BKernwerte des Unternehmens

SOCIAL ENGINEERING: Definition und alles Wissenswerte

Soziale Technik
Trusted Reviews
Inhaltsverzeichnis Verbergen
  1. Soziale Technik
  2. Was ist Social Engineering?
  3. Social-Engineering-Angriff
    1. #1. Hetze
  4. #2. Scareware
  5. #3. Vorwand
    1. #4. Phishing
  6. Schützen Sie sich vor Social Engineering 
  7. #1. Unbekannte Absender (E-Mails vs. Textnachrichten)
    1. #2. Hören Sie auf, persönliche Informationen weiterzugeben
    2. #3. Sicherheitsebenen
    3. #4. Antiviren Software
    4. #5. Seien Sie sich immer aller Risiken bewusst
  8. Beispiel für Social Engineering
    1. #1. Marriott Hotel
    2. #2. US-Arbeitsministerium (DoL)
    3. #3. Zoom-Benutzer
    4. #4. FACC (Österreichischer Flugzeughersteller)
    5. #5. Crowdstrike-Rückruf
  9. Zusammenfassung
  10. Was ist Social Engineering im Cyber-Bereich? 
  11. Was ist das am weitesten verbreitete Social Engineering?
  12. Ist Social Engineering die größte Bedrohung?
  13. Wer ist das wahrscheinlichste Ziel von Social Engineering?
  14. Was ist die beste Verteidigung gegen Social Engineering?
  15. Was ist Social Engineering auch bekannt?
  16. Bibliographie
  17. Ähnliche Artikel

Social-Engineering-Angriffe bestehen aus mehreren Phasen. Ein Täter analysiert zunächst das Zielopfer, um Hintergrundinformationen zu erhalten, die für die Durchführung des Angriffs erforderlich sind, wie etwa mögliche Eintrittswege und schwache Sicherheitsmechanismen. In diesem Artikel werden Social Engineering, Social Engineering-Angriffe, der Schutz vor Social Engineering und Social Engineering-Beispiele erläutert.

Soziale Technik

Hierbei handelt es sich um die Praxis, Menschen im Online-Kontext zu manipulieren, indem man sie davon überzeugt, vertrauliche, persönliche Informationen wie Kontonummern, Passwörter oder Bankinformationen in gutem Glauben preiszugeben

Social Engineering kann auch vorkommen, wenn der „Ingenieur“ das Opfer auffordert, Geld an ein Finanzinstitut oder eine Person zu überweisen, mit der das Opfer Geschäfte macht, das Opfer aber auf dem Konto des „Ingenieurs“ landet.

Cyber- und Datenschutzversicherungen können Verluste aus Social Engineering abdecken, wenn sie dafür eine Garantie haben, die Deckungssumme beträgt jedoch in der Regel maximal 100,000 US-Dollar. Darüber hinaus ist der Social-Engineering-Schutz, der auch als „Betrugsinstruktionsschutz“ bekannt ist, nur als zusätzlicher Versicherungsschutz verfügbar, der über die Grenzen einer geltenden Versicherungspolice für Wirtschaftskriminalität hinausgeht.

Was ist Social Engineering?

Social Engineering ist eine Möglichkeit, sich private Informationen, Zugang oder Güter zu verschaffen, indem man Fehler von Menschen ausnutzt. Bei der Cyberkriminalität werden diese sogenannten „Human-Hacking“-Betrügereien häufig eingesetzt, um Benutzer, die nicht wissen, was vor sich geht, dazu zu verleiten, Daten preiszugeben, Malware-Angriffe zu verbreiten oder Zugriff auf Systeme zu gewähren, die privat gehalten werden sollten. Angriffe können persönlich, online oder auf andere Weise erfolgen.

Social Engineering ist eine Art Betrug, der auf dem Denken und Handeln von Menschen basiert. Aus diesem Grund sind Social-Engineering-Angriffe eine großartige Möglichkeit, das Verhalten einer Person zu ändern. Sobald ein Angreifer weiß, was einen Benutzer dazu bringt, das zu tun, was er tut, kann er den Benutzer gut austricksen und kontrollieren.

Darüber hinaus versuchen Hacker, die mangelnde Fachkenntnis eines Benutzers auszunutzen. Da sich die Technologie so schnell weiterentwickelt, sind sich viele Kunden und Mitarbeiter nicht über Risiken wie Drive-by-Downloads im Klaren. Den Menschen ist möglicherweise auch nicht bewusst, wie wichtig persönliche Informationen wie ihre Telefonnummer sind. Aus diesem Grund wissen viele Benutzer nicht, wie sie sich und ihre Informationen schützen können.

Lesen Sie auch: ONLINE-HACKER: 10 Arten von Hackern und die Gefahren und wie sie Ihnen schaden können

Social-Engineering-Angriff

Angriffe mit Social Engineering können viele verschiedene Formen annehmen und überall dort auftreten, wo Menschen miteinander reden. Hier sind die fünf häufigsten Arten, wie es zu Social-Engineering-Angriffen kommen kann.

#1. Hetze

Bei Köderangriffen wird, wie der Name schon sagt, ein falsches Angebot genutzt, um eine Person gierig oder neugierig zu machen. Menschen geraten durch Tricks in die Falle, indem sie ihre privaten Daten stehlen oder Malware auf ihren Computern installieren.

Malware wird über reale Medien verbreitet, was die am meisten gehasste Art der Hetze darstellt. Beispielsweise hinterlassen Angreifer den Köder, bei dem es sich in der Regel um ein Flash-Laufwerk mit Schadsoftware handelt, an Orten, an denen potenzielle Opfer ihn mit Sicherheit sehen, etwa in Badezimmern, Aufzügen und auf dem Parkplatz eines angegriffenen Unternehmens. Der Köder sieht echt aus, mit Dingen wie einem Etikett, auf dem steht, dass es sich um die Gehaltsliste des Unternehmens handelt.

Die Leute nehmen den Köder, weil sie neugierig sind, und stecken ihn dann in einen Computer am Arbeitsplatz oder zu Hause, der automatisch Malware auf dem System installiert.

Betrügereien, bei denen Köder eingesetzt werden, müssen nicht in der realen Welt stattfinden. Hetze im Internet erfolgt in Form von Werbung, die gut aussieht, aber auf schädliche Websites weiterleitet oder versucht, Menschen zum Herunterladen von Software zu bewegen, die mit Malware infiziert ist.

#2. Scareware

Scareware ist eine Art von Social-Engineering-Angriffen. Dabei werden viele falsche Warnungen und falsche Drohungen an die Menschen gesendet. Benutzer werden dazu verleitet, zu glauben, ihr Computer sei mit Schadsoftware infiziert, was dazu führt, dass sie Software ausführen, die nichts Nützliches bewirkt (außer für die Person, die es getan hat) oder selbst Schadsoftware ist. Scareware wird auch als Fraudware, illegale Scannersoftware und Täuschungssoftware bezeichnet.

Scareware kommt oft in Form von Pop-up-Bannern vor, die echt aussehen und Dinge sagen wie: „Ihr Computer ist möglicherweise mit schädlichen Spyware-Programmen infiziert.“ Entweder wird Ihnen angeboten, das Tool zu installieren (das häufig mit Malware infiziert ist), oder Sie werden auf eine bösartige Website weitergeleitet, die Ihren Computer infiziert.

Scareware wird auch durch Spam-E-Mails verbreitet, die falsche Warnungen aussenden oder Menschen dazu verleiten sollen, nutzlose oder schädliche Dienste zu kaufen.

#3. Vorwand

Pretexting ist eine weitere Form des Social-Engineering-Angriffs, der auftritt, wenn ein Angreifer durch eine Reihe sorgfältig geplanter Lügen an Informationen gelangt. Normalerweise beginnt jemand mit der Betrugsmasche, der behauptet, die vertraulichen Informationen des Opfers zu benötigen, um eine wichtige Aufgabe zu erledigen.

Der Angreifer gibt sich häufig zunächst als Arbeitskollege, Polizeibeamter, Bank- oder Steuerbeamter oder als jemand aus, der das Recht hat, etwas zu erfahren. Der Betrüger stellt Fragen, die scheinbar notwendig sind, um die Identität des Opfers zu überprüfen, in Wirklichkeit werden sie jedoch dazu verwendet, an wichtige persönliche Informationen zu gelangen.

Dieser Betrug sammelt alle Arten wichtiger Informationen und Aufzeichnungen, wie Sozialversicherungsnummern, persönliche Adressen und Telefonnummern, Telefonaufzeichnungen, Urlaubsdaten der Mitarbeiter, Bankunterlagen und sogar Informationen über die Sicherheit einer echten Anlage.

#4. Phishing

Bei Phishing-Betrügereien handelt es sich um E-Mail- und SMS-Kampagnen, die den Menschen das Gefühl vermitteln sollen, dass sie schnell handeln müssen, neugierig sind oder Angst haben. Dies ist eine sehr häufige Art von Social-Engineering-Angriffen. Anschließend werden sie dazu verleitet, private Informationen preiszugeben, auf Links zu schädlichen Websites zu klicken oder Anhänge zu öffnen, die Malware enthalten.

Ein Beispiel ist eine E-Mail, die Benutzer eines Onlinedienstes erhalten, wenn sie gegen eine Regel verstoßen, die von ihnen verlangt, sofort etwas zu tun, beispielsweise ihr Passwort zu ändern. Es enthält einen Link zu einer gefälschten Website, die fast genauso aussieht wie die echte. Diese gefälschte Website fordert den Benutzer auf, seine aktuellen Anmeldeinformationen und ein neues Passwort einzugeben. Die Informationen werden beim Absenden des Formulars an den Angreifer übermittelt.

Da Phishing-Programme dieselben oder fast dieselben Nachrichten an alle Benutzer senden, ist es für Mailserver, die Zugriff auf Plattformen zum Teilen von Bedrohungen haben, viel einfacher, sie zu finden und zu stoppen.

Lesen Sie auch: Berater für Cybersicherheit: Übersicht und beste Anbieter im Jahr 2023

Schützen Sie sich vor Social Engineering 

Bei Social-Engineering-Angriffen versucht der Angreifer, Zugang zu Daten oder Diensten zu erhalten, indem er Beziehungen zu Personen aufbaut, deren Vertrauen er nutzen kann. Aufmerksam zu bleiben ist die erste Verteidigungslinie. Der Angreifer könnte versuchen, auf eine Art und Weise mit Ihnen zu sprechen, die in Fragen mündet. Der beste Weg, sich vor Social Engineering zu schützen, besteht jedoch darin, zu wissen, wem man vertrauen kann, und selbst vertrauenswürdig zu sein. Sie müssen herausfinden, wer auf Ihr Konto zugreifen oder es ändern könnte, und sicherstellen, dass die Person einen guten Grund dafür hat. Hier finden Sie Möglichkeiten, sich vor Social Engineering zu schützen. 

#1. Unbekannte Absender (E-Mails vs. Textnachrichten)

Schauen Sie sich die E-Mail-Adresse des Absenders und die Nachricht selbst genau an. Wichtig zu wissen ist, dass Sie keine Links zu dubiosen Dokumenten anklicken müssen. 

#2. Hören Sie auf, persönliche Informationen weiterzugeben

Bevor Sie persönliche Informationen wie Passwörter und Kreditkartennummern preisgeben, sollten Sie darüber nachdenken. Kein echtes Unternehmen und keine echte Person sollte jemals nach solchen privaten Informationen fragen. Verwenden Sie schwer zu erratende Passwörter und ändern Sie diese häufig. Wenn Sie dasselbe Passwort für mehr als ein Konto verwenden, könnten Sie das Ziel eines Social-Engineering-Angriffs sein.

#3. Sicherheitsebenen

Verwenden Sie, wann immer möglich, eine Verifizierung mit zwei Faktoren. Es kann eine zusätzliche Sicherheitsebene hinzufügen, indem Benutzer aufgefordert werden, ihren Benutzernamen, ihr Passwort und einen an ihr Mobiltelefon gesendeten Code einzugeben. Richten Sie Sicherheitscodes für Ihre E-Mail-Adresse und Telefonnummer ein, damit jemand, der in eines der Systeme gelangt, Ihr Konto nicht direkt verwenden kann.

#4. Antiviren Software

Installieren Sie Antiviren- und Anti-Malware-Software auf jedem Gerät, das Sie besitzen. Halten Sie diese Programme auf dem neuesten Stand, damit sie Sie vor den neuesten Bedrohungen schützen können. Wenn auf Ihren Geräten jedoch Antivirensoftware installiert ist, kann dies ein hervorragender Schutz gegen Social Engineering sein.

#5. Seien Sie sich immer aller Risiken bewusst

Sie sollten immer an die Risiken denken. Stellen Sie sicher, dass jeder Informationsaufruf korrekt ist, indem Sie ihn zwei- oder sogar dreimal überprüfen. Halten Sie Ausschau nach Neuigkeiten zur Cybersicherheit, wenn Ihnen durch einen kürzlich erfolgten Verstoß Schaden zugefügt wurde. 

Beispiel für Social Engineering

Es gibt viele Beispiele für Social Engineering in den Nachrichten, aber hier sind fünf, um Ihnen eine Vorstellung davon zu geben, wie es funktioniert:

#1. Marriott Hotel

Mithilfe von Social-Engineering-Methoden hat eine Hackergruppe 20 GB persönliche und finanzielle Daten aus einem Marriott-Hotel gestohlen. Die Hacker haben einen Mitarbeiter im Marriott Hotel dazu gebracht, ihnen Zugriff auf den Computer des Mitarbeiters zu verschaffen.

#2. US-Arbeitsministerium (DoL)

Hierbei handelte es sich um ein Beispiel für einen Social-Engineering-Angriff, bei dem Anmeldeinformationen für Office 365 gestohlen wurden. Der Angriff erfolgte mit intelligentem Phishing unter Verwendung gefälschter Domänen, die genau wie die echte DoL-Domäne aussahen. Die E-Mails sahen aus, als kämen sie von einem leitenden DoL-Mitarbeiter, der sie aufforderte, auf einen Regierungsjob zu bieten. Als der Mitarbeiter auf die Schaltfläche „Bieten“ klickte, wurde er auf eine „Phishing“-Seite weitergeleitet, die dazu dient, Passwörter zu stehlen.

#3. Zoom-Benutzer

Von einer Phishing-Aktion gegen Mitarbeiter waren mindestens 50,000 Menschen betroffen. Die Social Engineers nutzten die Angst vor einer Entlassung, um die Mitarbeiter dazu zu bringen, auf einen Link zu klicken, um ein Zoom-Meeting mit der Personalabteilung zu vereinbaren. Als der Mitarbeiter auf den Link klickte, gelangte er zu einer gefälschten Zoom-Anmeldeseite, die zum Diebstahl von Passwörtern eingerichtet wurde.

#4. FACC (Österreichischer Flugzeughersteller)

FACC erlitt durch einen komplexen Business Email Compromise (BEC)-Betrug einen Schaden von rund 42 Millionen Euro. Das E-Mail-Konto des CEO des Unternehmens wurde gehackt und dazu verwendet, eine „dringende“ Anfrage für eine Geldüberweisung zu senden. Diese E-Mail täuschte einen Mitarbeiter der Kreditorenbuchhaltung, der der Anfrage zustimmte und das Geld an den Dieb schickte.

#5. Crowdstrike-Rückruf

Social Engineering ist so mächtig, dass sogar Sicherheitsunternehmen es zu spüren bekommen. Crowdstrike wird mittlerweile als Teil und Beispiel im Spiel des Social Engineering eingesetzt. Betrüger versenden Phishing-E-Mails an Mitarbeiter unter dem vertrauenswürdigen Namen Crowdstrike und anderen Sicherheitsunternehmen. Die E-Mail enthält Informationen zu einem möglichen Malware-Angriff und eine Telefonnummer, die Sie anrufen können, um installierte Malware zu entfernen. Der Mitarbeiter wird dazu verleitet, dem Angreifer Zugriff auf seinen Computer zu gewähren, wenn er die Nummer erreicht.

Lesen Sie auch: WAS IST CYBERSICHERHEIT? Beispiele, Bedrohung & Bedeutung

Zusammenfassung

Um sich vor Social-Engineering-Bedrohungen zu schützen, müssen Sie lernen, sich selbst zu schützen. Da wir Ihnen bereits einige bewährte Methoden und Beispiele für Social-Engineering-Angriffe vorgestellt haben, die bereits seit langem auf der ganzen Welt zum Einsatz kommen, sollten Sie unbedingt sofort damit beginnen, Maßnahmen zu ergreifen. Social-Engineering-Angriffe können der Karriere einer Person innerhalb von Sekunden schaden. Verwenden Sie immer zwei eingerichtete Anmeldebestätigungscodes, um Ihre Geräte, Passwörter und andere Anmeldungen zu schützen. Dies ist eine weitere Sicherheitsmaßnahme.

Was ist Social Engineering im Cyber-Bereich? 

Dies ist ein Begriff für alle Methoden, mit denen jemand dazu gebracht wird, Informationen preiszugeben oder etwas zu tun, was er nicht tun sollte.

Was ist das am weitesten verbreitete Social Engineering?

Die häufigsten Angriffe sind:

  • Angriffe durch Phishing.
  • Konzentriertes Hacken.
  • Walfang.
  • Sowohl Smishing als auch Vishing.
  • Köder.
  • Huckepack/Tailgating.
  • Vortexting.
  • (BEC) Geschäfts-E-Mail-Kompromiss

Ist Social Engineering die größte Bedrohung?

Social Engineering ist eine Angriffsart, die stark auf menschlichen Kontakten beruht und in der Regel darin besteht, Menschen dazu zu verleiten, gegen normale Sicherheitsverfahren und Best Practices zu verstoßen, um sich illegalen Zugang zu Systemen, Netzwerken oder physischen Orten zu verschaffen oder um Geld zu verdienen.

Wer ist das wahrscheinlichste Ziel von Social Engineering?

Wohlhabende, bekannte oder hochrangige Personen sind am häufigsten das Ziel von Social-Engineering-Angriffen. Kriminelle haben es auf Menschen abgesehen, die viel Macht und Zugang haben.

Was ist die beste Verteidigung gegen Social Engineering?

Die Menschen glauben, dass der beste Weg, Social-Engineering-Angriffe zu stoppen, darin besteht, die Mitarbeiter eines Unternehmens zu schulen und weiterzubilden.

Was ist Social Engineering auch bekannt?

Da es auf menschliche Schwächen und nicht auf die Schwächen technologischer oder digitaler Systeme abzielt, wird Social Engineering auch als „Human Hacking“ bezeichnet. Dies liegt daran, dass es sich in erster Linie um schutzbedürftige Personen handelt.

Bibliographie

  1. ENGINEERING MANAGER: Definition, Aufgaben, Gehalt, Software & Interviewfragen
  2. Ethisches Hacken: Was ist das und wie funktioniert es?
  3. Verhindern und Wiederherstellen verlorener Ethereum-Wallets und privater Schlüssel
  4. E-MAIL-SPOOFING: Wie man es verhindert und stoppt
  5. POSITIVE ARBEIT: Bedeutung, Zitate, Bestätigung und Umgebung

Ezirim Ifeanyichukwu Victor ist ein engagierter und vielseitiger Fachmann, der sich intensiv dafür einsetzt, einen wesentlichen Beitrag zum Erfolg verschiedener Unternehmen zu leisten. Seine unerschütterliche Leidenschaft für die Feinheiten des Geschäftsschreibens, gepaart mit einem profunden Verständnis von SEO-Strategien und versierten Managementfähigkeiten auf YouTube, machen ihn zu einem unverwechselbaren Gewinn. Mit einer nachgewiesenen Erfolgsbilanz hat Ezirim Ifeanyichukwu Victor stets eine einzigartige Kombination von Kompetenzen unter Beweis gestellt, die nicht nur das Wachstum von Unternehmen sicherstellt, sondern auch eine erhöhte Sichtbarkeit und Einbindung jeder Marke garantiert, die das Glück hat, mit ihm in Verbindung zu stehen. Sein Engagement für Exzellenz und sein ganzheitlicher Ansatz bei beruflichen Unternehmungen machen ihn zu einem unschätzbaren Gewinn in der dynamischen Geschäftslandschaft von heute.

Hinterlassen Sie uns einen Kommentar

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *

- Vorheriger Artikel

WAS IST GAMIFICATION: Definition, Funktionsweise und Leitfaden

Nächster Artikel -

GEHALT FÜR KOMMUNIKATIONSDIREKTOR: Gehaltsleitfaden 2023

Das Könnten Sie Auch Interessieren