügen, die das Unternehmen benötigt, um Sie zu authentifizieren. Ein Angreifer mit einigen Informationen zu einem Ziel kann sich als solcher ausgeben und Zugang zu mehr Dingen erhalten.

    Social Engineering kann auch persönlich eingesetzt werden. Ein Angreifer könnte in ein Unternehmen einsteigen, dem Sekretär mitteilen, dass er eine Reparaturperson, ein neuer Mitarbeiter oder ein Brandinspektor in einem autoritativen und überzeugenden Ton ist, dann die Hallen durchstreifen und möglicherweise vertrauliche Daten oder Betriebsfehler stehlen, um Unternehmensspionage durchzuführen. Dieser Trick hängt davon ab, dass sich der Angreifer als jemand darstellt, den er nicht ist. Wenn eine Sekretärin, ein Türsteher oder wer auch immer zuständig ist, nicht zu viele Fragen stellt oder zu genau hinschaut, ist der Trick erfolgreich.

    Social-Engineering-Angriffe reichen von gefälschten Websites über betrügerische E-Mails bis hin zu ruchlosen Chat-Nachrichten bis hin zu einer Personifizierung am Telefon oder persönlich. Diese Angriffe gibt es in einer Vielzahl von Formen, aber eines haben sie alle gemeinsam - sie hängen von psychologischen Tricks ab. Social Engineering wurde als Kunst der psychologischen Manipulation bezeichnet. Es ist eine der Hauptmethoden, wie "Hacker" Konten online "hacken".

    So vermeiden Sie Social Engineering

    Wenn Sie wissen, dass Social Engineering vorhanden ist, können Sie sich wehren. Seien Sie misstrauisch gegenüber unerwünschten E-Mails, Chat-Nachrichten und Telefonanrufen, die nach privaten Informationen fragen. Geben Sie niemals Finanzinformationen oder wichtige persönliche Informationen per E-Mail bekannt. Laden Sie keine potenziell gefährlichen E-Mail-Anhänge herunter und führen Sie sie aus, selbst wenn eine E-Mail behauptet, dass sie wichtig ist.

    Sie sollten auch nicht den Links in einer E-Mail zu sensiblen Websites folgen. Klicken Sie beispielsweise nicht auf einen Link in einer E-Mail, die scheinbar von Ihrer Bank stammt, und melden Sie sich an. Möglicherweise werden Sie zu einer gefälschten Phishing-Site geführt, die sich als Website Ihrer Bank verkleidet zeigt, jedoch mit einer leicht unterschiedlichen URL. Besuchen Sie stattdessen die Website direkt.

    Wenn Sie eine verdächtige Anfrage erhalten - zum Beispiel, wenn ein Anruf von Ihrer Bank nach persönlichen Informationen fragt - wenden Sie sich direkt an die Quelle der Anfrage und bitten Sie um Bestätigung. In diesem Beispiel würden Sie Ihre Bank anrufen und fragen, was sie wollen, anstatt die Informationen an jemanden weiterzugeben, der vorgibt, Ihre Bank zu sein.

    E-Mail-Programme, Webbrowser und Security Suites verfügen im Allgemeinen über Phishing-Filter, die Sie warnen, wenn Sie eine bekannte Phishing-Site besuchen. Alles, was sie tun können, ist eine Warnung, wenn Sie eine bekannte Phishing-Site besuchen oder eine bekannte Phishing-E-Mail erhalten, und sie wissen nicht über alle Phishing-Sites oder E-Mails, die es gibt. Meistens liegt es an Ihnen, sich selbst zu schützen - Sicherheitsprogramme können nur wenig helfen.


    Es ist eine gute Idee, einen gesunden Argwohn zu üben, wenn es um Anfragen nach privaten Daten geht und um alles, was ein Social-Engineering-Angriff sein könnte. Verdacht und Vorsicht werden Sie sowohl online als auch offline schützen.

    Bildnachweis: Jeff Turnet auf Flickr